Đang tải... (xem toàn văn)
Thông tư 01 2011 TT-NHNN về đảm bảo an toàn, bảo mật công nghệ thông tin trong hoạt động ngân hàng tài liệu, giáo án, bà...
Công ty Luật Minh Gia NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Số: 01/2011/TT-NHNN www.luatminhgia.com.vn CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc -Hà Nội, ngày 21 tháng 02 năm 2011 THÔNG TƯ QUY ĐỊNH VIỆC ĐẢM BẢO AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG NGÂN HÀNG Căn Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16/6/2010; Căn Luật Tổ chức tín dụng số 47/2010/QH12 ngày 16/6/2010; Căn Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006; Căn Nghị định số 96/2008/NĐ-CP ngày 26/8/2008 Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Ngân hàng Nhà nước Việt Nam; Ngân hàng Nhà nước Việt Nam quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin hoạt động ngân hàng sau: Chương QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh đối tượng áp dụng Thông tư quy định yêu cầu đảm bảo an tồn, bảo mật hệ thống cơng nghệ thông tin (CNTT) hoạt động ngân hàng Thông tư áp dụng Ngân hàng Nhà nước Việt Nam; tổ chức tín dụng; chi nhánh ngân hàng nước (sau gọi chung đơn vị) Điều Giải thích từ ngữ Trong Thơng tư này, từ ngữ hiểu sau: Hệ thống công nghệ thông tin: tập hợp có cấu trúc trang thiết bị phần cứng, phần mềm, sở liệu hệ thống mạng phục vụ cho nhiều hoạt động kỹ thuật, nghiệp vụ ngân hàng Tài sản CNTT: trang thiết bị, thông tin thuộc hệ thống CNTT đơn vị Bao gồm: a) Tài sản vật lý: thiết bị CNTT, phương tiện truyền thông thiết bị phục vụ cho hoạt động hệ thống CNTT b) Tài sản thông tin: liệu, tài liệu liên quan đến hệ thống CNTT Tài sản thông tin thể văn giấy liệu điện tử LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn c) Tài sản phần mềm: bao gồm chương trình ứng dụng, phần mềm hệ thống, sở liệu công cụ phát triển Rủi ro CNTT: khả xảy tổn thất thực hoạt động liên quan đến hệ thống CNTT Rủi ro CNTT liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành người Quản lý rủi ro: hoạt động phối hợp nhằm xác định kiểm soát rủi ro CNTT xảy Bên thứ ba: tổ chức, cá nhân có chun mơn đơn vị thuê hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống CNTT Hệ thống an ninh mạng: tập hợp thiết bị tường lửa; thiết bị kiểm soát, phát truy cập bất hợp pháp; phần mềm quản trị, theo dõi, ghi nhật ký trạng thái an ninh mạng trang thiết bị khác có chức đảm bảo an toàn hoạt động mạng, tất hoạt động đồng theo sách an ninh mạng quán nhằm kiểm soát chặt chẽ tất hoạt động mạng Tường lửa: tập hợp thành phần hệ thống trang thiết bị, phần mềm đặt hai mạng, nhằm kiểm soát tất kết nối từ bên bên mạng ngược lại Vi rút: chương trình máy tính có khả lây lan, gây hoạt động khơng bình thường cho thiết bị số chép, sửa đổi, xóa bỏ thông tin lưu trữ thiết bị số Phần mềm độc hại (mã độc): phần mềm có tính gây hại vi rút, phần mềm thám (spyware), phần mềm quảng cáo (adware) dạng tương tự khác 10 Điểm yếu kỹ thuật: vị trí hệ thống CNTT dễ bị tổn thương bị công xâm nhập bất hợp pháp Điều Nguyên tắc chung Từng đơn vị phải đảm bảo an toàn, bảo mật hệ thống CNTT đơn vị theo quy định Thơng tư Kịp thời nhận biết, phân loại, đánh giá xử lý có hiệu rủi ro CNTT xảy đơn vị Xây dựng, triển khai quy chế an toàn, bảo mật hệ thống CNTT sở hài hòa lợi ích, chi phí mức độ chấp nhận rủi ro đơn vị Bố trí đủ nguồn lực có chất lượng phù hợp với quy mơ nhằm đảm bảo an tồn, bảo mật hệ thống CNTT Xác định rõ quyền hạn, trách nhiệm