Đăng ký
  1. Trang chủ
  2. » Thể loại khác

QUY ĐỊNH VỀ ĐẢM BẢO AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG NGÂN HÀNG

26 21 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Số: 31/2015/TT-NHNN CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Hà Nội, ngày 28 tháng 12 năm 2015 THÔNG TƯ QUY ĐỊNH VỀ ĐẢM BẢO AN TỒN, BẢO MẬT HỆ THỐNG CƠNG NGHỆ THƠNG TIN TRONG HOẠT ĐỘNG NGÂN HÀNG Căn Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng năm 2010; Căn Luật tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng năm 2010; Căn Luật Giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005; Căn Luật Công nghệ thông tin số 67/2006/QH11 ngày 29 tháng năm 2006; Căn Luật an tồn thơng tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015; Căn Nghị định số 156/2013/NĐ-CP ngày 11 tháng 11 năm 2013 Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Ngân hàng Nhà nước Việt Nam; Theo đề nghị Cục trưởng Cục Công nghệ tin học, Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin hoạt động ngân hàng Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh đối tượng áp dụng Thông tư quy định đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin hoạt động ngân hàng Thông tư áp dụng Ngân hàng Nhà nước Việt Nam (Ngân hàng Nhà nước), tổ chức tín dụng (trừ quỹ tín dụng nhân dân sở có tài sản 10 tỷ, tổ chức tài vi mơ), chi nhánh ngân hàng nước ngồi, tổ chức cung ứng dịch vụ trung gian toán (sau gọi chung đơn vị) Điều Giải thích từ ngữ Trong Thơng tư này, từ ngữ hiểu sau: Hệ thống cơng nghệ thơng tin tập hợp có cấu trúc trang thiết bị phần cứng, phần mềm, sở liệu hệ thống mạng để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ trao đổi thông tin số phục vụ cho nhiều hoạt động kỹ thuật, nghiệp vụ đơn vị Hệ thống công nghệ thông tin quan trọng hệ thống công nghệ thông tin phát sinh cố làm tổn hại nghiêm trọng đến hoạt động đơn vị làm tổn hại tới lợi ích khách hàng sử dụng dịch vụ đơn vị Trung tâm liệu bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) hệ thống máy tính thiết bị phụ trợ lắp đặt vào để lưu trữ, trao đổi quản lý tập trung liệu hay nhiều tổ chức, cá nhân Thiết bị di động thiết bị số cầm tay, có hệ điều hành, có khả xử lý, kết nối mạng có hình hiển thị máy tính xách tay, máy tính bảng, điện thoại di động thông minh Vật mang tin phương tiện vật chất dùng để lưu giữ truyền nhận thông tin điện tử Rủi ro công nghệ thông tin khả xảy tổn thất thực hoạt động liên quan đến hệ thống công nghệ thông tin Rủi ro công nghệ thông tin liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành người Quản lý rủi ro công nghệ thông tin hoạt động phối hợp nhằm nhận diện kiểm sốt rủi ro cơng nghệ thơng tin xảy Dữ liệu nhạy cảm liệu có thơng tin mật, thơng tin lưu hành nội đơn vị đơn vị quản lý, lộ lọt gây ảnh hưởng xấu đến danh tiếng, tài hoạt động đơn vị Tài khoản người dùng tập hợp thông tin đại diện cho người sử dụng hệ thống công nghệ thông tin, người dùng sử dụng để đăng nhập truy cập tài nguyên cấp phép hệ thống cơng nghệ thơng tin Tài khoản người dùng phải bao gồm tên định danh mã khóa bí mật 10 Bên thứ ba tổ chức, cá nhân đơn vị thuê hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống công nghệ thông tin 11 Tường lửa tập hợp thành phần hệ thống trang thiết bị, phần mềm đặt hai mạng, nhằm kiểm soát tất kết nối từ bên bên mạng ngược lại 12 Phần mềm độc hại (mã độc) phần mềm có khả gây hoạt động khơng bình thường cho phần hay tồn hệ thống thơng tin thực chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ hệ thống thông tin 13 Điểm yếu mặt kỹ thuật vị trí hệ thống cơng nghệ thơng tin dễ bị khai thác, lợi dụng bị công xâm nhập bất hợp pháp 14 Tính bảo mật thơng tin đảm bảo thông tin tiếp cận người cấp quyền tương ứng 15 Tính tồn vẹn thơng tin bảo vệ xác đầy đủ thông tin thông tin thay đổi người cấp quyền 16 Tính sẵn sàng thơng tin đảm bảo người cấp quyền truy xuất thơng tin có nhu cầu 17 An ninh mạng bảo vệ hệ thống công nghệ thông tin thông tin truyền đưa mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính tồn vẹn, tính bảo mật tính sẵn sàng thơng tin Điều Nguyên tắc chung Từng đơn vị phải đảm bảo an tồn, bảo mật hệ thống cơng nghệ thơng tin đơn vị Xác định hệ thống công nghệ thông tin