| NGÂN HÀNG NHÀ NƯỚC | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
| Số: 18/2018/TT-NHNN | Hà Nội, ngày 21 tháng 08 năm 2018 |
QUY ĐỊNH VỀ AN TOÀN HỆ THỐNG THÔNG TIN TRONG HOẠT ĐỘNG NGÂN HÀNG
Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;
Luật các tổ chức tín dụng ngày 16 tháng 6 năm 2010 và Luật sửa đổi, bổ sung một số Điều của Luật các tổ chức tín dụng ngày 20 tháng 11 năm 2017;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số 16/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.
1. Thông tư này quy định về bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng.
1. Hệ thống thông tin là một tập hợp các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng để tạo lập, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.
3. Tính toàn vẹn của thông tin là bảo vệ sự chính xác và đầy đủ của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.
5. An toàn thông tin là sự bảo vệ thông tin số, hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.
7. Sự cố an ninh mạng (cybersecurity incident) là việc thông tin số, hệ thống thông tin bị tấn công hoặc bị gây nguy hại, ảnh hưởng tới tính bí mật, tính toàn vẹn, tính sẵn sàng.
9. Trung tâm dữ liệu bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt vào đó để xử lý, lưu trữ, trao đổi và quản lý tập trung dữ liệu.
11. Vật mang tin là các phương tiện vật chất dùng để lưu giữ và truyền nhận thông tin số.
13. Mạng không tin cậy là mạng bên ngoài có kết nối vào mạng của tổ chức và không thuộc sự quản lý của tổ chức hoặc không thuộc sự quản lý của tổ chức tín dụng nước ngoài mà tổ chức có quan hệ như là đơn vị phụ thuộc, hiện diện thương mại tại Việt Nam.
15. Tài Khoản người sử dụng (tài Khoản) là một tập hợp thông tin đại diện duy nhất cho người sử dụng trên hệ thống thông tin, được sử dụng để đăng nhập và truy cập các tài nguyên được cấp phép trên hệ thống thông tin đó.
17. Cấp có thẩm quyền là chức danh hoặc người được người đại diện hợp pháp của tổ chức phân cấp quản lý, phân công, ủy quyền bằng văn bản để thực hiện một hoặc một số chức năng, nhiệm vụ của tổ chức.
1. Tổ chức có trách nhiệm bảo đảm an toàn thông tin theo nguyên tắc xác định rõ quyền hạn, trách nhiệm từng bộ phận và cá nhân trong tổ chức.
3. Nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả các rủi ro công nghệ thông tin có thể xảy ra trong tổ chức.
Điều 4. Phân loại thông tin và hệ thống thông tin
a) Thông tin công cộng là thông tin được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó;
c) Thông tin bí mật là thông tin: (i) Được xếp ở mức Mật theo quy định của tổ chức và hạn chế đối tượng được tiếp cận; (ii) Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước.
a) Hệ thống thông tin thông thường (mức độ 1) là hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức hoặc phục vụ khách hàng nhưng không xử lý thông tin bí mật;
c) Hệ thống thông tin đặc biệt quan trọng (mức độ 3) là hệ thống thông tin có một trong các tiêu chí sau: (i) Hệ thống thông tin quốc gia trong ngành Ngân hàng phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; (ii) Hệ thống cơ sở hạ tầng thông tin dùng chung trong ngành Ngân hàng phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;
3. Tổ chức thực hiện phân loại hệ thống thông tin theo mức độ quan trọng quy định tại Khoản 2 Điều này. Danh sách hệ thống thông tin theo mức độ quan trọng phải được người đại diện hợp pháp phê duyệt.
1. Tổ chức xây dựng quy chế an toàn thông tin phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của tổ chức. Quy chế an toàn thông tin phải được người đại diện hợp pháp ký ban hành và triển khai thực hiện trong toàn tổ chức.
a) Quản lý tài sản công nghệ thông tin;
c) Bảo đảm an toàn về mặt vật lý và môi trường lắp đặt;
đ) Quản lý truy cập;
g) Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin;
i) Bảo đảm hoạt động liên tục của hệ thống thông tin;
3. Tổ chức rà soát quy chế an toàn thông tin tối thiểu mỗi năm một lần, bảo đảm sự đầy đủ của quy chế theo các quy định tại Thông tư này. Khi phát hiện những bất cập, bất hợp lý gây ra mất an toàn thông tin hoặc theo yêu cầu của cơ quan có thẩm quyền, tổ chức tiến hành chỉnh sửa, bổ sung ngay quy chế an toàn thông tin đã ban hành.
CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN THÔNG TIN
Điều 6. Quản lý tài sản công nghệ thông tin
a) Tài sản thông tin: các dữ liệu, thông tin ở dạng số được xử lý, lưu trữ thông qua hệ thống thông tin;
c) Tài sản phần mềm: các phần mềm hệ thống, phần mềm tiện ích, phần mềm lớp giữa, cơ sở dữ liệu, chương trình ứng dụng, mã nguồn và công cụ phát triển.
3. Căn cứ theo mức độ quan trọng của hệ thống thông tin, tổ chức thực hiện các biện pháp quản lý, bảo vệ phù hợp với từng loại tài sản công nghệ thông tin.
Điều 7. Quản lý tài sản thông tin
2. Tài sản thông tin phải phân loại theo quy định tại Khoản 1 Điều 4 Thông tư này.
4. Tài sản thông tin trên hệ thống thông tin mức độ 3 phải áp dụng phương án chống thất thoát dữ liệu.
1. Với mỗi hệ thống thông tin do tổ chức trực tiếp quản lý phải lập danh sách tài sản vật lý gồm các thông tin cơ bản sau: tên tài sản, giá trị, vị trí lắp đặt, chủ thể quản lý, mục đích sử dụng, tình trạng sử dụng, hệ thống thông tin tương ứng.
3. Tài sản vật lý khi mang ra khỏi trụ sở của tổ chức phải được sự phê duyệt của cấp có thẩm quyền và phải thực hiện biện pháp bảo vệ để bảo mật thông tin lưu trữ trên tài sản nếu tài sản đó có chứa thông tin bí mật.
5. Tài sản vật lý là thiết bị di động, vật mang tin, ngoài các quy định tại Điều này, phải được quản lý theo quy định tại Điều 10, Điều 11 Thông tư này.
1. Với mỗi hệ thống thông tin phải lập danh sách tài sản phần mềm với các thông tin cơ bản gồm: tên tài sản, giá trị, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, hệ thống thông tin tương ứng.
3. Tài sản phần mềm phải được định kỳ rà soát và cập nhật các bản vá lỗi về an ninh bảo mật.
Điều 10. Quản lý sử dụng thiết bị di động
2. Giới hạn phạm vi kết nối từ thiết bị di động đến các dịch vụ, hệ thống thông tin của tổ chức; kiểm soát các kết nối từ thiết bị di động tới các hệ thống thông tin được phép sử dụng tại tổ chức.
4. Thiết bị di động được sử dụng để phục vụ công việc phải áp dụng các biện pháp kỹ thuật tối thiểu sau:
b) Sao lưu dữ liệu trên thiết bị di động nhằm bảo vệ, khôi phục dữ liệu khi cần thiết;
5. Với thiết bị di động là tài sản của tổ chức, ngoài việc áp dụng các quy định tại Khoản 4 Điều này, phải áp dụng các biện pháp kỹ thuật tối thiểu sau đây:
b) Sử dụng các tính năng bảo vệ thông tin nội bộ, thông tin bí mật (nếu có); thiết lập mã khóa bí mật; cài đặt phần mềm phòng chống mã độc và các lỗi bảo mật khác.
1. Kiểm soát việc đấu nối, gỡ bỏ vật mang tin với thiết bị thuộc hệ thống thông tin.
3. Thực hiện biện pháp bảo vệ đối với thông tin bí mật chứa trong vật mang tin.
1. Người đại diện hợp pháp phải trực tiếp tham gia chỉ đạo và có trách nhiệm trong công tác xây dựng chiến lược, kế hoạch về bảo đảm an toàn thông tin, ứng cứu các sự cố an ninh mạng xảy ra tại tổ chức.
a) Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin có chức năng, nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an ninh mạng cho tổ chức;
c) Tách biệt nhân sự giữa các nhiệm vụ: (i) Phát triển với quản trị hệ thống thông tin; (ii) Phát triển với vận hành hệ thống thông tin; (iii) Quản trị với vận hành hệ thống thông tin; (iv) Kiểm tra về an toàn thông tin với phát triển, quản trị, vận hành hệ thống thông tin.
Tổ chức tuyển dụng và phân công nhiệm vụ như sau:
2. Xem xét, đánh giá tư cách đạo đức, trình độ chuyên môn thông qua lý lịch, lý lịch tư pháp trước khi phân công nhân sự làm việc tại các vị trí quan trọng của hệ thống thông tin như: vận hành hệ thống thông tin mức độ 3 hoặc quản trị hệ thống thông tin.
4. Đào tạo, phổ biến các quy định của tổ chức về an toàn thông tin đối với nhân sự mới tuyển dụng.
Tổ chức quản lý nguồn nhân lực như sau:
2. Kiểm tra việc tuân thủ các quy định về an toàn thông tin đối với cá nhân, bộ phận trực thuộc tối thiểu mỗi năm một lần.