thủ trưởng đơn vị, cấp, phận cá nhân đơn vị cơng tác đảm bảo an tồn, bảo mật hệ thống CNTT Điều Quy chế an toàn, bảo mật hệ thống CNTT Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống CNTT phù hợp với hệ thống CNTT, cấu tổ chức, yêu cầu quản lý hoạt động đơn vị Quy chế an toàn, bảo mật hệ thống CNTT phải thủ trưởng đơn vị phê duyệt, tổ chức thực triển khai tới tất cán bộ, nhân viên bên liên quan LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn Quy chế an toàn, bảo mật hệ thống CNTT phải bao gồm quy định về: a) Quản lý tài sản CNTT; b) Quản lý nguồn nhân lực; c) Quy định vật lý môi trường; d) Quy định truyền thông vận hành; đ) Quản lý truy cập; e) Tiếp nhận, phát triển, trì hệ thống thơng tin; g) Quản lý cố; h) Lưu trữ dự phòng thảm họa Định kỳ, đơn vị phải rà soát, chỉnh sửa, hoàn thiện quy chế an toàn, bảo mật hệ thống CNTT tối thiểu năm lần, đảm bảo phù hợp, đầy đủ có hiệu quy chế Trong trường hợp phát bất cập, bất hợp lý gây an toàn hệ thống CNTT theo yêu cầu quan có thẩm quyền, đơn vị phải tiến hành chỉnh sửa, bổ sung quy chế Chương CÁC QUY ĐỊNH VỀ ĐẢM BẢO AN TỒN, BẢO MẬT HỆ THỐNG CƠNG NGHỆ THƠNG TIN MỤC TỔ CHỨC ĐẢM BẢO AN TỒN, BẢO MẬT CNTT Điều Quản lý an toàn, bảo mật CNTT nội đơn vị Thủ trưởng đơn vị phải trực tiếp đạo công tác đảm bảo an toàn, bảo mật CNTT quy định rõ trách nhiệm cơng tác đảm bảo an tồn, bảo mật CNTT cho cá nhân, phận Các cá nhân đơn vị liên quan đến bảo mật thông tin phải ký cam kết bảo mật thông tin Điều Quản lý an toàn, bảo mật CNTT đơn vị bên thứ ba Đánh giá lực kỹ thuật, nhân sự, khả tài bên thứ ba trước ký kết hợp đồng cung cấp hàng hóa, dịch vụ Xác định rõ trách nhiệm, quyền hạn nghĩa vụ bên an toàn, bảo mật CNTT ký hợp đồng Hợp đồng với bên thứ ba phải bao gồm điều khoản việc xử phạt bên thứ ba vi phạm quy định an toàn, bảo mật thông tin trách nhiệm phải bồi thường thiệt hại bên thứ ba trường hợp có thiệt hại hành vi vi phạm bên thứ ba gây Đặc biệt ý đến vấn đề tính bí mật, tính tồn vẹn, tính sẵn sàng, tin cậy, hiệu tối đa, khả phục hồi thảm họa, phương tiện lưu trữ hệ thống thông tin Xác định đầy đủ rủi ro đơn vị liên quan tới bên thứ ba phát sinh áp dụng biện pháp quản lý rủi ro LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn Áp dụng biện pháp giám sát chặt chẽ giới hạn quyền truy cập bên thứ ba cho phép họ truy cập vào hệ thống CNTT đơn vị MỤC QUẢN LÝ TÀI SẢN CNTT Điều Xác định trách nhiệm tài sản CNTT Thống kê, kiểm kê loại tài sản CNTT đơn vị năm tối thiểu lần Nội dung thống kê tài sản phải bao gồm thông tin: Loại tài sản, giá trị, mức độ quan trọng, vị trí lắp đặt, thơng tin dự phòng, thơng tin quyền Phân loại, xếp thứ tự ưu tiên theo giá trị, mức độ quan trọng tài sản CNTT để có biện pháp bảo vệ tài sản phù hợp Xây dựng thực quy định quản lý, sử dụng tài sản Gắn quyền sử dụng tài sản cho cá nhân phận cụ thể Người sử dụng tài sản CNTT phải tuân thủ quy định quản lý, sử dụng tài sản, đảm bảo tài sản sử dụng mục đích Điều Phân loại tài sản thơng tin Phân loại tài sản thông tin theo tiêu chí giá trị, độ nhạy cảm tầm quan trọng, tần suất sử dụng, thời gian lưu trữ Thực biện pháp quản lý phù hợp với loại tài sản thông tin phân loại MỤC QUẢN LÝ NGUỒN NHÂN LỰC Điều Quản lý nguồn nhân lực nội đơn vị Trước tuyển dụng phân công nhiệm vụ a) Xác định trách nhiệm an toàn, bảo mật CNTT vị trí cần tuyển dụng phân cơng b) Kiểm tra lý lịch, xem xét đánh giá nghiêm ngặt tư cách đạo đức, trình độ chun mơn tuyển dụng, phân công cán