quan trọng áp dụng sách đảm bảo an tồn bảo mật phù hợp Nhận biết, phân loại, đánh giá kịp thời xử lý có hiệu rủi ro cơng nghệ thơng tin xảy đơn vị Xây dựng, triển khai quy chế an toàn, bảo mật hệ thống công nghệ thông tin sở hài hịa lợi ích, chi phí mức độ chấp nhận rủi ro đơn vị Bố trí nhân chuyên trách chịu trách nhiệm đảm bảo an tồn, bảo mật hệ thống cơng nghệ thơng tin Xác định rõ quyền hạn, trách nhiệm thủ trưởng đơn vị (hoặc người đại diện hợp pháp), phận cá nhân đơn vị công tác đảm bảo an tồn, bảo mật hệ thống cơng nghệ thơng tin Điều Quy chế an tồn, bảo mật hệ thống công nghệ thông tin Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống công nghệ thông tin phù hợp với hệ thống công nghệ thông tin, cấu tổ chức, yêu cầu quản lý hoạt động đơn vị Quy chế an tồn, bảo mật hệ thống cơng nghệ thơng tin phải thủ trưởng đơn vị (hoặc người đại diện hợp pháp) ký ban hành, tổ chức thực hiện, triển khai toàn đơn vị Quy chế an tồn, bảo mật hệ thống cơng nghệ thơng tin quy định nội dung sau: a) Quản lý tài sản công nghệ thông tin; quản lý sử dụng thiết bị di động; quản lý sử dụng vật mang tin; b) Quản lý nguồn nhân lực; c) Đảm bảo an tồn mặt vật lý mơi trường; d) Quản lý vận hành truyền thông; đ) Quản lý truy cập; e) Quản lý dịch vụ công nghệ thông tin bên thứ ba; g) Quản lý tiếp nhận, phát triển, trì hệ thống thơng tin; h) Quản lý cố công nghệ thông tin; i) Đảm bảo hoạt động liên tục hệ thống công nghệ thông tin; k) Kiểm tra, báo cáo hoạt động công nghệ thơng tin Đơn vị phải rà sốt, chỉnh sửa, hoàn thiện quy chế an toàn, bảo mật hệ thống công nghệ thông tin tối thiểu năm lần, đảm bảo đầy đủ quy chế theo quy định Thông tư Khi phát bất cập, bất hợp lý gây an tồn hệ thống cơng nghệ thơng tin theo u cầu quan có thẩm quyền, đơn vị phải tiến hành chỉnh sửa, bổ sung quy chế an tồn, bảo mật hệ thống cơng nghệ thơng tin ban hành Chương II CÁC QUY ĐỊNH VỀ ĐẢM BẢO AN TỒN, BẢO MẬT HỆ THỐNG CƠNG NGHỆ THƠNG TIN Mục 1: QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN Điều Quản lý tài sản công nghệ thông tin Các loại tài sản công nghệ thông tin bao gồm: a) Tài sản vật lý: thiết bị công nghệ thông tin, phương tiện truyền thông thiết bị phục vụ cho hoạt động hệ thống công nghệ thông tin; b) Tài sản thông tin: liệu, thông tin dạng số, tài liệu thể văn giấy phương tiện khác; c) Tài sản phần mềm: phần mềm hệ thống, phần mềm tiện ích, sở liệu, chương trình ứng dụng công cụ phát triển Đơn vị thực việc lập danh sách tất tài sản cơng nghệ thơng tin, rà sốt cập nhật danh sách tối thiểu năm lần Căn phân loại tài sản công nghệ thông tin Khoản Điều này, đơn vị xây dựng thực quy định quản lý sử dụng tài sản theo quy định Điều 6, 7, 8, Điều 10 Thông tư Điều Quản lý tài sản vật lý Danh sách tài sản vật lý lập với thông tin gồm: tên tài sản, giá trị, mức độ quan trọng, vị trí lắp đặt, mục đích sử dụng, tình trạng sử dụng, thơng tin quyền (nếu có) Đơn vị phải xác định, đánh giá mức độ rủi ro, mức độ quan trọng, yêu cầu tính sẵn sàng tài sản vật lý để phân loại, xếp tài sản thực việc trang bị, biện pháp bảo vệ phù hợp Đối với tài sản vật lý cấu phần hệ thống công nghệ thông tin quan trọng trung tâm liệu phải có biện pháp dự phịng đảm bảo tính sẵn sàng cao cho hoạt động liên tục Tài sản vật lý phải giao, gán trách nhiệm cho cá nhân tập thể quản lý, sử dụng Tài sản vật lý mang khỏi đơn vị phải phê duyệt thủ trưởng đơn vị người thủ trưởng ủy quyền Đối với tài sản vật lý có chứa thơng tin, liệu nhạy cảm trước mang khỏi đơn vị phải thực biện pháp bảo vệ để giữ bí mật thông tin, liệu lưu trữ tài sản Đơn vị phải xây dựng kế hoạch, quy trình bảo trì, bảo dưỡng tổ chức thực chủng loại tài sản vật lý theo quy định Ngân hàng Nhà nước bảo trì trang thiết bị tin học ngành ngân hàng Tài sản vật lý có lưu trữ liệu nhạy cảm thay đổi mục đích sử dụng lý, đơn vị phải thực biện pháp xóa, tiêu hủy liệu đảm bảo khơng có khả phục hồi Trường hợp tiêu hủy liệu, đơn vị phải thực biện pháp tiêu hủy cấu phần lưu trữ liệu tài sản Đối với tài sản vật lý thiết bị di động, vật mang tin, quy định Điều này, đơn vị xây dựng thực quản lý theo quy định Điều 9, Điều 10 Thông tư Điều Quản lý tài sản thông tin Đơn vị phải lập danh mục, quy định thẩm quyền, trách nhiệm người tiếp