Bảo đảm an toàn, bảo mật các ứng dụng
Một điểm đặc thù của các ngân hàng là các ứng dụng CNTT đều liên quan chặt chẽ tới vấn đề tài chính, tiền tệ, liên quan tới quyền và lợi ích của số lượng lớn khách hàng, vì vậy, cần đảm bảo tuyệt đối sự an toàn.
Theo quy định về ATBM của Dự thảo nêu trên, các chương trình ứng dụng nghiệp vụ phải đảm bảo đạt được 4 yêu cầu: Kiểm tra tính hợp lệ của dữ liệu nhập vào các ứng dụng để đảm bảo dữ liệu là chính xác và hợp lệ; Kiểm tra tính hợp lệ của dữ liệu cần được tích hợp trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có chủ ý; Có các biện pháp bảo đảm tính xác thực và bảo vệ sự toàn vẹn của dữ liệu được xử lý trong các ứng dụng; Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng nhằm đảm bảo quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.
Mặt khác, các đơn vị phải có qui định và đưa vào sử dụng các biện pháp mã hóa và quản lý khóa theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin. Khuyến nghị sử dụng các giải thuật mã hóa như AES (Advanced Encryption Standard), 3DES (Triple Data Encryption Standard), RSA (Rivest-Shamir-Adleman). Dữ liệu về mật khẩu khách hàng, mật khẩu người sử dụng và các dữ liệu nhạy cảm khác phải được mã hóa khi truyền trên mạng và khi lưu trữ.
Một điểm đáng lưu ý khác nữa là các đơn vị phải đảm bảo hoạt động liên tục của các hệ thống CNTT. Các hệ thống dự phòng phải tách biệt với hệ thống chính và đảm bảo các yêu cầu tối thiểu đặt ra đối với hệ thống dự phòng. Hệ thống dự phòng phải được đưa vào chạy thử sau khi xây dựng xong, đồng thời được định kỳ kiểm tra, đánh giá hoạt động. Hệ thống dự phòng phải thay thế được hệ thống chính trong vòng 4 giờ kể từ khi hệ thống chính có sự cố không khắc phục được. Nếu đột xuất xảy ra các vụ việc mất an toàn đối với hệ thống CNTT của đơn vị thì thời hạn báo cáo chậm nhất là 10 ngày kể từ thời điểm vụ việc được đơn vị phát hiện. Báo cáo bằng văn bản gửi về địa chỉ: Cục Công nghệ tin học – Ngân hàng Nhà nước Việt Nam, Số 64 Nguyễn Chí Thanh, Quận Đống Đa, Hà Nội. Báo cáo bằng văn bản điện tử gửi về địa chỉ email phong_ca@sbv.gov.vn
Chú trọng quản lý tài sản
Hai công việc chính yếu của nội dung ATBM CNTT trong quản lý tài sản là xác định trách nhiệm đối với tài sản, và phân loại thông tin.
Cụ thể, mỗi năm tối thiểu một lần, các đơn vị phải thống kê, kiểm kê các loại tài sản CNTT tại đơn vị. Nội dung thống kê tài sản phải bao gồm các thông tin: loại tài sản, giá trị, mức độ quan trọng, vị trí lắp đặt, thông tin dự phòng, thông tin về bản quyền.
Đồng thời phải phân loại, sắp xếp thứ tự ưu tiên theo giá trị, mức độ quan trọng của tài sản để có biện pháp bảo vệ tài sản phù hợp; xây dựng và thực hiện các qui định về quản lý, sử dụng tài sản. Tài sản thông tin được phân loại theo các tiêu chí như: giá trị, độ nhạy cảm và quan trọng, tần suất sử dụng, thời gian lưu trữ để có các biện pháp bảo vệ phù hợp.
Các đơn vị phải thực hiện các biện pháp quản lý thông tin phù hợp với từng loại thông tin đã phân loại.
