Hoàn thiện quy trình bảo mật thôngtin

Một phần của tài liệu (LUẬN văn THẠC sĩ) ảnh hưởng của bảo mật thông tin đến hoạt động thanh toán thẻ tại ngân hàng thương mại cổ phần đầu tư và phát triển việt nam chi nhánh bảo lộc (Trang 86)

4 .Đối tượng và phạm vi nghiên cứu

9. Tiến độ thựchiện đề tài

3.3. Những giảipháp hoàn thiện côngtác bảo mật thôngtin trong thanhtoán thẻ tạ

3.3.1. Hoàn thiện quy trình bảo mật thôngtin

Trong bối cảnh cách mạng công nghiệp 4.0, với sự bùng nổ của công nghệ như Big Data, Cloud Services, Trí tuệ nhân tạo, Kết nối vạn vật..., các tổ chức và doanh nghiệp phải đối mặt với rất nhiều rủi ro và hiểm họa về mất an toàn thông tin. Hệ thống thông tin nếu không kiểm soát tốt sẽ dễ xuất hiện nhiều lỗ hổng dễ khai thác, gián điệp kinh tế, rủi ro từ thiết bị di động và thiếu hiểu biết về thao tác bảo mật cơ bản từ nội bộ gây thất thoát dữ liệu và ngân hàng ngày càng cung cấp nhiều dịch vụ,

tiện ích cho nên việc kiểm soát thông tin, nguy cơ mất an toàn thông tin ngày càng cao, thông tin trao đổi trong lĩnh vực tài chính ngân hàng là “luồng tiền” đây là đích ngắm của tội phạm công nghệ cao. Bằng chứng là thời gian qua, liên tục xảy ra hiện tượng nhiều chủ thẻ tại Việt Nam bị đánh cắp tiền trong tài khoản.

Như vậy, việc hoàn thiện quy trình bảo mật, đảm bảo an toàn thông tin trong lĩnh vực ngân hàng là tối quan trọng, quyết định sự sống còn của mỗi ngân hàng, giảm thiểu các thiệt hại về tài chính và danh tiếng của Ngân hàng do tội phạm Công nghệ cao gây ra. Để hoàn thiện quy trình bảo mật thông tin ngân hàng cần thực hiện các nội dung sau:

3.3.1.1. Về tổ chức quản lý

- Với nỗ lực xây dựng, hoàn thiện hệ thống đảm bảo an toàn thông tin tại BIDV thì công tác tổ chức quản lý cần được triển khai ngay từ khâu quản lý bảo mật thông tin, xây dựng hành lang pháp lý đối với các hoạt động ngân hàng, quản lý rủi ro, kiểm soát truy cập, tường lửa, xây dựng hệ thống chống thâm nhập, các hệ thống quét virus...

- Triển khai thực hiện tốt hành lang pháp lý đối với các hoạt động Ngân hàng bao gồm các quy chế, chính sách, các tiêu chuẩn về an toàn bảo mật thông tin mà Hội sở đã xây dựng;

- Chấp hành nghiêm túc các quy chế, quy trình trong công tác bảo mật thông tin; áp dụng quy chế thưởng phạt nghiêm minh đối với các hành vi để lộ thông tin bảo mật.

- Cần nắm bắt các nguyên tắc trong công tác bảo mật thông tin: Đảm bảo an toàn thông tin là sự kết hợp giữa con người, công nghệ, chính sách và quan trọng là việc đảm bảo an toàn thông tin là một quá trình không kết thúc; Đảm bảo an toàn thông tin là một hệ thống tổng thể các giải pháp bảo vệ theo chiều sâu: Bảo vệ lớp dữ liệu, lớp ứng dụng, lớp máy trạm, lớp mạng, lớp vật lý,...

- Hệ thống mạng thông tin phải được chia tách thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích sử dụng và hệ thống thông tin. Các vùng

75

mạng quan trọng phải được lắp đặt các thiết bị tường lửa để kiểm soát an toàn bảo mật.

- Lập, lưu trữ hồ sơ về sơ đồ logic và vật lý đối với hệ thống mạng máy tính, bao gồm cả mạng diện rộng (WAN/Intranet) và mạng cục bộ (LAN).

- Trang bị các giải pháp an ninh mạng để kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập không được phép vào hệ thống mạng.

- Thiết lập, cấu hình đầy đủ các tính năng của hệ thống an ninh mạng. Thực hiện các biện pháp, giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng. Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào hệ thống mạng của ngân hàng.

3.3.1.2. Về công nghệ:

- Thiết lập cơ chế kiểm soát truy cập có tính chứng thực người dùng nhiều vòng trước khi cho phép truy cập vào hệ thống. Không chỉ giới hạn trong việc xác thực người dùng BIDV, còn triển khai hệ thống NAC (Network Admission Control) Cisco để kiểm soát mọi máy tính truy cập vào hệ thống mạng. Tất cả các máy móc thiết bị kết nối mạng chưa đảm bảo các tiêu chuẩn về mặt an ninh (do BIDV quy định) đều bị chặn lại hoặc cô lập và thông báo với người quản trị.