cận, khai thác loại tài sản thông tin Đơn vị phải phân loại đánh giá mức độ rủi ro, tầm quan trọng dựa yêu cầu tính bảo mật, tính tồn vẹn, tính sẵn sàng cho việc sử dụng tài sản thông tin để thực biện pháp quản lý, bảo vệ phù hợp Đối với tài sản thông tin chứa liệu nhạy cảm, đơn vị phải thực biện pháp mã hóa để đảm bảo an tồn, bảo mật trình trao đổi, lưu trữ Điều Quản lý tài sản phần mềm Danh sách tài sản phần mềm lập với thông tin gồm: tên tài sản, giá trị, mức độ quan trọng, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin quyền, phiên bản, nơi lưu giữ Đơn vị phải phân loại đánh giá mức độ rủi ro dựa yêu cầu tính bảo mật, tính tồn vẹn, tính sẵn sàng cho việc sử dụng tài sản phần mềm để thực biện pháp quản lý, bảo vệ phù hợp Đơn vị phải xây dựng kế hoạch, quy trình bảo trì tổ chức thực loại tài sản phần mềm theo quy định Ngân hàng Nhà nước bảo trì trang thiết bị tin học ngành ngân hàng Điều Quản lý sử dụng thiết bị di động Các thiết bị di động kết nối vào hệ thống mạng nội đơn vị phải đăng ký để kiểm soát Giới hạn phạm vi kết nối từ thiết bị di động đến dịch vụ, hệ thống thơng tin đơn vị; kiểm sốt kết nối từ thiết bị di động tới hệ thống thông tin phép sử dụng đơn vị Đơn vị phải quy định trách nhiệm người sử dụng thiết bị di động, bao gồm yêu cầu tối thiểu sau: a) Bảo vệ thiết bị chống hư hỏng, cắp, thất lạc; b) Kiểm soát phần mềm cài đặt; cập nhật phiên phần mềm vá lỗi thiết bị di động; c) Cài đặt tính mã hóa liệu; mã khóa bí mật bảo vệ; phần mềm phịng chống mã độc lỗi bảo mật khác; d) Thiết lập chức vơ hiệu hóa, khóa thiết bị xóa liệu từ xa trường hợp thất lạc bị cắp; đ) Sao lưu liệu thiết bị di động nhằm bảo vệ, khôi phục liệu cần thiết; e) Thực biện pháp bảo vệ liệu bảo hành, bảo trì, sửa chữa thiết bị di động Điều 10 Quản lý sử dụng vật mang tin Đơn vị có trách nhiệm: Kiểm soát việc đấu nối, gỡ bỏ vật mang tin với thiết bị thuộc hệ thống công nghệ thông tin Triển khai biện pháp bảo đảm an toàn vật mang tin vận chuyển, lưu trữ Thực biện pháp bảo vệ liệu nhạy cảm chứa vật mang tin Khi không sử dụng sử dụng vật mang tin chứa liệu nhạy cảm cho mục đích khác phải thực xóa, tiêu hủy liệu lưu trữ đảm bảo khơng có khả phục hồi Quy định trách nhiệm cá nhân quản lý, sử dụng vật mang tin Mục 2: QUẢN LÝ NGUỒN NHÂN LỰC Điều 11 Tuyển dụng phân công nhiệm vụ Xác định trách nhiệm việc đảm bảo an toàn, bảo mật hệ thống cơng nghệ thơng tin vị trí cần tuyển dụng phân công Khi tuyển dụng, phân công người làm việc vị trí quan trọng hệ thống công nghệ thông tin quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị sở liệu, đơn vị phải xem xét, đánh giá nghiêm ngặt tư cách đạo đức, trình độ chun mơn thơng qua lý lịch, lý lịch tư pháp Yêu cầu người tuyển dụng phải cam kết bảo mật thông tin văn riêng cam kết hợp đồng lao động Cam kết phải bao gồm điều khoản trách nhiệm đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin sau làm việc đơn vị Nhân tuyển dụng phải đào tạo, phổ biến quy định đơn vị an tồn, bảo mật hệ thống cơng nghệ thông tin Điều 12 Quản lý sử dụng nguồn nhân lực Đơn vị có trách nhiệm thực hiện: Phổ biến cập nhật quy định an toàn, bảo mật hệ thống công nghệ thông tin cho tất cán bộ, nhân viên Kiểm tra việc thi hành quy định an toàn, bảo mật hệ thống công nghệ thông tin cá nhân, tổ chức trực thuộc tối thiểu năm lần Áp dụng biện pháp xử lý kỷ luật cán bộ, nhân viên đơn vị vi phạm quy định an tồn, bảo mật hệ thống cơng nghệ thông tin theo quy định pháp luật Khi cài đặt, cấu hình hệ thống, thiết bị quan trọng (máy chủ, phần mềm ứng dụng hệ thống an ninh mạng) mơi trường thức cán bộ, nhân viên đơn vị thực phải có biện pháp giám sát Trường hợp thực sở liệu trường hợp bên thứ ba thực phải có cán bộ, nhân viên đơn vị giám sát Tách biệt nhân giữa: a) Phát triển quản trị vận hành hệ thống công nghệ thông tin; b) Quản trị sở liệu phát triển ứng dụng; c) Quản trị sở liệu vận hành ứng dụng; d) Quản trị hệ thống cơng nghệ thơng tin hệ thống cơng nghệ thơng tin dự phịng Có biện pháp quản lý tài khoản người dùng cán bộ, nhân viên hệ thống công nghệ thông tin quan trọng cá nhân nghỉ khơng đến trụ sở làm việc Rà soát, kiểm tra quyền truy cập vào hệ thống công nghệ thông tin tất cán bộ, nhân viên đảm bảo quyền truy cập