Hệ thống Internet Banking có phải là hệ thống thông tin quan trọng không? Trang bị các giải pháp an ninh bảo mật cho hệ thống này gồm những thiết bị nào?
Hệ thống Internet Banking có phải là hệ thống thông tin quan trọng không?
Hệ thống Internet Banking có phải là hệ thống thông tin quan trọng không, thì theo quy định tại khoản 1 Điều 3 Thông tư 35/2016/TT-NHNN, được sửa đổi bởi khoản 1 Điều 1 Thông tư 35/2018/TT-NHNN như sau:
Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking
1. Hệ thống Internet Banking là hệ thống thông tin quan trọng theo quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.
2. Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.
3. Các thông tin giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn. Biện pháp xác thực giao dịch phải đáp ứng:
a) Áp dụng tối thiểu biện pháp xác thực đa thành tố khi thay đổi thông tin định danh khách hàng;
b) Áp dụng các biện pháp xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quyết định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ;
c) Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.
4. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.
…
Như vậy, theo quy định trên thì hệ thống Internet Banking là hệ thống thông tin quan trọng theo quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.
Hệ thống Internet Banking (Hình từ Internet)
Trang bị các giải pháp an ninh bảo mật cho hệ thống Internet Banking gồm những thiết bị nào?
Trang bị các giải pháp an ninh bảo mật cho hệ thống Internet Banking gồm những thiết bị được quy định tại khoản 2 Điều 4 Thông tư 35/2016/TT-NHNN, được sửa đổi bởi khoản 2 và khoản 3 Điều 1 Thông tư 35/2018/TT-NHNN, khoản 1 Điều 2 Thông tư 35/2018/TT-NHNN như sau:
Hệ thống mạng, truyền thông và an ninh bảo mật
Đơn vị phải thiết lập hệ thống mạng, truyền thông và an ninh bảo mật đạt yêu cầu tối thiểu sau:
1. Hệ thống mạng được chia tách thành các phân vùng, tối thiểu gồm: phân vùng kết nối Internet, phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ), phân vùng người dùng, phân vùng quản trị, phân vùng máy chủ. Các máy tính phục vụ cho việc cung cấp thông tin trên Internet phải được đặt trong phân vùng DMZ. Các máy chủ lưu trữ, xử lý dữ liệu phải được đặt trong phân vùng máy chủ.
2. Trang bị các giải pháp an ninh bảo mật cho hệ thống Internet Banking, tối thiểu gồm: thiết bị tường lửa; phòng chống vi rút; phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ lớp ứng dụng và phòng chống tấn công xâm nhập.
3. Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ.
4. Kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua phân vùng DMZ để kiểm soát an ninh, bảo mật.
5. Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Internet Banking.
6. Kiểm tra chính sách an ninh bảo mật; quyền truy cập; các kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào hệ thống mạng tối thiểu ba tháng một lần.
7. (Bãi bỏ).
8. Hạn chế kết nối từ xa để thực hiện công tác quản trị hệ thống. Trường hợp bắt buộc phải kết nối từ xa vào vùng máy chủ, đơn vị phải sử dụng giao thức truyền thông được mã hóa và không lưu mã khóa bí mật tại các phần mềm tiện ích.
…
Như vậy, theo quy định trên thì các giải pháp an ninh bảo mật cho hệ thống Internet Banking phải tối thiểu các trang thiết bị sau: thiết bị tường lửa; phòng chống vi rút; phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ lớp ứng dụng và phòng chống tấn công xâm nhập.
Nhân sự quản trị hệ thống Internet Banking có phải tham gia khóa đào tạo cập nhật kiến thức an ninh bảo mật hàng năm không?
Nhân sự quản trị hệ thống Internet Banking có phải tham gia khóa đào tạo cập nhật kiến thức an ninh bảo mật hàng năm không, thì theo quy định tại khoản 3 Điều 11 Thông tư 35/2016/TT-NHNN như sau:
Quản lý nhân sự quản trị, vận hành hệ thống Internet Banking
1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng.
2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao dịch bất thường.
3. Nhân sự quản trị, giám sát và vận hành hệ thống Internet Banking phải tham gia các khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.
4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Internet Banking phải được theo dõi, giám sát bởi bộ phận độc lập với bộ phận cấp phát tài khoản.
Như vậy, theo quy định trên thì nhân sự quản trị hệ thống Internet Banking phải tham gia các khóa đào tạo cập nhật kiến thức an ninh bảo mật hàng năm.
Bùi Thị Thanh Sương
Quý khách cần hỏi thêm thông tin về Dịch vụ internet Banking có thể đặt câu hỏi tại đây.
- Nhà nước có chính sách ưu tiên chuyển giao công nghệ cao đối với hoạt động chuyển giao công nghệ không?
- Tổ chức thanh niên có bao gồm Hội Liên hiệp Thanh niên Việt Nam? Nhiệm kỳ Đại hội Hội Liên hiệp thanh niên Việt Nam là mấy năm?
- Phụ lục 2A: Mẫu kết quả đối chiếu tài liệu đấu thầu đối với các gói thầu đấu thầu theo phương thức một giai đoạn một túi hồ sơ mới nhất?
- Mẫu đề nghị cấp lại Giấy phép thành lập Văn phòng đại diện của tổ chức xúc tiến thương mại nước ngoài là mẫu nào?
- Hoạt động đầu tư xây dựng là gì? 09 nguyên tắc cơ bản trong hoạt động đầu tư xây dựng là gì theo quy định?