- Firewall: Hiện BIDV có rất nhiều firewall các loại, được triển khai ở vùng core banking, vùng ngân hàng điện tử và tại các chi nhánh tạo ra các vùng biên giữa các hệ thống để hạn chế và giám sát luồng thông tin giữa các hệ thống, ngăn chặn các kết nối bất hợp pháp. Các firewall được sử dụng và triển khai hiệu quả với các chính sách kết nối khắt khe nhằm đảm bảo an toàn hệ thống.

- Lọc nội dung: sử dụng các công cụ phần mềm lọc bỏ và cấm các truy xuất vào các nguồn thông tin hoặc tài liệu không thích hợp cho công việc.

- Xây dựng các hệ thống phòng chống và phát hiện xâm nhập. Các hệ thống quét Virus, antispyware, antispam...

- Thường xuyên dò tìm, phát hiện lỗ hổng hệ thống và thiết lập hệ thống cung cấp bản vá lỗ hổng bảo mật.

- Xây dựng cơ chế dự phòng và phục hồi hệ thống đảm bảo tính liên tục của hệ thống.

3.3.1.3 Về giáo dục, đào tạo:

- Với nỗ lực chuẩn hoá hạ tầng, phân vùng, kiểm soát truy cập mạng, kiểm soát các các cửa ngõ, các phân vùng quan trọng và thường xuyên giám sát, phản ứng kịp thời của các cán bộ kỹ thuật, những nguy cơ bảo mật thông tin đã được ngăn chặn và đẩy lùi có hiệu quả, góp phần đảm bảo sự vận hành thông suốt của toàn bộ hệ thống. Để có hiệu quả như trên là nhờ việc tăng cường giáo dục, đào tạo, thường xuyên kiểm tra, nhắc nhở cán bộ nhân viên về sự cần thiết của bảo mật cũng như các biện pháp, quy định bảo mật của ngân hàng. Các quy định, chính sách bảo mật cho người dùng cuối, các quy trình cho đội ngũ cán bộ CNTT cũng được rà soát, chỉnh sửa theo hướng chuẩn hóa, nâng cao tính bảo mật.

- Kết hợp với biện pháp triển khai các giải pháp xác thực mạnh như PalmSecure, thẻ sinh mã dùng một lần SecurId của RSA, việc cập nhật kiến thức về lập trình bảo mật cho các cán bộ phát triển ứng dụng và bổ sung chức năng kiểm soát của bộ phận chuyên trách trước cũng như sau khi cập nhật chương trình đã góp phần nâng cao độ an toàn của hệ thống, giúp đem lại cho khách hàng nhiều dịch vụ mới với chất lượng, độ tin cậy cao hơn.

- Để đội ngũ cán bộ phụ trách làm tốt công tác bảo mật thông tin, BIDV cần xây dựng các quy trình bảo mật theo chuẩn ISO 17799 và tăng cường giáo dục cho cán bộ nhân viên về sự cần thiết của bảo mật cũng như các biện pháp, quy định bảo mật của ngân hàng, cố gắng biến công tác bảo mật thông tin trở thành một phần hữu cơ trong mỗi quy trình dịch vụ của Ngân hàng.

- Khi mỗi một nhân viên ngân hàng, dù ở bộ phận nào, làm trong khâu nào của quá trình cung cấp dịch vụ, cũng hiểu được tầm quan trọng của vấn đề bảo mật thông tin cho khách hàng và những biện pháp mà họ cần thực hiện để đạt tới mục

77

đích đó thì chất lượng dịch vụ sẽ được nâng cao, giúp khách hàng hài lòng, yên tâm hơn và biến bảo mật trở thành một lợi thế cạnh tranh cho ngân hàng.

- Việc nâng cao an toàn bảo mật của hệ thống là một quá trình và quá trình đó sẽ không có điểm dừng nên cần có kinh nghiệm, sự kết hợp hài hoà giữa công nghệ, con người và quy trình. Đồng thời, có phương án đối phó kịp thời trước các phương thức tấn công mới và đảm bảo tuân thủ các quy định an ninh bảo mật mới.