phù hợp với nhiệm vụ giao theo định kỳ tối thiểu ba tháng lần hệ thống công nghệ thông tin quan trọng sáu tháng lần hệ thống công nghệ thông tin khác Điều 13 Chấm dứt thay đổi công việc Khi cán bộ, nhân viên chấm dứt thay đổi công việc, đơn vị phải: Xác định rõ trách nhiệm cán bộ, nhân viên bên liên quan quản lý, vận hành khai thác hệ thống công nghệ thông tin Làm biên bàn giao tài sản công nghệ thông tin với cán bộ, nhân viên Thu hồi quyền truy cập hệ thống công nghệ thông tin cán bộ, nhân viên nghỉ việc Thay đổi quyền truy cập hệ thống công nghệ thông tin cán bộ, nhân viên thay đổi công việc đảm bảo nguyên tắc quyền vừa đủ để thực nhiệm vụ giao Rà soát, kiểm tra đối chiếu định kỳ tối thiểu ba tháng lần phận quản lý nhân phận quản lý cấp phát, thu hồi quyền truy cập hệ thống công nghệ thông tin để đảm bảo tài khoản người dùng cán bộ, nhân viên nghỉ việc thu hồi Thông báo cho Ngân hàng Nhà nước (Cục Công nghệ tin học) trường hợp cá nhân làm việc lĩnh vực cơng nghệ thơng tin bị kỷ luật với hình thức sa thải, buộc việc bị truy tố trước pháp luật vi phạm quy định an toàn bảo mật hệ thống công nghệ thông tin Mục 3: ĐẢM BẢO AN TỒN VỀ MẶT VẬT LÝ VÀ MƠI TRƯỜNG NƠI LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN Điều 14 Yêu cầu chung nơi lắp đặt trang thiết bị công nghệ thông tin Bảo vệ tường bao, cổng vào có biện pháp kiểm soát, hạn chế rủi ro xâm nhập trái phép Thực biện pháp phòng chống nguy cháy nổ, ngập lụt Các khu vực có u cầu cao an tồn, bảo mật khu vực lắp đặt máy chủ, thiết bị lưu trữ, thiết bị an ninh bảo mật, thiết bị truyền thông phải cách ly với khu vực dùng chung, phân phối, chuyển hàng; ban hành nội quy, hướng dẫn làm việc áp dụng biện pháp kiểm soát vào khu vực Điều 15 Yêu cầu trung tâm liệu Ngoài việc đảm bảo yêu cầu Điều 14 Thông tư này, Trung tâm liệu phải đảm bảo yêu cầu sau: Cổng/cửa vào trung tâm liệu phải có người kiểm sốt 24/7 Khu vực lắp đặt thiết bị phải tránh nắng chiếu rọi trực tiếp, chống thấm dột nước, tránh ngập lụt Cửa vào phải chắn, có khả chống cháy, sử dụng hai loại khóa khác (khóa cơ, thẻ, mã số, sinh trắc học) Khu vực lắp đặt thiết bị hệ thống công nghệ thông tin quan trọng phải bảo vệ, giám sát 24/7 Có tối thiểu nguồn điện lưới nguồn điện máy phát Có hệ thống chuyển mạch tự động hai nguồn điện, cắt điện lưới máy phát phải tự động khởi động cấp nguồn thời gian tối đa ba phút Nguồn điện phải đấu nối qua hệ thống UPS để cấp nguồn cho thiết bị, đảm bảo khả trì hoạt động thiết bị thời gian tối thiểu 30 phút Có hệ thống điều hịa khơng khí đảm bảo khả hoạt động liên tục Có hệ thống chống sét trực tiếp lan truyền Có hệ thống báo cháy chữa cháy tự động đảm bảo chữa cháy không làm hư hỏng thiết bị lắp đặt bên Có hệ thống sàn kỹ thuật lớp cách ly chống nhiễm điện Có hệ thống camera giám sát, lưu trữ liệu tối thiểu 100 ngày 10 Có hệ thống theo dõi, kiểm sốt nhiệt độ, độ ẩm 11 Có sổ ghi nhật ký vào Điều 16 An toàn, bảo mật tài sản vật lý Tài sản vật lý phải bố trí, lắp đặt địa điểm an toàn bảo vệ để giảm thiểu rủi ro đe dọa, hiểm họa từ môi trường xâm nhập trái phép Tài sản vật lý thuộc hệ thống công nghệ thông tin quan trọng phải bảo đảm nguồn điện hệ thống hỗ trợ nguồn điện bị gián đoạn Phải có biện pháp chống tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp đất; có hệ thống máy phát điện dự phịng hệ thống lưu điện đảm bảo thiết bị hoạt động liên tục Dây cáp cung cấp nguồn điện dây cáp truyền thông sử dụng truyền tải liệu hay dịch vụ hỗ trợ thông tin phải bảo vệ khỏi xâm phạm hư hại Tất thiết bị lưu trữ liệu phải kiểm tra để đảm bảo liệu quan trọng phần mềm có quyền lưu trữ thiết bị xóa bỏ ghi đè khơng có khả khơi phục trước loại bỏ tái sử dụng cho mục đích khác Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngồi trụ sở đơn vị phải có biện pháp giám sát, bảo vệ an tồn phịng chống truy cập bất hợp pháp Mục 4: QUẢN LÝ VẬN HÀNH VÀ TRAO ĐỔI THÔNG TIN Điều 17 Trách nhiệm quản lý quy trình vận hành đơn vị Ban hành quy trình vận hành hệ thống công nghệ thông tin, tối thiểu bao gồm: Quy trình khởi động, đóng hệ thống; quy trình lưu, phục hồi liệu; quy trình vận hành ứng dụng; quy trình xử lý cố; quy trình giám sát ghi nhật ký hoạt động hệ thống Trong phải xác định rõ phạm