Ngoài ra, phải gắn quyền sử dụng tài sản cho các cá nhân hoặc bộ phận cụ thể. Người sử dụng tài sản phải tuân thủ các qui định về quản lý, sử dụng tài sản đảm bảo tài sản được sử dụng đúng mục đích.
Ưu tiên quản lý nguồn nhân lực
Trong đó quy định cụ thể cả về nguồn nhân lực nội bộ và nguồn nhân lực bên thứ ba.
Đối với nguồn nhân lực nội bộ, trước khi tuyển dụng hoặc phân công nhiệm vụ, phải xác định trách nhiệm về an toàn, bảo mật CNTT của vị trí cần tuyển dụng hoặc phân công; Kiểm tra lý lịch, xem xét đánh giá nghiêm ngặt tư cách đạo đức, trình độ chuyên môn khi tuyển dụng, phân công cán bộ, nhân viên làm việc tại các vị trí trọng yếu của hệ thống CNTT như quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở dữ liệu. Quyết định hoặc hợp đồng tuyển dụng (nếu có) phải bao gồm các điều khoản về trách nhiệm đảm bảo an toàn, bảo mật CNTT của người được tuyển dụng trong và sau khi làm việc tại đơn vị.
Trong thời gian làm việc, đơn vị có trách nhiệm cung cấp và cập nhật các qui định về an toàn, bảo mật CNTT cho cán bộ, nhân viên; Thường xuyên đào tạo, nâng cao nhận thức cho cán bộ, nhân viên về an toàn, bảo mật CNTT; Yêu cầu và thường xuyên kiểm tra việc chấp hành các qui định về an toàn, bảo mật CNTT của đơn vị; Thực thi các biện pháp kỷ luật thích đáng đối với cán bộ, nhân viên của đơn vị vi phạm an toàn, bảo mật CNTT).
Đặc biệt, những công việc quan trọng như cấu hình an ninh mạng, thay đổi tham số hệ điều hành, cài đặt thiết bị tường lửa và thiết bị phát hiện và ngăn chặn xâm nhập (IPS) phải được thực hiện bởi ít nhất hai người hoặc phải có người giám sát. Một người không được quyền truy cập vào cả hệ thống CNTT chính và hệ thống dự phòng.
Khi cán bộ, nhân viên chấm dứt hoặc thay đổi công việc, đơn vị phải xác định rõ trách nhiệm của cán bộ nhân viên và các bên liên quan; làm biên bản bàn giao tài sản với cán bộ, nhân viên; thu hồi quyền truy cập hệ thống CNTT của cán bộ, nhân viên.
Đối với nguồn nhân lực bên thứ ba, trước khi triển khai công việc, phải yêu cầu bên thứ ba cung cấp danh sách nhân sự tham gia; kiểm tra tư cách pháp lý, năng lực chuyên môn của nhân sự bên thứ ba phù hợp với yêu cầu công việc; yêu cầu bên thứ ba ký cam kết không tiết lộ thông tin của đơn vị.
Trong thời gian triển khai công việc, các đơn vị của ngành Ngân hàng cần cung cấp và yêu cầu bên thứ ba tuân thủ đầy đủ các chính sách, qui định về an toàn, bảo mật CNTT của đơn vị; giám sát việc tuân thủ các qui định an toàn, bảo mật CNTT của nhân sự bên thứ ba.
Trong trường hợp phát hiện dấu hiệu vi phạm hoặc vi phạm qui định an toàn, bảo mật thông tin của bên thứ ba, đơn vị cần tạm dừng hoặc đình chỉ hoạt động của bên thứ ba tùy theo mức độ vi phạm; Thông báo chính thức các vi phạm về an toàn, bảo mật CNTT cho bên thứ ba; Kiểm tra xác định và lập báo cáo mức độ vi phạm và thiệt hại xảy ra.
Khi kết thúc công việc, yêu cầu bên thứ ba bàn giao lại tài sản sử dụng của đơn vị trong quá trình triển khai công việc; Thu hồi quyền truy cập hệ thống CNTT đã được cấp của bên thứ ba ngay sau khi kết thúc công việc.
Theo taichinhdientu.vn