3.3.2. Triển khai thực hiện theo hệ thống văn bản chế độ, quy chế, quy trình thanh toán thẻ

Việc xây dựng hệ thống văn bản chế độ, quy chế, quy trình thanh toán thẻ cần nghiên cứu, thực hiện nghiêm túc các văn bản pháp luật hiện hành về vềchế độ, quy chế, quy trình thanh toán thẻ như sau:

3.3.2.1. Quy định các yêu cầu kỹ thuật an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng

Theo thông tư số 47/2014/TT-NHNNngày 31/12/2014 của ngân hàng Nhà nước về quy định các yêu cầu kỹ thuật an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng, cụ thể sau:

3.3.2.1.1.Thiết lập và quản lý cấu hình thiết bị an ninh mạng

- Các yêu cầu về thiết lập và quản lý cấu hình thiết bị an ninh mạng:

+ Việc thiết lập và thay đổi cấu hình thiết bị an ninh mạng phải được kiểm thử và được người có thẩm quyền phê duyệt trước khi thực hiện;

+ Sơ đồ kết nối hệ thống mạng phải được thiết kế đáp ứng yêu cầu: Tách biệt giữa vùng dữ liệu chủ thẻ và các vùng mạng khác bao gồm cả vùng mạng không dây; Tách biệt chức năng của máy chủ theo nguyên tắc các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ quản lý tên miền phải để trên các máy chủ khác nhau (có thể là các máy chủ ảo trên một máy chủ vật lý); Có tường lửa tại các điểm kết nối giữa các vùng của hệ thống mạng; Sơ đồ mạng phải mô tả được toàn bộ đường đi của dữ liệu chủ thẻ.

- Phân định trách nhiệm và quyền hạn đối với bộ phận, cá nhân trong quản lý, cấu hình các thiết bị an ninh mạng bằng văn bản;

- Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt;

- Quy định bằng văn bản các cổng, dịch vụ, giao thức sử dụng trên hệ thống mạng bao gồm cả những cổng, giao thức, dịch vụ không an toàn. Triển khai đầy đủ các giải pháp an ninh khi sử dụng các cổng, dịch vụ và giao thức không an toàn;

- Thực hiện đánh giá lại các chính sách thiết lập trên thiết bị an ninh mạng tối thiểu 02 lần/năm nhằm loại bỏ các chính sách không sử dụng, hết thời hạn hoặc thiết lập sai chính sách, đảm bảo chính sách được thiết lập trên thiết bị đúng với các chính sách đã được người có thẩm quyền phê duyệt.

3.3.2.1.2.Cấu hình thiết bị an ninh mạng

- Giới hạn các truy cập đến môi trường dữ liệu chủ thẻ, chỉ chấp nhận các truy cập thực sự cần thiết và kiểm soát được;

- Giới hạn các truy cập đến thiết bị mạng và thiết bị an ninh mạng khớp đúng với trách nhiệm của cá nhân, bộ phận được quy định tại Điểm c Khoản 1 Điều này;

- Các tập tin cấu hình phải được đồng bộ với cấu hình đang hoạt động của thiết bị và được lưu trữ an toàn theo chế độ mật để tránh các truy cập trái phép;

- Thực hiện thiết lập chức năng giám sát trạng thái gói tin hoặc lọc dữ liệu tự động trên thiết bị tường lửa hoặc định tuyến để phát hiện các gói tin không hợp lệ.

3.3.2.1.3.Kiểm soát các truy cập trực tiếp từ Internet đến môi trường dữ liệu chủ thẻ

- Thiết lập vùng trung gian cung cấp dịch vụ ra ngoài Internet (xác định rõ các máy chủ, dịch vụ, địa chỉ IP, cổng, giao thức được phép truy cập). Việc kết nối ra, vào giữa Internet và môi trường dữ liệu chủ thẻ phải kết nối qua vùng trung gian cung cấp dịch vụ;

79

- Thực hiện các biện pháp chống giả mạo để ngăn chặn và loại bỏ các khả năng giả mạo địa chỉ IP nguồn;

- Không cho phép các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet khi chưa được người có thẩm quyền phê duyệt.

3.3.2.1.4.Yêu cầu thiết lập phần mềm tường lửa trên tất cả các thiết bị, máy tính cá nhân có kết nối đến dữ liệu thẻ

- Các chính sách an ninh trên phần mềm tường lửa chỉ cho phép thực hiện các hoạt động đủ phục vụ cho nhu cầu xử lý các quy trình nghiệp vụ;

- Đảm bảo các thiết lập trên phần mềm tường lửa là đang hoạt động;

- Đảm bảo người dùng không thể thay đổi cấu hình phần mềm tường lửa trên thiết bị.

3.3.2.1.5.An toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ

- Thực hiện nhận dạng các lỗ hổng bảo mật bằng công cụ dò quét và các nguồn thông tin của các tổ chức an ninh mạng bên ngoài có uy tín để xác định mức độ ảnh hưởng của các lỗ hổng bảo mật mới đối với hệ thống thanh toán thẻ, bao gồm các mức độ ảnh hưởng: mức độ cao; mức độ trung bình; mức độ thấp.