bộ, nhân viên làm việc vị trí trọng yếu hệ thống CNTT quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị sở liệu c) Quyết định hợp đồng tuyển dụng (nếu có) phải bao gồm điều khoản trách nhiệm đảm bảo an toàn, bảo mật CNTT người tuyển dụng sau làm việc đơn vị Trong thời gian làm việc a) Đơn vị có trách nhiệm phổ biến cập nhật quy định an toàn, bảo mật CNTT cho cán bộ, nhân viên b) Yêu cầu kiểm tra việc thi hành quy định an toàn, bảo mật CNTT cá nhân, tổ chức thuộc đơn vị tối thiểu năm lần c) Áp dụng biện pháp kỷ luật cán bộ, nhân viên đơn vị vi phạm quy định an toàn, bảo mật CNTT LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn d) Những công việc quan trọng cấu hình hệ thống an ninh mạng, thay đổi tham số hệ điều hành, cài đặt thiết bị tường lửa, thiết bị phát ngăn chặn xâm nhập (IPS) phải thực hai người phải có người giám sát đ) Khơng cấp quyền quản trị (người chỉnh sửa cấu hình, liệu, nhật ký) hệ thống CNTT hệ thống dự phòng cho cá nhân Khi chấm dứt thay đổi công việc Khi cán bộ, nhân viên chấm dứt thay đổi công việc, đơn vị phải: a) Xác định rõ trách nhiệm cán bộ, nhân viên bên liên quan hệ thống CNTT b) Làm biên bàn giao tài sản với cán bộ, nhân viên c) Thu hồi thay đổi quyền truy cập hệ thống CNTT cán bộ, nhân viên cho phù hợp với công việc thay đổi Điều 10 Quản lý nguồn nhân lực bên thứ ba Trước triển khai công việc a) Yêu cầu bên thứ ba cung cấp danh sách nhân tham gia b) Kiểm tra tư cách pháp lý, lực chuyên môn nhân bên thứ ba phù hợp với yêu cầu công việc c) Yêu cầu bên thứ ba ký cam kết không tiết lộ thông tin đơn vị thông tin quan trọng Trong thời gian triển khai công việc a) Cung cấp yêu cầu bên thứ ba tuân thủ đầy đủ quy chế, quy định an toàn, bảo mật CNTT đơn vị b) Giám sát việc tuân thủ quy định an toàn, bảo mật CNTT nhân bên thứ ba c) Trong trường hợp phát dấu hiệu vi phạm vi phạm quy định an tồn, bảo mật thơng tin bên thứ ba, đơn vị cần: - Tạm dừng đình hoạt động bên thứ ba tùy theo mức độ vi phạm - Thơng báo thức vi phạm an toàn, bảo mật CNTT nhân cho bên thứ ba - Kiểm tra xác định, lập báo cáo mức độ vi phạm thông báo cho bên thứ ba thiệt hại xảy - Thu hồi quyền truy cập hệ thống CNTT cấp cho bên thứ ba Khi kết thúc công việc a) Yêu cầu bên thứ ba bàn giao lại tài sản sử dụng đơn vị trình triển khai công việc b) Thu hồi quyền truy cập hệ thống CNTT cấp bên thứ ba sau kết thúc công việc LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn c) Thay đổi khóa, mật nhận bàn giao từ bên thứ ba MỤC BẢO ĐẢM AN TỒN VỀ MẶT VẬT LÝ VÀ MƠI TRƯỜNG Điều 11 An tồn vật lý mơi trường Các khu vực xử lý, lưu giữ thông tin phương tiện xử lý thơng tin phải bảo vệ an tồn tường bao, cổng vào có kiểm sốt Các khu vực có u cầu cao an tồn, bảo mật phòng máy chủ phải áp dụng biện pháp kiểm sốt vào thích hợp, đảm bảo người có nhiệm vụ vào khu vực Có biện pháp bảo vệ phòng chống nguy cháy nổ, ngập lụt, động đất thảm họa khác thiên nhiên người gây Phòng máy chủ phải đảm bảo vệ sinh cơng nghiệp: Không dột, không thấm nước; trang thiết bị lắp đặt sàn kỹ thuật, không bị ánh nắng chiếu rọi trực tiếp; độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho thiết bị máy chủ; trang bị đầy đủ thiết bị phòng chống cháy, nổ, lũ lụt, hệ thống chống sét Có nội quy, hướng dẫn làm việc khu vực an toàn, bảo mật Khu vực sử dụng chung, phân phối, chuyển hàng phải kiểm soát cách ly với khu vực an toàn, bảo mật Điều 12 An toàn, bảo mật tài sản CNTT Tài sản CNTT phải bố trí, lắp đặt địa điểm