Điều 15. Chấm dứt hoặc thay đổi công việc
1. Xác định trách nhiệm của cá nhân khi chấm dứt hoặc thay đổi công việc.
3. Thu hồi ngay quyền truy cập hệ thống thông tin của cá nhân nghỉ việc.
5. Rà soát, kiểm tra đối chiếu định kỳ tối thiểu sáu tháng một lần giữa bộ phận quản lý nhân sự và bộ phận quản lý cấp phát, thu hồi quyền truy cập hệ thống thông tin nhằm bảo đảm tuân thủ Khoản 3, Khoản 4 Điều này.
Mục 3. BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN
1. Bảo vệ bằng tường bao, cổng ra vào hoặc có các biện pháp kiểm soát, hạn chế rủi ro xâm nhập trái phép.
3. Các khu vực có yêu cầu cao về an toàn, bảo mật như khu vực lắp đặt máy chủ, thiết bị lưu trữ, thiết bị an ninh bảo mật, thiết bị truyền thông phải được cách ly với khu vực dùng chung, phân phối, chuyển hàng; ban hành nội quy, hướng dẫn làm việc và áp dụng biện pháp kiểm soát ra vào khu vực đó.
Ngoài việc bảo đảm yêu cầu tại Điều 16 Thông tư này, Trung tâm dữ liệu phải bảo đảm các yêu cầu sau:
2. Cửa vào ra trung tâm dữ liệu phải chắc chắn, có khả năng chống cháy, sử dụng ít nhất hai loại khóa khác nhau và phải có biện pháp bảo vệ và giám sát 24/7.
4. Có tối thiểu một nguồn điện lưới và một nguồn điện máy phát. Có hệ thống chuyển mạch tự động giữa hai nguồn điện, khi cắt điện lưới máy phát phải tự động khởi động cấp nguồn. Nguồn điện phải đấu nối qua hệ thống lưu điện để cấp nguồn cho thiết bị, bảo đảm khả năng duy trì hoạt động liên tục của hệ thống thông tin.
6. Có hệ thống chống sét trực tiếp và lan truyền.
8. Có hệ thống sàn kỹ thuật hoặc lớp cách ly chống nhiễm điện; hệ thống tiếp địa.
10. Có hệ thống theo dõi, kiểm soát nhiệt độ, độ ẩm.
Điều 18. An toàn tài sản vật lý
2. Tài sản vật lý thuộc hệ thống thông tin từ mức độ 2 trở lên phải được bảo đảm về nguồn điện và các hệ thống hỗ trợ khi nguồn điện chính bị gián đoạn. Phải có biện pháp chống quá tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp địa; có hệ thống máy phát điện dự phòng và hệ thống lưu điện bảo đảm thiết bị hoạt động liên tục.
4. Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngoài trụ sở làm việc của tổ chức phải có biện pháp giám sát, bảo vệ an toàn phòng chống truy cập bất hợp pháp.
Điều 19. Trách nhiệm quản lý và quy trình vận hành của tổ chức
2. Tổ chức triển khai các quy trình đến toàn bộ các đối tượng tham gia vận hành và giám sát tuân thủ việc thực hiện các quy trình đã ban hành.
a) Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm;
c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng;
4. Đối với hệ thống thông tin xử lý giao dịch khách hàng phải đáp ứng yêu cầu sau:
b) Áp dụng các biện pháp bảo đảm tính toàn vẹn dữ liệu giao dịch;
Điều 20. Lập kế hoạch và chấp nhận hệ thống thông tin
2. Căn cứ các tiêu chuẩn, định mức, yêu cầu kỹ thuật đã xây dựng, tổ chức giám sát, tối ưu hiệu suất của hệ thống thông tin; đánh giá khả năng đáp ứng, tình trạng hoạt động, cấu hình hệ thống của hệ thống thông tin để dự báo, lập kế hoạch mở rộng, nâng cấp bảo đảm khả năng đáp ứng trong tương lai.
1. Lập danh sách hệ thống thông tin theo mức độ quan trọng cần được sao lưu, kèm theo thời gian lưu trữ, định kỳ sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.
3. Đối với hệ thống thông tin từ mức độ 2 trở lên phải kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài tối thiểu sáu tháng một lần.
Điều 22. Quản lý an toàn, bảo mật hệ thống mạng
1. Xây dựng quy định về quản lý an toàn, bảo mật hệ thống mạng và quản lý các thiết bị đầu cuối của toàn bộ hệ thống mạng.
3. Xây dựng hệ thống mạng của tổ chức đáp ứng yêu cầu tối thiểu sau:
b) Có thiết bị có chức năng tường lửa để kiểm soát các kết nối, truy cập vào ra các vùng mạng quan trọng;
d) Có giải pháp kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập trái phép vào hệ thống mạng nội bộ của tổ chức có hệ thống thông tin từ mức độ 2 trở lên;
4. Thiết lập, cấu hình các tính năng theo thiết kế của các trang thiết bị an ninh mạng; thực hiện các biện pháp, giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng; thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.
