Bảo đảm an toàn, bảo mật hệ thống thông tin trong hoạt động ngân hàng

Cập nhật: 10:28 | 25/04/2018
Ngân hàng Nhà nước đang dự thảo Thông tư quy định về bảo đảm an toàn, bảo mật hệ thống thông tin trong hoạt động ngân hàng để thay thế Thông tư 31/2015/TT-NHNN nhằm cập nhật các quy định mới của Luật An toàn thông tin mạng và các văn bản hướng dẫn đồng thời phản ánh đầy đủ, sát thực hơn các yêu cầu về an ninh bảo mật phù hợp với thực tế phát triển nhanh chóng, đa dạng về công nghệ thông tin hiện nay.
bao dam an toan bao mat he thong thong tin trong hoat dong ngan hang
Ảnh minh họa

Dự thảo quy định nguyên tắc phân loại thông tin theo thuộc tính bí mật như sau: a- Thông tin công cộng; b- Thông tin nội bộ; c- Thông tin bí mật.

Nguyên tắc phân loại hệ thống thông tin theo cấp độ:

a- Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của đơn vị và chỉ xử lý thông tin công cộng.

b- Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí sau: Hệ thống thông tin phục vụ hoạt động nội bộ của một hoặc một số bộ phận của đơn vị và có xử lý thông tin nội bộ; hệ thống thông tin phục vụ khách hàng nhưng không xử lý thông tin bí mật.

c- Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí sau: Hệ thống thông tin xử lý thông tin nội bộ của đơn vị và có xử lý thông tin bí mật; hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của đơn vị và không chấp nhận ngừng vận hành quá 4 giờ làm việc; hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến cho khách hàng.

d- Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí sau: Hệ thống thông tin quốc gia phục vụ Chính phủ điện tử yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; hệ thống thông tin trong ngành Ngân hàng cung cấp dịch vụ cho các hệ thống thông tin cấp độ 4 theo quy định của Chính phủ; hệ thống cơ sở hạ tầng thông tin dùng chung trong ngành Ngân hàng phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

đ- Hệ thống thông tin cấp độ 5 là hệ thống thông tin trong ngành Ngân hàng cung cấp dịch vụ cho các hệ thống thông tin cấp độ 5 theo quy định của Chính phủ.

Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống thông tin phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị. Quy chế an toàn, bảo mật hệ thống thông tin phải được thủ trưởng đơn vị (hoặc người đại diện hợp pháp) ký ban hành, tổ chức thực hiện, triển khai trong toàn đơn vị.

Bên cạnh những lợi ích mà dịch vụ điện toán đám mây mang lại vẫn còn tồn tại một số vấn đề như: Khó khăn trong việc kiểm soát, bảo đảm an toàn thông tin mạng, bảo vệ dữ liệu; tăng nguy cơ bị tấn công mạng, tăng nguy cơ lộ, lọt thông tin/dữ liệu mật... Do đó, Thông tư dự thảo Mục 6 "về quản lý sử dụng dịch vụ công nghệ thông tin của bên thứ ba" cần được xem xét thận trọng, cân bằng giữa lợi ích và rủi ro của dịch vụ điện toán đám mây nói riêng và sử dụng dịch vụ của bên thứ ba nói chung.

Cụ thể, việc sử dụng dịch vụ công nghệ thông tin của bên thứ ba phải bảo đảm các nguyên tắc sau: 1- Việc sử dụng dịch vụ công nghệ thông tin không làm suy giảm khả năng cung cấp dịch vụ liên tục của đơn vị cho khách hàng. 2- Việc sử dụng dịch vụ công nghệ thông tin không làm suy giảm việc kiểm soát quy trình nghiệp vụ của đơn vị. 3- Việc sử dụng dịch vụ công nghệ thông tin không làm thay đổi trách nhiệm của đơn vị trong việc bảo đảm an toàn, bảo mật thông tin. 4- Đơn vị không được thuê bên thứ ba thực hiện toàn bộ công việc quản trị đối với các hệ thống thông tin từ cấp độ 3 trở lên.

T.Quang