Ngân hàng Nhà nước đã ban hành Thông tư số 31/2015/TT-NHNN quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin (CNTT) trong hoạt động ngân hàng.
Ngân hàng Nhà nước đã ban hành Thông tư số 31/2015/TT-NHNN quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin (CNTT) trong hoạt động ngân hàng.
Theo đó, từng đơn vị phải đảm bảo an toàn, bảo mật hệ thống CNTT của đơn vị mình; xác định các hệ thống CNTT quan trọng và áp dụng chính sách đảm bảo an toàn bảo mật phù hợp.
Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống CNTT phù hợp với hệ thống CNTT, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị. Quy chế an toàn, bảo mật hệ thống CNTT quy định về các nội dung cơ bản sau: a- Quản lý tài sản CNTT; quản lý sử dụng thiết bị di động; quản lý sử dụng vật mang tin; b- Quản lý nguồn nhân lực; c- Đảm bảo an toàn về mặt vật lý và môi trường; d- Quản lý vận hành và truyền thông; đ- Quản lý truy cập; e- Quản lý dịch vụ CNTT của bên thứ 3; g- Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin; h- Quản lý sự cố CNTT; i- Đảm bảo hoạt động liên tục của hệ thống CNTT; k- Kiểm tra, báo cáo hoạt động CNTT.
Các đơn vị phải rà soát, chỉnh sửa, hoàn thiện quy chế an toàn, bảo mật hệ thống CNTT tối thiểu mỗi năm 1 lần, đảm bảo sự đầy đủ của quy chế theo các quy định tại thông tư này.
Khi tuyển dụng, phân công người làm việc tại các vị trí quan trọng của hệ thống CNTT như quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở dữ liệu, đơn vị phải xem xét, đánh giá nghiêm ngặt tư cách đạo đức, trình độ chuyên môn thông qua lý lịch, lý lịch tư pháp. Đồng thời, yêu cầu người được tuyển dụng phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng lao động. Cam kết này phải bao gồm các điều khoản về trách nhiệm đảm bảo an toàn, bảo mật hệ thống CNTT trong và sau khi làm việc tại đơn vị.
Không cung cấp ứng dụng giao dịch trực tuyến khi chưa an toàn
Đối với nơi lắp đặt trang thiết bị CNTT yêu cầu bảo vệ bằng tường bao, cổng ra vào hoặc có các biện pháp kiểm soát, hạn chế rủi ro xâm nhập trái phép; thực hiện các biện pháp phòng chống nguy cơ do cháy nổ, ngập lụt.
Hệ thống dịch vụ giao dịch trực tuyến phải được giám sát chặt chẽ có khả năng phát hiện, cảnh báo về: các giao dịch đáng ngờ, gian lận dựa vào việc xác định thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định và các dấu hiệu bất thường khác; các cuộc tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS).
Thông tin nhạy cảm của khách hàng phải được mã hóa ở lớp ứng dụng; không cung cấp phần mềm ứng dụng giao dịch trực tuyến trên Internet khi chưa áp dụng các biện pháp đảm bảo an toàn, bảo mật cho khách hàng.
Dữ liệu của các hệ thống CNTT quan trọng phải được sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực tiến hành sao lưu.
Ngoài ra, thông tư cũng quy định cụ thể về việc đơn vị phải có kế hoạch và tổ chức triển khai diễn tập đảm bảo hoạt động liên tục hệ thống CNTT tối thiểu 3 tháng/lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng. Tối thiểu 6 tháng/lần, phải thực hiện diễn tập chuyển hoạt động của từng hệ thống từ hệ thống chính sang hệ thống dự phòng theo kịch bản đã xây dựng…
Thông tư này có hiệu lực thi hành kể từ ngày 1/3/2016.
HP (nguồn chinhphu.vn)
Thông tin bạn đọc
Đóng Lưu thông tin