an tồn bảo vệ để giảm thiểu rủi ro đe dọa, hiểm họa từ môi trường xâm nhập trái phép Tài sản CNTT phải bảo đảm nguồn điện hệ thống hỗ trợ nguồn điện bị gián đoạn Phải có biện pháp chống tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp giáp; có hệ thống máy phát điện dự phòng hệ thống lưu điện đảm bảo thiết bị hoạt động liên tục Dây cáp cung cấp nguồn điện dây cáp truyền thông sử dụng truyền tải liệu hay dịch vụ hỗ trợ thông tin phải bảo vệ khỏi xâm phạm hư hại Tất thiết bị lưu trữ liệu phải kiểm tra để đảm bảo liệu quan trọng phần mềm có quyền lưu trữ thiết bị xóa bỏ ghi đè khơng có khả khôi phục trước loại bỏ tái sử dụng cho mục đích khác Tài sản CNTT đưa bên ngồi đơn vị có cho phép cấp có thẩm quyền Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngồi trụ sở đơn vị phải có biện pháp giám sát, bảo vệ an tồn phòng chống truy cập bất hợp pháp MỤC QUẢN LÝ VẬN HÀNH VÀ TRUYỀN THƠNG Điều 13 Quy trình vận hành Ban hành triển khai quy trình vận hành hệ thống CNTT đến người sử dụng bao gồm: Quy trình bật, tắt thiết bị; quy trình lưu, phục hồi liệu; quy trình bảo dưỡng thiết bị; quy trình vận hành ứng dụng; quy trình xử lý cố Kiểm soát thay đổi hệ thống CNTT gồm: Phiên phần mềm, cấu hình phần cứng, tài liệu, quy trình vận hành; có phương án dự phòng cho việc phục hồi LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn thay đổi không thành công gặp cố khơng dự tính được; ghi chép lại thay đổi; lập kế hoạch thực kiểm tra, thử nghiệm thay đổi trước áp dụng thức Hệ thống vận hành thức phải đáp ứng yêu cầu: - Tách biệt với môi trường phát triển môi trường kiểm tra, thử nghiệm - Chỉ cho phép kết nối Internet hệ thống CNTT áp dụng đầy đủ giải pháp an ninh, an toàn đủ khả bảo vệ trước hiểm họa, cơng từ bên ngồi - Không cài đặt công cụ, phương tiện phát triển ứng dụng hệ thống vận hành thức Đối với hệ thống thông tin nghiệp vụ: a) Không để cá nhân làm toàn khâu từ khởi tạo đến phê duyệt giao dịch nghiệp vụ b) Mọi tác vụ hệ thống lưu vết, sẵn sàng cho kiểm tra, kiểm soát cần thiết Điều 14 Quản lý dịch vụ bên thứ ba cung cấp Phải giám sát kiểm tra dịch vụ bên thứ ba cung cấp đảm bảo mức độ cung cấp dịch vụ, khả hoạt động hệ thống đáp ứng theo thỏa thuận ký kết Đảm bảo triển khai, trì biện pháp an toàn, bảo mật dịch vụ bên thứ ba cung cấp theo thỏa thuận Quản lý thay đổi dịch vụ bên thứ ba cung cấp bao gồm: Nâng cấp phiên mới; sử dụng kỹ thuật mới, công cụ môi trường phát triển Đánh giá đầy đủ tác động việc thay đổi, đảm bảo an toàn đưa vào sử dụng Điều 15 Quản lý việc lập kế hoạch chấp nhận hệ thống CNTT Giám sát tối ưu hiệu suất hệ thống CNTT; lập kế hoạch hiệu suất, dung lượng hệ thống CNTT tương lai nhằm đảm bảo tiêu chuẩn cần thiết Xây dựng yêu cầu, tiêu chuẩn hiệu năng, thời gian phục hồi gặp cố, đảm bảo tính liên tục; đào tạo chuyển giao kỹ thuật nội dung thay đổi cho người sử dụng thực kiểm tra đánh giá khả đáp ứng hệ thống CNTT hệ thống nâng cấp trước áp dụng thức Điều 16 Sao lưu dự phòng Ban hành thực quy trình lưu dự phòng phục hồi cho phần mềm, liệu cần thiết Lập danh sách liệu, phần mềm cần lưu, có phân loại theo thời gian lưu trữ, thời gian lưu, phương pháp lưu thời gian kiểm tra phục hồi hệ thống từ liệu lưu Dữ liệu lưu phải lưu trữ an toàn kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng cần Kiểm tra, phục hồi hệ thống từ liệu lưu tối thiểu sáu tháng lần Điều 17 Quản lý an toàn, bảo mật mạng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn Thực việc quản