vi, trách nhiệm người sử dụng, vận hành hệ thống Kiểm soát thay đổi phiên phần mềm, cấu hình phần cứng, quy trình vận hành: ghi chép lại thay đổi; lập kế hoạch, thực kiểm tra, thử nghiệm thay đổi, báo cáo kết phải phê duyệt trước áp dụng thức Có phương án dự phòng cho việc phục hồi hệ thống trường hợp thực thay đổi không thành công gặp cố khơng có khả dự tính trước Hệ thống cơng nghệ thơng tin vận hành thức phải đáp ứng yêu cầu: a) Tách biệt với môi trường phát triển môi trường kiểm tra, thử nghiệm; b) Áp dụng giải pháp an ninh, an tồn; c) Khơng cài đặt cơng cụ, phương tiện phát triển ứng dụng hệ thống vận hành thức Đối với hệ thống cơng nghệ thông tin xử lý giao dịch khách hàng: Lập, lưu trữ hồ sơ sơ đồ logic vật lý hệ thống mạng máy tính, bao gồm mạng diện rộng (WAN/Intranet) mạng cục (LAN) Trang bị giải pháp an ninh mạng để kiểm soát, phát ngăn chặn kịp thời kết nối, truy cập không phép vào hệ thống mạng Thiết lập, cấu hình đầy đủ tính hệ thống an ninh mạng Thực biện pháp, giải pháp để dị tìm phát kịp thời điểm yếu, lỗ hổng mặt kỹ thuật hệ thống mạng Thường xuyên kiểm tra, phát kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng Điều 21 Trao đổi thơng tin Đơn vị có trách nhiệm: Ban hành quy định trao đổi thông tin tối thiểu gồm: Phân loại thông tin theo mức độ nhạy cảm; quyền trách nhiệm cá nhân tiếp cận thông tin; biện pháp đảm bảo tính tồn vẹn, bảo mật truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thông tin Các thông tin, tài liệu, liệu nhạy cảm phải mã hóa trước trao đổi, truyền nhận qua mạng máy tính vật mang tin Thực biện pháp quản lý, giám sát kiểm soát chặt chẽ trang thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho khách hàng Có văn thỏa thuận cho việc trao đổi thông tin với bên Xác định trách nhiệm nghĩa vụ pháp lý bên tham gia Thực biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nội nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp thông tin nhạy cảm Điều 22 Quản lý dịch vụ giao dịch trực tuyến Yêu cầu hệ thống công nghệ thông tin phục vụ cho việc cung cấp dịch vụ giao dịch trực tuyến cho khách hàng: a) Phải đảm bảo tính sẵn sàng cao có khả phục hồi nhanh chóng; b) Dữ liệu đường truyền phải mã hóa phải truyền đầy đủ, địa chỉ, tránh bị sửa đổi, tiết lộ nhân cách trái phép; c) Xác thực giao dịch tối thiểu hai yếu tố Đối với giao dịch giá trị cao phải xác thực phương thức xác thực mạnh sinh trắc học (vân tay, tĩnh mạch ngón tay bàn tay, mống mắt, giọng nói, khn mặt) chữ ký số; d) Trang thông tin điện tử giao dịch trực tuyến phải chứng thực chống giả mạo phải áp dụng biện pháp bảo vệ nhằm ngăn chặn, chống sửa đổi trái phép Xác thực giao dịch khách hàng phải thực trực tiếp hệ thống cơng nghệ thơng tin đơn vị Kiểm sốt chặt chẽ việc truy cập vào hệ thống giao dịch trực tuyến từ bên mạng nội Hệ thống dịch vụ giao dịch trực tuyến phải giám sát chặt chẽ có khả phát hiện, cảnh báo về: a) Các giao dịch đáng ngờ, gian lận dựa vào việc xác định thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định dấu hiệu bất thường khác; b) Hoạt động bất thường hệ thống; c) Các công từ chối dịch vụ (DoS - Denial of Service attack), công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service attack) Thông tin nhạy cảm khách hàng (mã PIN mã khóa bí mật) phải mã hóa lớp ứng dụng Khách hàng trước tham gia sử dụng dịch vụ giao dịch trực tuyến phải cảnh báo rủi ro, hướng dẫn biện pháp an tồn, bảo mật Khơng cung cấp phần mềm ứng dụng giao dịch trực tuyến Internet chưa áp dụng biện pháp đảm bảo an toàn, bảo mật cho khách hàng Điều 23 Giám sát ghi nhật ký hoạt động hệ thống công nghệ thông tin Ghi lưu trữ nhật ký hoạt động hệ thống công nghệ thông tin người sử dụng, lỗi phát sinh, cố an tồn hệ thống cơng nghệ thơng tin Dữ liệu nhật ký phải lưu trữ trực tuyến tối thiểu ba tháng lưu tối thiểu năm Thực biện pháp giám sát, phân tích nhật ký, cảnh báo rủi ro, xử lý báo cáo kết Bảo vệ chức ghi nhật ký thông tin nhật ký, chống giả mạo truy cập trái phép Người quản trị hệ thống người sử dụng khơng xóa hay sửa đổi nhật ký hệ thống ghi lại hoạt động họ Thực việc đồng thời gian hệ thống cơng nghệ thơng tin Điều 24 Phịng chống mã độc Xây dựng thực quy định phòng chống mã độc đáp ứng yêu cầu sau: Xác định