Trách nhiệm của tổ chức trong việc trao đổi thông tin với khách hàng và bên thứ ba:
2. Khi trao đổi thông tin nội bộ và thông tin bí mật với bên ngoài phải có văn bản thỏa thuận, xác định trách nhiệm và nghĩa vụ của các bên tham gia trong việc sử dụng, bảo đảm an toàn thông tin.
4. Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp.
Điều 24. Quản lý dịch vụ giao dịch trực tuyến
a) Bảo đảm tính toàn vẹn của dữ liệu trao đổi với khách hàng trong giao dịch trực tuyến;
c) Đánh giá mức độ rủi ro trong giao dịch trực tuyến theo đối tượng khách hàng, loại giao dịch, hạn mức giao dịch để cung cấp giải pháp xác thực giao dịch phù hợp theo quy định của Ngân hàng Nhà nước;
2. Xác thực giao dịch của khách hàng phải được thực hiện trực tiếp tại hệ thống thông tin của tổ chức. Trường hợp tổ chức sử dụng dịch vụ xác thực của bên thứ ba thì tổ chức phải quản lý tối thiểu một yếu tố xác thực.
a) Giao dịch đáng ngờ dựa vào các tiêu chí tối thiểu gồm: thời gian giao dịch, địa điểm giao dịch (vị trí địa lý, địa chỉ IP mạng), tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định;
c) Các cuộc tấn công từ chối dịch vụ (DoS - Denial of Service attack), tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service attack).
5. Khi cung cấp phần mềm ứng dụng giao dịch trực tuyến trên Internet phải áp dụng các biện pháp bảo đảm tính toàn vẹn của phần mềm.
Tổ chức thực hiện giám sát và ghi nhật ký hoạt động của hệ thống thông tin như sau:
2. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo và truy cập trái phép; bảo đảm người quản trị hệ thống và người sử dụng không thể xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.
1. Xác định trách nhiệm của cá nhân và các bộ phận liên quan trong công tác phòng chống mã độc.
3. Cập nhật mẫu mã độc và phần mềm phòng chống mã độc mới.
5. Kiểm soát việc cài đặt phần mềm bảo đảm tuân thủ theo quy chế an toàn thông tin của tổ chức.
1. Tổ chức quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, các thiết bị, công cụ sử dụng để truy cập hệ thống thông tin bảo đảm đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn thông tin, bao gồm các nội dung cơ bản sau:
b) Mỗi tài Khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài Khoản dùng chung để truy cập hệ thống thông tin thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng;
d) Quản lý, cấp phát mã khóa bí mật truy cập hệ thống thông tin;
e) Yêu cầu, Điều kiện an toàn thông tin đối với các thiết bị, công cụ sử dụng để truy cập.
a) Mã khóa bí mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ hoa, chữ thường và các ký tự đặc biệt khác nếu hệ thống cho phép; các yêu cầu mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập mã khóa bí mật;
c) Phần mềm quản lý mã khóa bí mật phải có các chức năng: (i) Yêu cầu thay đổi mã khóa bí mật lần đầu đăng nhập (không áp dụng với mã khóa bí mật sử dụng một lần); (ii) thông báo người sử dụng thay đổi mã khóa bí mật sắp hết hạn sử dụng; (iii) hủy hiệu lực của mã khóa bí mật hết hạn sử dụng; (iv) hủy hiệu lực của mã khóa bí mật khi người sử dụng nhập sai quá số lần cho phép; (v) cho phép thay đổi ngay mã khóa bí mật bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; (vi) ngăn chặn việc sử dụng lại mã khóa bí mật cũ trong một Khoảng thời gian nhất định.
Điều 28. Quản lý truy cập mạng nội bộ
1. Xây dựng và triển khai quy định quản lý truy cập mạng và các dịch vụ mạng gồm các nội dung cơ bản sau:
b) Trách nhiệm của người quản trị, người truy cập;
d) Kiểm soát việc quản trị, truy cập, sử dụng mạng.
3. Kiểm soát việc cài đặt, sử dụng các công cụ phần mềm hỗ trợ truy cập từ xa.
5. Cấp quyền truy cập mạng và dịch vụ mạng phải bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.
Điều 29. Quản lý truy cập hệ thống thông tin và ứng dụng
1. Kiểm soát những phần mềm tiện ích có khả năng ảnh hưởng đến hệ thống thông tin.
3. Quản lý và phân quyền truy cập thông tin và ứng dụng bảo đảm nguyên tắc cấp quyền vừa đủ để thực hiện nhiệm vụ được giao của người sử dụng:
b) Phân quyền đọc, ghi, xóa, thực thi đối với thông tin, dữ liệu, chương trình.
5. Đối với máy chủ thuộc hệ thống thông tin từ mức độ 2 trở lên phải sử dụng giao thức kết nối an toàn và có phương án chống đăng nhập tự động.
Tổ chức quy định và triển khai việc quản lý kết nối Internet đáp ứng yêu cầu sau:
a) Trách nhiệm cá nhân và các bộ phận có liên quan trong khai thác sử dụng Internet;
c) Các hành vi bị cấm, hạn chế;
đ) Các biện pháp bảo đảm an toàn thông tin khi kết nối Internet.
3. Triển khai các giải pháp an ninh mạng tại các cổng kết nối Internet để bảo đảm an toàn trước các hiểm họa tấn công từ Internet vào mạng nội bộ của tổ chức.
Mục 6. QUẢN LÝ SỬ DỤNG DỊCH VỤ CÔNG NGHỆ THÔNG TIN CỦA BÊN THỨ BA
Khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba, tổ chức bảo đảm các nguyên tắc sau đây:
2. Không làm suy giảm việc kiểm soát quy trình nghiệp vụ của tổ chức.
4. Dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo đảm an toàn thông tin của tổ chức.
Trước khi sử dụng dịch vụ của bên thứ ba, tổ chức thực hiện:
a) Nhận diện rủi ro, phân tích, ước lượng mức độ tổn hại, mối đe dọa đến an toàn thông tin;
c) Xác định rõ vai trò, trách nhiệm của các bên liên quan trong việc bảo đảm chất lượng dịch vụ;
đ) Rà soát và Điều chỉnh chính sách quản lý rủi ro (nếu có).
a) Phân loại hoạt động, nghiệp vụ dự kiến triển khai trên điện toán đám mây dựa trên đánh giá tác động của hoạt động, nghiệp vụ đó với hoạt động của tổ chức;
c) Xây dựng các tiêu chí lựa chọn bên thứ ba đáp ứng yêu cầu quy định tại Điều 33 Thông tư này;
3. Trường hợp thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ mức độ 2 trở lên, tổ chức thực hiện đánh giá rủi ro theo quy định tại Khoản 1 Điều này và gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin).
Tiêu chí lựa chọn bên thứ ba bao gồm các nội dung tối thiểu sau:
2. Có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng các yêu cầu sau:
b) Có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn thông tin.
Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba phải có tối thiểu những nội dung sau:
a) Đáp ứng yêu cầu quy định tại Điều 33 Thông tư này;
c) Phổ biến cho nhân sự của bên thứ ba tham gia thực hiện hợp đồng các quy định về bảo đảm an toàn thông tin của tổ chức, thực hiện các biện pháp giám sát bảo đảm tuân thủ.
3. Trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm của bên thứ ba đối với dịch vụ mà tổ chức sử dụng.
a) Bên thứ ba thực hiện trả lại toàn bộ dữ liệu triển khai và dữ liệu phát sinh trong quá trình sử dụng dịch vụ;
5. Bên thứ ba phải thông báo cho tổ chức khi phát hiện nhân sự vi phạm quy định về an toàn thông tin đối với dịch vụ mà tổ chức sử dụng.
a) Bên thứ ba phải cung cấp báo cáo kiểm toán tuân thủ công nghệ thông tin do tổ chức kiểm toán độc lập thực hiện hàng năm trong thời gian thực hiện hợp đồng;
c) Bên thứ ba phải minh bạch các vị trí (thành phố, quốc gia) đặt trung tâm dữ liệu bên ngoài lãnh thổ Việt Nam triển khai dịch vụ cho tổ chức;
đ) Bên thứ ba phải hỗ trợ, hợp tác Điều tra trong trường hợp có yêu cầu từ các cơ quan nhà nước có thẩm quyền của Việt Nam theo quy định của pháp luật;
Điều 35. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba
2. Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ ba cung cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết. Đối với dịch vụ điện toán đám mây, phải giám sát, kiểm soát chất lượng dịch vụ.
4. Quản lý các thay đổi đối với dịch vụ do bên thứ ba cung cấp bao gồm: thay đổi nhà cung cấp, thay đổi giải pháp, thay đổi phiên bản, thay đổi các nội dung quy định tại Điều 40 Thông tư này; đánh giá đầy đủ tác động của việc thay đổi, bảo đảm an toàn khi được đưa vào sử dụng.
6. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Trường hợp phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn thông tin phải thông báo và phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.