lý kiểm soát mạng nhằm ngăn ngừa hiểm họa trì an tồn cho hệ thống, ứng dụng sử dụng mạng: a) Có sơ đồ logic vật lý hệ thống mạng; b) Sử dụng thiết bị tường lửa, thiết bị phát ngăn chặn xâm nhập trang thiết bị khác đảm bảo an toàn bảo mật mạng Thiết lập, cấu hình đầy đủ tính thiết bị an ninh mạng Sử dụng cơng cụ để dò tìm phát kịp thời điểm yếu, lỗ hổng truy cập bất hợp pháp vào hệ thống mạng Thường xuyên kiểm tra, phát kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng Xác định ghi rõ tính an tồn, mức độ bảo mật dịch vụ yêu cầu quản lý thỏa thuận dịch vụ mạng bên thứ ba cung cấp Điều 18 Trao đổi thông tin Ban hành quy định trao đổi thông tin phần mềm qua mạng truyền thông đơn vị với đơn vị khác Xác định trách nhiệm nghĩa vụ pháp lý với thành phần tham gia Có thỏa thuận cho việc trao đổi thông tin với bên ngồi Có biện pháp bảo vệ phương tiện mang tin vận chuyển Xây dựng thực biện pháp bảo vệ thông tin trao đổi hệ thống CNTT Điều 19 Các dịch vụ thương mại điện tử Có biện pháp bảo vệ thơng tin thương mại điện tử nhằm chống lại hoạt động gian lận, sửa đổi trái phép: a) Đường truyền giao thức truyền thơng phải mã hóa; b) Sử dụng phương thức xác thực mạnh xác thực đa thành phần chữ ký số cho thành viên tham gia giao dịch Thông tin giao dịch trực tuyến phải truyền đầy đủ, địa chỉ, tránh bị sửa đổi, tiết lộ nhân cách trái phép Thông tin công khai hệ thống CNTT phải bảo vệ nhằm ngăn chặn sửa đổi trái phép Điều 20 Giám sát ghi nhật ký hoạt động hệ thống CNTT Ghi nhật ký quy định thời gian lưu trữ thông tin hoạt động hệ thống CNTT người sử dụng, lỗi phát sinh cố an tồn thơng tin nhằm trợ giúp cho việc điều tra giám sát sau Xem xét lập báo cáo định kỳ nhật ký có hoạt động xử lý lỗi, cố cần thiết Bảo vệ chức ghi nhật ký thông tin nhật ký, chống giả mạo truy cập trái phép Người quản trị hệ thống người sử dụng khơng xóa hay sửa đổi nhật ký hệ thống ghi lại hoạt động họ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn Có chế đồng thời gian hệ thống CNTT Điều 21 Phòng chống vi rút phần mềm độc hại Xây dựng thực quy định phòng chống vi rút, mã độc đáp ứng yêu cầu sau: Triển khai hệ thống phòng chống vi rút máy tính cho tồn hệ thống CNTT đơn vị Kiểm tra, diệt vi rút, mã độc cho toàn hệ thống CNTT đơn vị hàng ngày phương tiện mang tin nhận từ bên ngồi trước sử dụng Khơng mở thư điện tử lạ, tệp tin đính kèm liên kết thư lạ để tránh vi rút, mã độc Không vào trang web khơng có nguồn gốc xuất xứ rõ ràng, đáng ngờ Cập nhật kịp thời mẫu vi rút, mã độc phần mềm chống vi rút, mã độc Báo cho người quản trị hệ thống xử lý trường hợp phát không diệt vi rút, mã độc Không tự ý cài đặt phần mềm chưa phép người quản trị hệ thống MỤC CÁC BIỆN PHÁP QUẢN LÝ TRUY CẬP Điều 22 Yêu cầu nghiệp vụ kiểm soát truy cập Xây dựng thực quy định quản lý truy cập người sử dụng, nhóm người sử dụng, đảm bảo đáp ứng yêu cầu nghiệp vụ yêu cầu an toàn, bảo mật Quy định quản lý truy cập bao gồm nội dung sau: a) Đăng ký, cấp phát, gia hạn thu hồi quyền truy cập người sử dụng; b) Giới hạn kiểm soát truy cập đặc quyền; c) Quản lý, cấp phát mật khẩu; d) Rà soát, kiểm tra, xét duyệt lại quyền truy cập người sử dụng Quy định quản lý mật phải đáp ứng yêu cầu sau: a) Mật phải có độ dài sáu ký tự trở lên, cấu tạo gồm ký tự số, chữ ký tự đặc biệt khác hệ thống cho phép Các yêu cầu mật hợp lệ phải kiểm tra tự động thiết lập mật khẩu; b) Các mật mặc định nhà sản xuất cài đặt sẵn trang thiết bị, phần mềm, sở liệu phải thay đổi đưa