trách nhiệm người sử dụng phận liên quan công tác phòng chống mã độc Triển khai biện pháp, giải pháp phịng chống mã độc cho tồn hệ thống công nghệ thông tin đơn vị Cập nhật mẫu mã độc phần mềm phòng chống mã độc Kiểm tra, diệt mã độc vật mang tin nhận từ bên trước sử dụng Kiểm soát việc cài đặt phần mềm đảm bảo tuân thủ theo quy chế an toàn, bảo mật đơn vị Kiểm soát thư điện tử lạ, tệp tin đính kèm liên kết thư lạ Mục 5: CÁC BIỆN PHÁP QUẢN LÝ TRUY CẬP Điều 25 Yêu cầu nghiệp vụ kiểm soát truy cập Quy định quản lý truy cập người sử dụng, nhóm người sử dụng, thiết bị, công cụ sử dụng để truy cập đảm bảo đáp ứng yêu cầu nghiệp vụ yêu cầu an toàn, bảo mật, bao gồm nội dung sau: a) Đăng ký, cấp phát, gia hạn thu hồi quyền truy cập người sử dụng; b) Giới hạn kiểm soát truy cập sử dụng tài khoản quản trị hệ thống công nghệ thông tin; c) Quản lý, cấp phát mã khóa bí mật truy cập mạng, hệ điều hành, truy cập hệ thống thơng tin ứng dụng; d) Rà sốt, kiểm tra, xét duyệt lại quyền truy cập người sử dụng; đ) Yêu cầu, điều kiện an toàn, bảo mật thiết bị, công cụ sử dụng để truy cập Quy định quản lý mã khóa bí mật phải đáp ứng yêu cầu sau: a) Mã khóa bí mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm ký tự số, chữ hoa, chữ thường ký tự đặc biệt khác hệ thống cho phép Các yêu cầu mã khóa bí mật hợp lệ phải kiểm tra tự động thiết lập mã khóa bí mật; b) Các mã khóa bí mật mặc định nhà sản xuất cài đặt sẵn trang thiết bị, phần mềm, sở liệu phải thay đổi trước đưa vào sử dụng; c) Phần mềm quản lý mã khóa bí mật phải có chức năng: Thơng báo người sử dụng thay đổi mã khóa bí mật hết hạn sử dụng; hủy hiệu lực mã khóa bí mật hết hạn sử dụng; cho phép thay đổi mã khóa bí mật bị lộ, có nguy bị lộ theo yêu cầu người sử dụng; ngăn chặn việc sử dụng lại mã khóa bí mật cũ khoảng thời gian định Quy định trách nhiệm người sử dụng cấp quyền truy cập: Sử dụng mã khóa bí mật quy định, giữ bí mật mã khóa bí mật, sử dụng thiết bị, công cụ để truy cập theo quy định, khỏi hệ thống khơng làm việc hệ thống tạm thời không làm việc hệ thống Điều 26 Quản lý truy cập mạng nội Quy định quản lý truy cập mạng dịch vụ mạng gồm nội dung sau: a) Các mạng dịch vụ mạng phép sử dụng, cách thức, phương tiện điều kiện an toàn bảo mật để truy cập; b) Trách nhiệm người quản trị, người truy cập; c) Thủ tục cấp phát, thay đổi, thu hồi quyền kết nối; d) Kiểm soát việc quản trị, truy cập, sử dụng mạng Thực biện pháp kiểm soát chặt chẽ kết nối từ bên vào mạng nội đơn vị đảm bảo an toàn, bảo mật Kiểm sốt việc cài đặt, sử dụng cơng cụ phần mềm hỗ trợ truy cập từ xa Kiểm sốt truy cập cổng dùng để cấu hình quản trị thiết bị mạng Cấp quyền truy cập mạng dịch vụ mạng phải đảm bảo nguyên tắc quyền vừa đủ để thực nhiệm vụ giao Điều 27 Quản lý truy cập hệ điều hành Mỗi người sử dụng hệ điều hành phải có định danh xác thực, nhận dạng, lưu dấu vết truy cập hệ điều hành Yêu cầu sử dụng biện pháp xác thực đa thành tố, tên định danh/mã khóa bí mật thành tố khác (như sinh trắc học thẻ mật dùng lần, ) truy cập từ xa vào hệ thống công nghệ thông tin quan trọng, tối thiểu bao gồm hệ thống máy chủ, thiết bị mạng an ninh bảo mật Quy định giới hạn kiểm sốt chặt chẽ tiện ích hệ thống có khả ảnh hưởng đến hệ thống chương trình ứng dụng khác Tự động ngắt phiên làm việc sau thời gian không sử dụng, nhằm ngăn chặn truy cập trái phép Quy định giới hạn thời gian kết nối với ứng dụng có độ rủi ro cao Điều 28 Quản lý truy cập Internet Quy định quản lý kết nối, truy cập sử dụng Internet gồm nội dung sau: a) Trách nhiệm cá nhân phận có liên quan khai thác sử dụng Internet; b) Đối tượng người dùng phép truy cập, kết nối sử dụng Internet; c) Các hành vi bị cấm, hạn chế; d) Kiểm soát kết nối, truy cập sử dụng Internet; đ) Các biện pháp đảm bảo an tồn thơng tin kết nối Internet Thực quản lý tập trung, thống cổng kết nối Internet tồn đơn vị Phải kiểm sốt truy cập khách hàng Internet thông qua cổng kết nối đơn vị cung cấp Triển khai giải pháp an ninh mạng cổng kết nối Internet để đảm bảo an toàn trước hiểm họa công từ Internet vào mạng nội đơn vị Sử dụng cơng cụ để dị tìm phát kịp thời điểm yếu, lỗ hổng công, truy cập bất hợp pháp vào hệ thống mạng nội đơn vị thông qua cổng kết nối Internet Điều 29 