Để bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng thì chính sách quản lý truy cập mạng nội bộ cần đáp ứng những yêu cầu nào?

Nội dung chính

• Để bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng thì chính sách quản lý truy cập mạng nội bộ cần đáp ứng những yêu cầu nào?
• Quản lý truy cập hệ thống thông tin và ứng dụng trong hoạt động ngân hàng được quy định như thế nào?
• Xây dựng quy định về quản lý mã khóa bí mật trong hoạt động ngân hàng thì phải đáp ứng những yêu cầu nào?

Để bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng thì chính sách quản lý truy cập mạng nội bộ cần đáp ứng những yêu cầu nào?

Căn cứ theo Điều 29 Thông tư 09/2020/TT-NHNN quy định như sau:

Quản lý truy cập mạng nội bộ

Tổ chức xây dựng và triển khai các chính sách quản lý truy cập mạng nội bộ đáp ứng các yêu cầu sau:

1. Xây dựng và triển khai quy định quản lý truy cập mạng và các dịch vụ mạng gồm các nội dung cơ bản sau:

a) Các mạng và dịch vụ mạng được phép sử dụng, cách thức, phương tiện và các điều kiện an toàn thông tin để truy cập;

b) Trách nhiệm của người quản trị, người truy cập;

c) Thủ tục cấp phát, thay đổi, thu hồi quyền kết nối;

d) Kiểm soát việc quản trị, truy cập, sử dụng mạng.

2. Thực hiện các biện pháp kiểm soát chặt chẽ các kết nối từ mạng không tin cậy vào mạng nội bộ của tổ chức bảo đảm an toàn thông tin.

3. Kiểm soát việc cài đặt, sử dụng các công cụ phần mềm hỗ trợ truy cập từ xa.

4. Kiểm soát truy cập các cổng dùng để cấu hình và quản trị thiết bị mạng.

5. Cấp quyền truy cập mạng và dịch vụ mạng phải bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.

6. Kết nối từ mạng Internet vào mạng nội bộ của tổ chức để phục vụ công việc phải sử dụng mạng riêng ảo và xác thực đa yếu tố.

Như vậy để bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng thì chính sách quản lý truy cập mạng nội bộ cần đáp ứng những yêu cầu như sau:

- Xây dựng và triển khai quy định quản lý truy cập mạng và các dịch vụ mạng;

- Thực hiện các biện pháp kiểm soát chặt chẽ các kết nối từ mạng không tin cậy vào mạng nội bộ của tổ chức bảo đảm an toàn thông tin;

- Kiểm soát việc cài đặt, sử dụng các công cụ phần mềm hỗ trợ truy cập từ xa;

- Kiểm soát truy cập các cổng dùng;

- Cấp quyền truy cập mạng và dịch vụ mạng phải bảo đảm nguyên tắc quyền vừa đủ;

- Kết nối từ mạng Internet vào mạng nội bộ của tổ chức.

Hoạt động ngân hàng (Hình từ Internet)

Quản lý truy cập hệ thống thông tin và ứng dụng trong hoạt động ngân hàng được quy định như thế nào?

Căn cứ theo Điều 30 Thông tư 09/2020/TT-NHNN quy định như sau:

Quản lý truy cập hệ thống thông tin và ứng dụng

Tổ chức xây dựng và triển khai việc quản lý truy cập đáp ứng yêu cầu sau:

1. Kiểm soát những phần mềm tiện ích có khả năng ảnh hưởng đến hệ thống thông tin.

2. Quy định thời gian truy cập vào ứng dụng tương ứng với thời gian hoạt động nghiệp vụ và dịch vụ mà ứng dụng cung cấp. Tự động ngắt phiên làm việc của người sử dụng sau một thời gian không sử dụng nhằm ngăn chặn sự truy cập trái phép.

3. Quản lý và phân quyền truy cập thông tin và ứng dụng bảo đảm nguyên tắc cấp quyền vừa đủ để thực hiện nhiệm vụ được giao của người sử dụng:

a) Phân quyền truy cập đến từng thư mục, chức năng của chương trình;

b) Phân quyền đọc, ghi, xóa, thực thi đối với thông tin, dữ liệu, chương trình.

4. Các hệ thống thông tin sử dụng chung nguồn tài nguyên phải được cấp có thẩm quyền phê duyệt.

5. Đối với máy chủ thuộc hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng phải sử dụng giao thức kết nối an toàn và có phương án chống đăng nhập tự động.

6. Đối với các hệ thống thông tin từ cấp độ 4 trở lên phải áp dụng xác thực đa yếu tố khi truy cập quản trị các máy chủ, ứng dụng và các thiết bị mạng, an ninh mạng quan trọng.

Xây dựng quy định về quản lý mã khóa bí mật trong hoạt động ngân hàng thì phải đáp ứng những yêu cầu nào?

Căn cứ theo khoản 2 Điều 28 Thông tư 09/2020/TT-NHNN quy định như sau:

Yêu cầu đối với kiểm soát truy cập

...

2. Tổ chức xây dựng quy định về quản lý mã khóa bí mật đáp ứng các yêu cầu sau:

a) Mã khóa bí mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ hoa, chữ thường và các ký tự đặc biệt khác nếu hệ thống cho phép; các yêu cầu mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập mã khóa bí mật;

b) Các mã khóa bí mật mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm phải được thay đổi trước khi đưa vào sử dụng;

c) Phần mềm quản lý mã khóa bí mật phải có các chức năng: (i) Yêu cầu thay đổi mã khóa bí mật lần đầu đăng nhập (không áp dụng với mã khóa bí mật sử dụng một lần); (ii) Thông báo người sử dụng thay đổi mã khóa bí mật sắp hết hạn sử dụng; (iii) Hủy hiệu lực của mã khóa bí mật hết hạn sử dụng; (iv) Hủy hiệu lực của mã khóa bí mật khi người sử dụng nhập sai quá số lần cho phép; (v) Cho phép thay đổi ngay mã khóa bí mật bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; (vi) Ngăn chặn việc sử dụng lại mã khóa bí mật cũ trong một khoảng thời gian nhất định.

...

Như vậy khi xây dựng quy định về quản lý mã khóa bí trong hoạt động ngân hàng thì phải đáp ứng những yêu cầu như sau:

- Mã khóa bí mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ hoa, chữ thường và các ký tự đặc biệt khác nếu hệ thống cho phép;

- Các yêu cầu mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập mã khóa bí mật;

- Các mã khóa bí mật mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm phải được thay đổi trước khi đưa vào sử dụng;

- Phần mềm quản lý mã khóa bí mật phải có các chức năng như quy định.