8. Đối với hệ thống thông tin từ mức độ 2 trở lên hoặc hệ thống thông tin sử dụng dịch vụ điện toán đám mây, phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin của bên thứ ba theo đúng thỏa thuận đã ký kết. Thực hiện đánh giá sự tuân thủ định kỳ hàng năm hoặc đột xuất khi có nhu cầu. Việc đánh giá tuân thủ có thể sử dụng kết quả kiểm toán công nghệ thông tin của tổ chức kiểm toán độc lập.
Điều 36. Yêu cầu về an toàn, bảo mật các hệ thống thông tin
1. Xây dựng tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin. Trong đó các yêu cầu về an toàn, bảo mật được xây dựng đồng thời với việc xây dựng các yêu cầu kỹ thuật, nghiệp vụ.
3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài theo quy định tại Điều 35 Thông tư này.
Các chương trình ứng dụng nghiệp vụ phải đáp ứng các yêu cầu tối thiểu sau:
2. Kiểm tra tính hợp lệ của dữ liệu cần được xử lý tự động trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có chủ ý.
4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng, bảo đảm quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.
1. Quy định và đưa vào sử dụng các biện pháp mã hóa theo quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng hoặc tiêu chuẩn quốc tế đã được công nhận.
Điều 39. An toàn, bảo mật trong quá trình phát triển phần mềm
a) Quản lý, kiểm soát chương trình nguồn. Việc truy cập, tiếp cận chương trình nguồn phải được sự phê duyệt của cấp có thẩm quyền;
2. Tổ chức lựa chọn, kiểm soát đối với dữ liệu kiểm tra, thử nghiệm. Không sử dụng dữ liệu thật của hệ thống thông tin vận hành chính thức cho hoạt động kiểm thử khi chưa thực hiện các biện pháp che giấu hoặc thay đổi đối với dữ liệu chứa thông tin khách hàng và thông tin bí mật.
Tổ chức ban hành quy trình, biện pháp quản lý và kiểm soát sự thay đổi hệ thống thông tin, tối thiểu bao gồm:
2. Kiểm tra, đánh giá tác động để bảo đảm hệ thống thông tin hoạt động ổn định, an toàn trên môi trường mới đối với hệ thống thông tin từ mức độ 2 trở lên khi thay đổi phiên bản hoặc thay đổi hệ Điều hành, cơ sở dữ liệu, phần mềm lớp giữa.
1. Nội dung đánh giá hệ thống thông tin của tổ chức về an ninh bảo mật phải bao gồm các nội dung sau:
b) Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài Khoản;
2. Tổ chức thực hiện đánh giá an ninh bảo mật đối với hệ thống thông tin từ mức độ 2 trở lên theo các nội dung quy định tại Khoản 1 Điều này trước khi đưa vào vận hành chính thức.
a) Sáu tháng một lần đối với hệ thống thông tin mức độ 3 theo các nội dung tại Khoản 1 Điều này;
c) Hai năm một lần đối với hệ thống thông tin mức độ 1.
Điều 42. Quản lý các điểm yếu về mặt kỹ thuật
1. Xây dựng quy định về việc đánh giá, quản lý và kiểm soát các điểm yếu về mặt kỹ thuật của các hệ thống thông tin đang sử dụng.
a) Thường xuyên cập nhật thông tin liên quan đến lỗ hổng, điểm yếu về mặt kỹ thuật;
3. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của các hệ thống thông tin đang sử dụng và đưa ra phương án, kế hoạch xử lý.
Điều 43. Quản lý bảo trì hệ thống thông tin
1. Ban hành quy định bảo trì hệ thống thông tin ngay sau khi đưa vào hoạt động chính thức. Quy định bảo trì tối thiểu bao gồm các nội dung sau:
b) Thời điểm, tần suất bảo trì;
d) Khi thực hiện bảo trì nếu phát hiện, phát sinh sự cố phải báo cáo cấp có thẩm quyền để xử lý;
2. Thực hiện bảo trì theo quy định tại Khoản 1 Điều này đối với hệ thống thông tin do tổ chức quản lý trực tiếp.
Mục 8. QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
Tổ chức quản lý sự cố như sau:
a) Tiếp nhận thông tin về sự cố phát sinh;
c) Thực hiện các biện pháp xử lý, khắc phục sự cố;
2. Quy định trách nhiệm của cá nhân, tập thể trong việc báo cáo, tiếp nhận, xử lý các sự cố an toàn thông tin.
Điều 45. Kiểm soát và khắc phục sự cố
1. Lập danh sách sự cố an toàn thông tin và phương án xử lý sự cố đối với các hệ thống thông tin từ mức độ 2 trở lên; tối thiểu 6 tháng một lần thực hiện rà soát, cập nhật danh sách, phương án ứng cứu sự cố.
3. Trong quá trình kiểm tra, xử lý, khắc phục sự cố thu thập, ghi chép, bảo vệ chứng cứ và lưu trữ tại tổ chức.
5. Trong trường hợp sự cố an toàn thông tin có liên quan đến các vi phạm pháp luật, tổ chức có trách nhiệm thu thập và cung cấp chứng cứ cho cơ quan có thẩm quyền đúng theo quy định của pháp luật.
Trung tâm Điều hành an ninh mạng thực hiện các nhiệm vụ sau:
2. Xây dựng hệ thống quản lý và phân tích sự kiện an toàn thông tin (SIEM), thực hiện thu thập và lưu trữ tập trung tối thiểu các thông tin: nhật ký của các hệ thống thông tin từ mức độ 2 trở lên; cảnh báo, nhật ký của trang thiết bị an ninh mạng (tường lửa, IPS/IDS).
4. Tổ chức Điều phối ứng cứu sự cố và khoanh vùng, ngăn chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin khi sự cố phát sinh.
6. Cung cấp thông tin theo yêu cầu của Ngân hàng Nhà nước để phục vụ giám sát an ninh mạng ngành Ngân hàng.
1. Mạng lưới ứng cứu sự cố an ninh mạng trong ngành Ngân hàng (Mạng lưới) có nhiệm vụ phối hợp các nguồn lực trong và ngoài ngành ứng phó hiệu quả sự cố an ninh mạng, góp phần bảo đảm hệ thống ngân hàng hoạt động an toàn.
a) Ban Điều hành mạng lưới do Thống đốc Ngân hàng Nhà nước thành lập;
c) Các thành viên mạng lưới: Cục Công nghệ thông tin (Ngân hàng Nhà nước), tổ chức tín dụng (bộ phận chuyên trách an toàn thông tin) và thành viên tự nguyện tham gia mạng lưới là các cơ quan, tổ chức tự nguyện tham gia.
a) Các tổ chức theo quy định tại điểm c Khoản 2 Điều này phải có trách nhiệm cung cấp nguồn lực và tham gia làm thành viên mạng lưới;
c) Khi gặp sự cố nghiêm trọng không tự khắc phục được, các thành viên phải gửi yêu cầu hỗ trợ đến Cơ quan Điều phối;
4. Nguyên tắc quản lý, sử dụng thông tin trong hoạt động Điều phối và ứng cứu sự cố:
b) Nghiêm cấm tổ chức, cá nhân sử dụng thông tin trao đổi trong quá trình Điều phối và ứng cứu sự cố để làm ảnh hưởng đến uy tín, hình ảnh của tổ chức cung cấp thông tin.
Điều 48. Nguyên tắc bảo đảm hoạt động liên tục
a) Phân tích tác động và đánh giá rủi ro đối với việc gián đoạn hoặc ngừng hoạt động của hệ thống thông tin;
c) Tổ chức triển khai bảo đảm hoạt động liên tục theo quy định tại Điều 51 Thông tư này.
a) Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc;
c) Hệ thống cung cấp giao dịch trực tuyến cho khách hàng;
3. Các hệ thống cần bảo đảm hoạt động liên tục tại Khoản 2 Điều này phải bảo đảm tính sẵn sàng cao và có hệ thống dự phòng thảm họa.
1. Tổ chức xây dựng hệ thống dự phòng thảm họa đáp ứng các yêu cầu sau:
b) Địa điểm đặt hệ thống dự phòng phải đáp ứng các yêu cầu quy định tại Điều 16 Thông tư này;
2. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam phải có văn phòng dự phòng tại một địa điểm khác tách biệt trụ sở làm việc và có trang thiết bị để bảo đảm hoạt động liên tục thay thế trụ sở làm việc.
Tổ chức xây dựng quy trình, kịch bản bảo đảm hoạt động liên tục như sau:
2. Xây dựng kịch bản chuyển đổi hệ thống dự phòng thay thế cho hoạt động của hệ thống chính, bao gồm nội dung công việc, trình tự thực hiện, dự kiến thời gian hoàn thành đáp ứng các nội dung sau:
b) Có các mẫu biểu ghi nhận kết quả;
d) Áp dụng biện pháp bảo đảm an toàn thông tin;
3. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam phải xây dựng kịch bản chuyển đổi hoạt động sang văn phòng dự phòng.
Điều 51. Tổ chức triển khai bảo đảm hoạt động liên tục
a) Tối thiểu sáu tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng;
2. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam phải tổ chức thực hiện diễn tập bảo đảm hoạt động liên tục định kỳ hàng năm.
Mục 10. KIỂM TRA NỘI BỘ VÀ CHẾ ĐỘ BÁO CÁO
Tổ chức thực hiện kiểm tra nội bộ như sau:
2. Xây dựng kế hoạch và thực hiện công tác tự kiểm tra việc tuân thủ các quy định tại Thông tư này và các quy định nội bộ của tổ chức về bảo đảm an toàn thông tin tối thiểu mỗi năm một lần.