- Đảm bảo toàn bộ các thiết bị phục vụ thanh toán thẻ được cập nhật các bản vá lỗ hổng bảo mật đã được công bố từ các nhà sản xuất. Đối với các bản vá các lỗ hổng bảo mật mức độ cao phải được cài đặt trong thời gian sớm nhất và không quá 01 tháng kể từ khi nhà sản xuất công bố bản vá.

- Phát triển các phần mềm ứng dụng trong lĩnh vực thẻ đảm bảo tuân thủ các quy định của pháp luật và các chuẩn mực phát triển phần mềm ứng dụng được áp dụng rộng rãi trong lĩnh vực công nghệ thông tin. Trong chu trình phát triển phần mềm phải tích hợp với các yêu cầu đảm bảo an toàn thông tin và tối thiểu đáp ứng các yêu cầu sau:

+ Không sử dụng dữ liệu thẻ trong môi trường vận hành cho môi trường kiểm thử;

+ Loại bỏ toàn bộ dữ liệu và tài khoản kiểm thử trước khi đưa phần mềm vào sử dụng;

+ Đánh giá, xem xét lại mã nguồn phần mềm ứng dụng để phát hiện, khắc phục lỗ hổng bảo mật tiềm tàng trước khi đưa vào sử dụng. Nhân sự thực hiện đánh giá phải độc lập với nhân sự phát triển mã nguồn ứng dụng.

- Thực hiện các thủ tục kiểm soát sự thay đổi khi cập nhật các bản vá lỗ hổng bảo mật, thay đổi phần mềm ứng dụng:

+ Xây dựng tài liệu đánh giá tác động đến toàn bộ hệ thống và được người có thẩm quyền phê duyệt trước khi thực hiện;

+ Không được làm ảnh hưởng đến tính an toàn bảo mật của hệ thống; + Thực hiện sao lưu, có kế hoạch dự phòng trước khi thực hiện thay đổi. - Khi phát triển mã nguồn ứng dụng cần kiểm tra, loại bỏ các lỗ hổng bảo mật trong ứng dụng, bao gồm:

+ Các lỗ hổng chèn mã lệnh truy vấn cơ sở dữ liệu (SQL injection), câu lệnh hệ điều hành (OS injection), các phương tiện lưu trữ dữ liệu khác;

+ Lỗi tràn bộ nhớ đệm;

+ Lỗi mã hóa không an toàn trong lưu trữ dữ liệu; + Lỗi không an toàn trong truyền thông;

+ Rò rỉ thông tin qua thông báo lỗi (error handling);

+ Các nguy cơ chèn mã, đoạn mã javascript, jscript, DHTML, các thẻ HTML;

+ Các kiểm soát truy cập không đúng;

+ Các hình thức tấn công chiếm quyền xác thực của người sử dụng trên một website thông qua một website giả mạo khác (Cross Site Request Forgery);

81

+ Các lỗ hổng bảo mật được xác định có mức độ cao được quy định tại Khoản 1 Điều này.

- Các ứng dụng cung cấp dịch vụ trên các môi trường mạng bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác) phải có các biện pháp để xử lý các mối đe dọa và lỗ hổng bảo mật, bao gồm:

+ Đánh giá an toàn bảo mật tối thiểu 01 lần/quý hoặc sau khi có sự thay đổi bằng các công cụ đánh giá tự động hoặc thủ công;

+ Thực hiện các giải pháp kỹ thuật tự động phát hiện và phòng chống tấn công bằng thiết bị tường lửa ứng dụng web (Web Application Firewall).

- Phần mềm hệ thống thanh toán thẻ phải có tính năng lọc, không chấp nhận thanh toán cho các giao dịch không được phép thực hiện theo quy định của pháp luật.

3.3.2.2. Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng

Theo thông tư số 31/2015/TT-NHNNngày 28/12/2015 của Ngân hàng Nhà nước quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng, với một số nộidung của Quy chế an toàn, bảo mật hệ thống công nghệ thông tin như sau:

- Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống công nghệ thông tinphù hợp với hệ thống công nghệ thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị. Quy chế an toàn, bảo mật hệ thống công nghệ thông tin phải được thủ trưởng đơn vị (hoặc người đại diện hợp pháp) ký ban hành, tổ chức thực hiện, triển khai trong toàn đơn vị.

- Quy chế an toàn, bảo mật hệ thống công nghệ thông tin quy định về các nội dung cơ bản sau:

+ Quản lý tài sản công nghệ thông tin; quản lý sử dụng thiết bị di động; quản lý sử dụng vật mang tin;

+ Đảm bảo an toàn về mặt vật lý và môi trường;

Một phần của tài liệu (LUẬN văn THẠC sĩ) ảnh hưởng của bảo mật thông tin đến hoạt động thanh toán thẻ tại ngân hàng thương mại cổ phần đầu tư và phát triển việt nam chi nhánh bảo lộc (Trang 86)

Tải bản đầy đủ (PDF)

(116 trang)