vào sử dụng; c) Phần mềm quản lý mật phải có chức năng: Thông báo người sử dụng thay đổi mật hết hạn sử dụng; hủy hiệu lực mật hết hạn sử dụng; cho phép thay đổi mật bị lộ, có nguy bị lộ theo yêu cầu người sử dụng; ngăn chặn việc sử dụng lại mật cũ khoảng thời gian định LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn Quy định trách nhiệm người sử dụng cấp quyền truy cập: Sử dụng mật quy định, giữ bí mật mật khẩu, khỏi hệ thống khơng làm việc hệ thống tạm thời không làm việc hệ thống Điều 23 Quản lý truy cập mạng Ban hành quy định sử dụng mạng dịch vụ mạng; thủ tục cấp phép, xóa bỏ quyền kết nối đến mạng dịch vụ mạng; cách thức, phương tiện truy cập mạng, dịch vụ mạng Trong quy định rõ: a) Các mạng dịch vụ mạng phép sử dụng; b) Các điều kiện để kết nối mạng Sử dụng biện pháp thích hợp để xác thực người sử dụng kết nối từ bên vào mạng nội đơn vị đảm bảo an toàn, bảo mật Kiểm sốt truy cập cổng dùng để cấu hình quản trị thiết bị mạng Chia tách hệ thống mạng thành vùng mạng khác theo đối tượng sử dụng, mục đích sử dụng hệ thống thơng tin Điều 24 Kiểm sốt truy cập hệ điều hành Có quy trình để kiểm sốt truy cập hệ điều hành; quy định quản lý mật truy cập hệ điều hành an toàn, bảo mật Mỗi người sử dụng hệ điều hành phải có định danh xác thực, nhận dạng, lưu dấu vết truy cập hệ điều hành Sử dụng thêm phương pháp xác thực khác sinh trắc học thẻ máy chủ quan trọng việc xác thực mật Quy định giới hạn kiểm soát chặt chẽ tiện ích hệ thống có khả ảnh hưởng đến hệ thống chương trình ứng dụng khác Tự động ngắt phiên làm việc sau thời gian không sử dụng, nhằm ngăn chặn truy cập trái phép Quy định giới hạn thời gian kết nối với ứng dụng có độ rủi ro cao Điều 25 Kiểm sốt truy cập thơng tin ứng dụng Quản lý phân quyền truy cập thông tin ứng dụng phù hợp với chức nhiệm vụ người sử dụng: a) Phân quyền truy cập đến thư mục, chức chương trình; b) Phân quyền đọc, ghi, xóa, thực thi thơng tin, liệu, chương trình Các hệ thống thơng tin quan trọng phải đặt mơi trường mạng máy tính riêng Nếu hệ thống thông tin sử dụng nguồn tài nguyên chung phải người quản trị hệ thống chấp nhận MỤC TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THÔNG TIN Điều 26 Yêu cầu an tồn, bảo mật cho hệ thống thơng tin LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn Khi xây dựng hệ thống thông tin cải tiến hệ thống thông tin tại, phải đưa yêu cầu an toàn, bảo mật đồng thời với việc đưa yêu cầu kỹ thuật, nghiệp vụ Điều 27 Đảm bảo an tồn, bảo mật ứng dụng Các chương trình ứng dụng nghiệp vụ phải đạt yêu cầu sau: Kiểm tra tính hợp lệ liệu nhập vào ứng dụng, đảm bảo liệu nhập vào xác hợp lệ Kiểm tra tính hợp lệ liệu cần xử lý tự động ứng dụng nhằm phát thông tin sai lệch lỗi trình xử lý hành vi sửa đổi thơng tin có chủ ý Có biện pháp đảm bảo tính xác thực bảo vệ toàn vẹn liệu xử lý ứng dụng Kiểm tra tính hợp lệ liệu xuất từ ứng dụng, đảm bảo q trình xử lý thơng tin ứng dụng xác hợp lệ Điều 28 Quản lý mã hóa Quy định đưa vào sử dụng biện pháp mã hóa quản lý khóa theo chuẩn quốc gia quốc tế công nhận để bảo vệ thông tin đơn vị Sử dụng giải thuật mã hóa như: a) AES: Advanced Encryption Standard; b) 3DES: Triple Data Encryption Standard; c) RSA: Rivest-Shamir-Adleman; d) Giải thuật khác Dữ liệu mật khách hàng, mật người sử dụng liệu nhạy cảm khác phải mã hóa truyền lên mạng lưu trữ Điều 29 An toàn, bảo mật tệp tin hệ thống Quy định quản lý, cài đặt, cập nhật phần mềm lên hệ thống tại, đảm bảo an toàn cho tệp tin hệ thống Dữ liệu kiểm tra, thử nghiệm phải lựa chọn, bảo vệ, quản lý kiểm soát cách thận trọng Việc truy cập vào chương trình nguồn phải quản lý kiểm soát chặt chẽ Điều 30 An tồn, bảo mật quy trình hỗ trợ phát triển Phải có quy định quản lý kiểm sốt thay đổi hệ thống thơng tin Khi thay đổi hệ điều hành phải kiểm tra xem xét ứng dụng nghiệp vụ quan trọng để đảm bảo hệ thống hoạt động ổn định, an tồn mơi trường Việc sửa đổi gói phần mềm phải quản lý kiểm soát chặt chẽ Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn Điều 31 Quản lý điểm yếu mặt kỹ thuật Có quy định việc đánh giá, quản lý kiểm soát điểm yếu kỹ thuật hệ thống CNTT sử dụng Định kỳ đánh giá, lập báo cáo điểm yếu kỹ thuật hệ thống CNTT sử dụng Xây dựng triển khai giải pháp khắc phục điểm yếu kỹ thuật, hạn chế rủi ro liên quan MỤC QUẢN LÝ CÁC SỰ CỐ VỀ CNTT Điều 32 Báo cáo cố Xây dựng quy trình báo cáo, mẫu báo cáo xác định rõ người nhận báo cáo cố CNTT Quy định rõ trách nhiệm báo cáo cán bộ, nhân viên bên thứ ba cố CNTT Các cố an toàn phải báo cáo đến người có thẩm quyền người có liên quan để có biện pháp khắc phục thời gian sớm Điều 33 Kiểm soát khắc phục cố Ban hành quy trình, trách nhiệm khắc phục phòng ngừa cố CNTT, đảm bảo cố xử lý thời gian ngắn giảm thiểu khả cố lặp lại Quá trình xử lý cố phải ghi chép lưu trữ đơn vị Thu thập, ghi chép, bảo toàn chứng, chứng phục vụ cho việc kiểm tra, xử lý, khắc phục phòng ngừa cố Trong trường hợp cố CNTT có liên quan đến vi phạm pháp luật, đơn vị có trách nhiệm thu thập cung cấp chứng cho quan có thẩm quyền theo quy định pháp luật MỤC ĐẢM BẢO HOẠT ĐỘNG LIÊN TỤC CỦA CÁC HỆ THỐNG CNTT Điều 34 Đảm bảo hoạt động liên tục Căn quy mô mức độ quan trọng hệ thống CNTT hoạt động đơn vị để lựa chọn hệ thống CNTT trọng yếu, có ảnh hưởng lớn tới hoạt động đơn vị Xây dựng triển khai kế hoạch, quy trình đảm bảo hoạt động liên tục hệ thống CNTT trọng yếu Tối thiểu sáu tháng lần, tiến hành kiểm tra, thử nghiệm, đánh giá cập nhật quy trình đảm bảo hoạt động liên tục hệ thống CNTT trọng yếu Kế hoạch, quy trình đảm bảo hoạt động liên tục phải kiểm tra, đánh giá cập nhật có thay đổi hệ thống Điều 35 Cơng tác dự phòng thảm họa Xây dựng hệ thống dự phòng cho hệ thống CNTT trọng yếu đơn vị Các hệ thống dự phòng cách hệ thống tối thiểu 30 km tính theo đường thẳng nối hai hệ thống LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn Hệ thống dự phòng phải thay hệ thống vòng kể từ hệ thống có cố khơng khắc phục Tối thiểu ba tháng lần, phải chuyển hoạt động từ hệ thống sang hệ thống dự phòng để đảm bảo tính đồng sẵn sàng hệ thống dự phòng Tối thiểu ba tháng lần, tiến hành kiểm tra, đánh giá hoạt động hệ thống dự phòng MỤC 10 KIỂM TRA NỘI BỘ VÀ BÁO CÁO Điều 36 Kiểm tra nội Các đơn vị phải tự tổ chức kiểm tra việc tuân thủ quy định Thông tư tối thiểu năm lần Kết kiểm tra kiến nghị đề xuất phải lập thành báo cáo Điều 37 Báo cáo Các đơn vị có trách nhiệm gửi báo cáo Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) sau: Quy chế an toàn, bảo mật CNTT đơn vị: a) Đối với đơn vị ban hành quy chế an tồn, bảo mật CNTT trước ngày Thơng tư có hiệu lực: Các đơn vị gửi quy chế an toàn, bảo mật CNTT thời hạn 15 ngày kể từ ngày Thơng tư có hiệu lực b) Đối với đơn vị chưa ban hành quy chế an toàn, bảo mật CNTT kể từ ngày Thơng tư có hiệu lực: Các đơn vị phải ban hành gửi quy chế an toàn, bảo mật CNTT thời hạn tháng kể từ ngày Thơng tư có hiệu lực Báo cáo năm: a) Các chỉnh sửa, bổ sung quy chế an tồn, bảo mật CNTT