4. Tổ chức thực hiện và báo cáo kết quả khắc phục các tồn tại nêu trong báo cáo theo quy định tại Khoản 3 Điều này.
Tổ chức có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) các nội dung sau:
2. Báo cáo đánh giá rủi ro theo quy định tại Khoản 3 Điều 32 Thông tư này trực tiếp hoặc qua đường bưu điện về Ngân hàng Nhà nước (Cục Công nghệ thông tin, 64 Nguyễn Chí Thanh, Hà Nội) khi thuê ngoài toàn bộ công việc quản trị hệ thống thông tin từ mức độ 2 trở lên trước thời điểm triển khai tối thiểu 10 ngày làm việc.
1. Cục Công nghệ thông tin có trách nhiệm:
b) Hàng năm lập kế hoạch kiểm tra việc thực hiện Thông tư này;
2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm phối hợp với Cục Công nghệ thông tin kiểm tra việc thực hiện Thông tư này tại các tổ chức và xử lý vi phạm hành chính đối với hành vi vi phạm theo quy định của pháp luật.
1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2019 trừ trường hợp quy định tại Khoản 2 Điều này và thay thế Thông tư 31/2015/TT-NHNN ngày 28 tháng 12 năm 2015 của Thống đốc Ngân hàng Nhà nước ban hành Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng và Quyết định 29/2008/QĐ-NHNN ngày 13 tháng 10 năm 2008 của Thống đốc Ngân hàng Nhà nước về việc ban hành Quy định về bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng.
3. Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị liên quan thuộc Ngân hàng Nhà nước, Chủ tịch Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán có trách nhiệm tổ chức thực hiện Thông tư này./.
- Như Khoản 3 Điều 55;
- Ban Lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu VP, PC, CNTT (03 bản).
KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC
Nguyễn Kim Anh
Phụ lục
(Ban hành kèm theo Thông tư số ………/2018/TT-NHNN ngày ... tháng ... năm 2018)
| TÊN TỔ CHỨC | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
| Số: ………./ ……. | …….., ngày tháng năm |
Kính gửi: Cục Công nghệ thông tin - Ngân hàng Nhà nước
▪ Họ và tên: …………………………………. Chức vụ:........................................................
▪ Địa chỉ:.............................................................................................................................
II. NỘI DUNG BÁO CÁO
2. Mức độ quan trọng của hệ thống thông tin gặp sự cố:...........................................
4. Mức độ ảnh hưởng ban đầu của sự cố:
+ Ảnh hưởng đến toàn bộ khách hàng □
- Hệ thống thông tin nội bộ của đơn vị bị tác động □
+ Ảnh hưởng đến một số bộ phận □
- Mô tả chi tiết:
............................................................................................................................................
□ Tấn công Phishing/Social engineering
............................................................................................................................................
6. Sự cố đã được báo cáo với VNCERT / bất kỳ cơ quan thực thi pháp luật nào chưa
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
………, ngày .... tháng .... năm……
Người đại diện hợp pháp
(ký, ghi rõ họ tên, đóng dấu)
TÊN TỔ CHỨC
-------
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
Số: ………./ …….
…….., ngày tháng năm
BÁO CÁO SỰ CỐ AN NINH MẠNG
Mẫu 02 - Báo cáo hoàn thành khắc phục sự cố
Kính gửi: Cục Công nghệ thông tin - Ngân hàng Nhà nước
▪ Họ và tên: …………………………………. Chức vụ:..........................................................
▪ Địa chỉ:...............................................................................................................................
II. NỘI DUNG BÁO CÁO
+ Số văn bản báo cáo (trước đó) về sự cố:........................................................................
2. Mức độ ảnh hưởng của sự cố:
+ Ảnh hưởng đến toàn bộ khách hàng □
- Hệ thống thông tin nội bộ của đơn vị bị tác động □
+ Ảnh hưởng đến một số bộ phận □
- Mô tả chi tiết:
............................................................................................................................................
□ Không
- Cung cấp thông tin cụ thể hơn về sự cố trước đó:
............................................................................................................................................
- Văn bản báo cáo liên quan đến sự cố đã được báo cáo trước đó:..................................
□ Tấn công Phishing/Social engineering
............................................................................................................................................
5. Thông tin về hệ thống gặp sự cố:
- Các dịch vụ có trên hệ thống (Đánh dấu những dịch vụ được sử dụng trên hệ thống)
|
□ Dịch vụ khác, đó là............................................................................................................ - Địa chỉ IP Public của những hệ thống bị ảnh hưởng □ :.................................................... 6. Các biện pháp an toàn thông tin đã triển khai (trước khi hệ thống gặp sự cố):
|