Kiểm soát truy cập thông tin ứng dụng Quản lý phân quyền truy cập thông tin ứng dụng đảm bảo nguyên tắc cấp quyền vừa đủ để thực nhiệm vụ giao người sử dụng: a) Phân quyền truy cập đến thư mục, chức chương trình; b) Phân quyền đọc, ghi, xóa, thực thi thơng tin, liệu, chương trình Các hệ thống thông tin quan trọng phải đặt môi trường mạng máy tính riêng Các hệ thống thơng tin sử dụng nguồn tài nguyên chung phải người quản trị hệ thống chấp nhận Mục 6: QUẢN LÝ DỊCH VỤ CÔNG NGHỆ THÔNG TIN CỦA BÊN THỨ BA Điều 30 Ký kết hợp đồng với bên thứ ba Đơn vị phải thực hiện: Đánh giá lực kỹ thuật, nhân sự, khả tài bên thứ ba trước ký kết hợp đồng cung cấp hàng hóa, dịch vụ Xác định rõ trách nhiệm, quyền hạn nghĩa vụ bên an tồn, bảo mật cơng nghệ thơng tin ký hợp đồng Hợp đồng với bên thứ ba phải bao gồm điều khoản việc xử lý vi phạm trách nhiệm bồi thường thiệt hại bên thứ ba vi phạm bên thứ ba gây Xác định, đánh giá rủi ro phát sinh áp dụng biện pháp quản lý rủi ro hệ thống công nghệ thông tin đơn vị liên quan tới việc thực hợp đồng bên thứ ba Đơn vị không th bên thứ ba thực tồn cơng việc quản trị (chỉnh sửa cấu hình, liệu, nhật ký) hệ thống công nghệ thông tin quan trọng Điều 31 Trách nhiệm đơn vị quản lý dịch vụ bên thứ ba cung cấp Cung cấp, thông báo yêu cầu bên thứ ba thực quy định đơn vị an tồn bảo mật hệ thống cơng nghệ thơng tin Giám sát kiểm tra dịch vụ bên thứ ba cung cấp đảm bảo mức độ cung cấp dịch vụ, khả hoạt động hệ thống đáp ứng theo thỏa thuận ký kết Đảm bảo triển khai, trì biện pháp an tồn, bảo mật dịch vụ bên thứ ba cung cấp theo thỏa thuận Quản lý thay đổi dịch vụ bên thứ ba cung cấp bao gồm: Nâng cấp phiên mới; sử dụng kỹ thuật mới, công cụ môi trường phát triển Đánh giá đầy đủ tác động việc thay đổi, đảm bảo an toàn đưa vào sử dụng Xác định ghi rõ tính an tồn, mức độ bảo mật dịch vụ yêu cầu quản lý thỏa thuận dịch vụ bên thứ ba cung cấp Áp dụng biện pháp giám sát chặt chẽ giới hạn quyền truy cập bên thứ ba cho phép họ truy cập vào hệ thống công nghệ thông tin đơn vị Giám sát nhân bên thứ ba trình thực hợp đồng Khi phát nhân bên thứ ba vi phạm quy định an toàn bảo mật phải thông báo phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời Thu hồi quyền truy cập hệ thống công nghệ thông tin cấp cho bên thứ ba, thay đổi khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba sau hồn thành cơng việc kết thúc hợp đồng Điều 32 Trách nhiệm bên thứ ba cung cấp dịch vụ công nghệ thông tin Ký thực cam kết bảo mật thơng tin q trình triển khai sau hoàn tất hợp đồng Lập kế hoạch, bố trí nhân nguồn lực khác để thực hợp đồng Thông báo danh sách nhân triển khai cho bên ký kết hợp đồng phải đơn vị chấp thuận Nhân bên thứ ba phải ký cam kết không tiết lộ thông tin quan trọng bên ký kết hợp đồng Phổ biến quy định, quy chế an toàn bảo mật bên ký kết hợp đồng cho nhân tham gia triển khai thực biện pháp giám sát đảm bảo tuân thủ Tạm dừng đình hoạt động, thu hồi quyền truy cập thông báo cho bên ký kết hợp đồng phát nhân vi phạm quy định an toàn bảo mật Bồi thường thiệt hại nhân tham gia thực hợp đồng gây Hồ sơ nghiệm thu hợp đồng phải bao gồm báo cáo chi tiết mặt kỹ thuật, hồ sơ hồn cơng lắp đặt thiết bị, cấu hình phần mềm, hướng dẫn vận hành (nếu có) theo nội dung cơng việc bên thứ ba thực Bàn giao tài sản, quyền truy cập hệ thống công nghệ thông tin bên ký kết hợp đồng cung cấp hồn thành cơng việc kết thúc hợp đồng Mục 7: TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG CƠNG NGHỆ THƠNG TIN Điều 33 Yêu cầu an toàn, bảo mật cho hệ thống công nghệ thông tin Khi xây dựng cải tiến hệ thống công nghệ thông tin, đơn vị phải: Xây dựng yêu cầu an toàn, bảo mật đồng thời với việc đưa yêu cầu kỹ thuật, nghiệp vụ Đánh giá mức độ đáp ứng yêu cầu an toàn, bảo mật sau hoàn thành xây dựng cải tiến hệ thống công nghệ thông tin Kết đánh giá phải lập thành báo cáo thủ trưởng đơn vị phê duyệt trước đưa vào vận hành thức Điều 34 Đảm bảo an toàn, bảo mật ứng dụng Các chương trình ứng dụng nghiệp vụ phải đạt yêu cầu tối thiểu sau: Kiểm tra tính hợp lệ liệu nhập vào ứng dụng, đảm bảo liệu nhập vào xác hợp lệ Kiểm tra tính hợp lệ liệu cần xử lý tự động ứng dụng nhằm phát thông tin sai lệch lỗi trình xử lý hành vi sửa đổi thơng tin có chủ ý Có biện pháp đảm bảo tính xác thực bảo vệ toàn vẹn liệu xử lý ứng dụng Kiểm tra tính hợp lệ liệu xuất từ ứng dụng, đảm bảo q trình xử lý thơng tin ứng dụng xác hợp lệ Mã khóa bí mật người sử dụng hệ thống công nghệ thông tin quan trọng phải mã hóa lớp ứng dụng Điều 35 Quản lý mã hóa Quy định đưa vào sử dụng biện pháp mã hóa theo chuẩn quốc gia quốc tế cơng nhận, có biện pháp quản lý khóa để bảo vệ thơng tin đơn vị Sử dụng giải thuật mã hóa như: a) AES: Advanced Encryption Standard; b) 3DES: Triple Data Encryption Standard; c) RSA: Rivest-Shamir-Adleman; d) Giải thuật khác Dữ liệu mã khóa bí mật khách hàng, mã khóa bí mật người sử dụng liệu nhạy cảm khác phải mã hóa, bảo vệ truyền mạng lưu trữ Điều 36 An toàn, bảo mật chương trình nguồn, liệu kiểm thử tệp tin cấu hình hệ thống Đơn vị phải có quy định về: a) Quản lý, kiểm sốt chương trình nguồn Việc truy cập, tiếp cận chương trình nguồn phải phê duyệt thủ trưởng đơn vị b) Quản lý, bảo vệ tệp tin cấu hình hệ thống Đơn vị phải xây dựng quy trình lựa chọn, quản lý kiểm soát liệu kiểm tra, thử nghiệm Không sử dụng liệu thật hệ thống công nghệ thông tin vận hành thức cho hoạt động kiểm thử chưa thực biện pháp che giấu thay đổi liệu nhạy cảm Điều 37 Quản lý thay đổi hệ thống công nghệ thông tin Ban hành quy trình, biện pháp quản lý kiểm sốt thay đổi hệ thống công nghệ thông tin, tối thiểu bao gồm: Khi thay đổi hệ điều hành phải kiểm tra xem xét ứng dụng nghiệp vụ quan trọng để đảm bảo hệ thống hoạt động ổn định, an tồn mơi trường Việc sửa đổi gói phần mềm phải quản lý kiểm soát chặt chẽ Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên Điều 38 Đánh giá an ninh bảo mật hệ thống công nghệ thông tin Đơn vị phải thực đánh giá an ninh bảo mật hệ thống công nghệ thông tin với nội dung sau: a) Đánh giá kiến trúc hệ thống để xác định tính phù hợp thiết bị lắp đặt với kiến trúc hệ thống tổng thể yêu cầu an ninh bảo mật; b) Đánh giá tình trạng hoạt động, cấu hình hệ thống cơng nghệ thơng tin đảm bảo hệ thống hoạt động theo tiêu chuẩn, định mức, yêu cầu kỹ thuật quy định Khoản Điều 18 Thơng tư này; c) Kiểm tra cấu hình thiết bị bảo mật, hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản người dùng; d) Kiểm tra thử nghiệm mức độ an toàn mạng (Penetration Test), bắt buộc phải thực hệ thống công nghệ thơng tin có kết nối cung cấp thơng tin, dịch vụ Internet Định đánh giá an ninh bảo mật hệ thống công nghệ thông tin, tối thiểu sau: a) Sáu tháng lần trang thiết bị giao tiếp trực tiếp với mơi trường bên ngồi Internet, kết nối với khách hàng bên thứ ba theo nội dung Điểm b, c, d Khoản Điều này; b) Mỗi năm lần hệ thống công nghệ thông tin quan trọng, hai năm lần hệ thống công nghệ thông tin khác theo nội dung Khoản Điều Kết đánh giá phải lập thành văn báo cáo thủ trưởng đơn vị Đối với nội dung chưa tuân thủ quy định an toàn bảo mật hoạt động cơng nghệ thơng tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục Điều 39 Quản lý điểm yếu mặt kỹ thuật Có quy định việc đánh giá, quản lý kiểm soát điểm yếu mặt kỹ thuật hệ thống công nghệ thông tin sử dụng Đơn vị phải chủ động phát điểm yếu mặt kỹ thuật: a) Thường xuyên cập nhật thông tin liên quan đến lỗ hổng, điểm yếu mặt kỹ thuật; b) Thực dò quét, phát lỗ hổng, điểm yếu mặt kỹ thuật hệ thống công nghệ thông tin sử dụng tối thiểu ba tháng lần hệ thống có kết nối với mơi trường bên ngoài, sáu tháng lần hệ thống khác Đánh giá mức độ tác động, rủi ro lỗ hổng, điểm yếu mặt kỹ thuật phát hệ thống công nghệ thông tin sử dụng đưa phương án xử lý ... thẩm quy? ??n, đơn vị phải tiến hành chỉnh sửa, bổ sung quy chế an toàn, bảo mật hệ thống công nghệ thông tin ban hành Chương II CÁC QUY ĐỊNH VỀ ĐẢM BẢO AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN. .. cố công nghệ thông tin; i) Đảm bảo hoạt động liên tục hệ thống công nghệ thông tin; k) Kiểm tra, báo cáo hoạt động công nghệ thông tin Đơn vị phải rà sốt, chỉnh sửa, hồn thiện quy chế an tồn, bảo. .. TRÌ HỆ THỐNG CÔNG NGHỆ THÔNG TIN Điều 33 Yêu cầu an tồn, bảo mật cho hệ thống cơng nghệ thơng tin Khi xây dựng cải tiến hệ thống công nghệ thông tin, đơn vị phải: Xây dựng yêu cầu an toàn, bảo mật

Ngày đăng: 07/11/2021, 14:49

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w