có; Báo cáo kiểm tra nội đơn vị theo quy định Điều 36 Thông tư b) Thời hạn gửi báo cáo: Trước ngày 15 tháng hàng năm c) Hình thức mẫu báo cáo: Theo hướng dẫn Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) Báo cáo đột xuất: Khi xảy vụ, việc an toàn hệ thống CNTT, đơn vị gửi báo cáo đột xuất văn bản, cụ thể sau: a) Thời hạn gửi báo cáo: Trong thời hạn 10 ngày kể từ thời điểm vụ, việc phát b) Nội dung báo cáo đột xuất: - Ngày, địa điểm phát sinh vụ, việc; - Nguyên nhân vụ, việc; - Đánh giá rủi ro, ảnh hưởng hệ thống CNTT nghiệp vụ nơi xảy vụ, việc địa điểm khác có liên quan; LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia www.luatminhgia.com.vn - Các biện pháp đơn vị tiến hành để ngăn chặn, khắc phục phòng ngừa rủi ro; - Kiến nghị, đề xuất Chương ĐIỀU KHOẢN THI HÀNH Điều 38 Xử lý vi phạm Các tổ chức, cá nhân vi phạm quy định Thông tư này, tùy theo mức độ vi phạm bị xử lý theo quy định pháp luật Điều 39 Hiệu lực thi hành Thơng tư có hiệu lực thi hành sau bốn mươi lăm ngày kể từ ngày ký ban hành thay văn sau: - Quyết định số 04/2006/QĐ-NHNN ngày 18/01/2006 Thống đốc Ngân hàng Nhà nước ban hành Quy chế an toàn, bảo mật hệ thống công nghệ thông tin ngành Ngân hàng; - Quyết định số 14/2000/QĐ-NHNN16 ngày 07/01/2000 Thống đốc Ngân hàng Nhà nước việc ban hành Quy chế quản lý, sử dụng hệ thống tin học ngành Ngân hàng; - Quyết định số 864/2003/QĐ-NHNN ngày 05/8/2003 Thống đốc Ngân hàng Nhà nước việc sửa đổi, bổ sung số điều Quy chế quản lý, sử dụng hệ thống tin học ngành Ngân hàng ban hành kèm theo Quyết định số 14/2000/QĐ-NHNN16 ngày 07/01/2000 Trong q trình thực có vấn đề phát sinh, vướng mắc, đơn vị liên quan phản ánh kịp thời Ngân hàng Nhà nước Việt Nam để xem xét, bổ sung, sửa đổi Điều 40 Trách nhiệm thi hành Cục Công nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thi hành Thông tư đơn vị Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm phối hợp với Cục Công nghệ tin học kiểm tra việc thi hành Thông tư tổ chức tín dụng, chi nhánh ngân hàng nước ngồi xử lý vi phạm hành hành vi vi phạm theo quy định pháp luật Vụ Kiểm tốn nội có trách nhiệm thực kiểm tốn nội việc thi hành Thơng tư đơn vị thuộc Ngân hàng Nhà nước Việt Nam Thủ trưởng đơn vị liên quan thuộc Ngân hàng Nhà nước Việt Nam; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc trung ương; Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) tổ chức tín dụng, chi nhánh ngân hàng nước ngồi có trách nhiệm tổ chức triển khai kiểm tra việc thi hành đơn vị theo quy định Thông tư LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 Công ty Luật Minh Gia Nơi nhận: - Như Khoản Điều 40; - Ban lãnh đạo NHNN; - Văn phòng Chính phủ; - Bộ Tư pháp (để kiểm tra); - Công báo; - Lưu: VP, CNTH, PC www.luatminhgia.com.vn KT THỐNG ĐỐC PHĨ THỐNG ĐỐC Nguyễn Tồn Thắng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7: 1900 6169 ... VỀ ĐẢM BẢO AN TỒN, BẢO MẬT HỆ THỐNG CƠNG NGHỆ THƠNG TIN MỤC TỔ CHỨC ĐẢM BẢO AN TOÀN, BẢO MẬT CNTT Điều Quản lý an toàn, bảo mật CNTT nội đơn vị Thủ trưởng đơn vị phải trực tiếp đạo cơng tác đảm. .. đảm bảo an tồn, bảo mật CNTT quy định rõ trách nhiệm cơng tác đảm bảo an tồn, bảo mật CNTT cho cá nhân, phận Các cá nhân đơn vị liên quan đến bảo mật thông tin phải ký cam kết bảo mật thông tin. .. ngày 18 /01/ 2006 Thống đốc Ngân hàng Nhà nước ban hành Quy chế an toàn, bảo mật hệ thống công nghệ thông tin ngành Ngân hàng; - Quyết định số 14/2000/QĐ-NHNN16 ngày 07 /01/ 2000 Thống đốc Ngân hàng