Hệ thống pháp luật

Mục 5 Chương 2 Thông tư 18/2018/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

Mục 5. QUẢN LÝ TRUY CẬP

Điều 27. Yêu cầu đối với kiểm soát truy cập

1. Tổ chức quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, các thiết bị, công cụ sử dụng để truy cập hệ thống thông tin bảo đảm đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn thông tin, bao gồm các nội dung cơ bản sau:

a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của người sử dụng;

b) Mỗi tài Khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài Khoản dùng chung để truy cập hệ thống thông tin thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng;

c) Đối với hệ thống thông tin từ mức độ 2 trở lên, phải giới hạn và kiểm soát các truy cập sử dụng tài Khoản có quyền quản trị: (i) Thiết lập cơ chế kiểm soát việc tạo tài Khoản có quyền quản trị để bảo đảm không một tài Khoản nào sử dụng được khi chưa được cấp có thẩm quyền phê duyệt; (ii) Phải có biện pháp giám sát việc sử dụng tài Khoản có quyền quản trị; (iii) Việc sử dụng tài Khoản có quyền quản trị phải được giới hạn trong Khoảng thời gian đủ để thực hiện công việc và phải được thu hồi ngay sau khi kết thúc công việc;

d) Quản lý, cấp phát mã khóa bí mật truy cập hệ thống thông tin;

đ) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng;

e) Yêu cầu, Điều kiện an toàn thông tin đối với các thiết bị, công cụ sử dụng để truy cập.

2. Tổ chức xây dựng quy định về quản lý mã khóa bí mật đáp ứng các yêu cầu sau:

a) Mã khóa bí mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ hoa, chữ thường và các ký tự đặc biệt khác nếu hệ thống cho phép; các yêu cầu mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập mã khóa bí mật;

b) Các mã khóa bí mật mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi trước khi đưa vào sử dụng;

c) Phần mềm quản lý mã khóa bí mật phải có các chức năng: (i) Yêu cầu thay đổi mã khóa bí mật lần đầu đăng nhập (không áp dụng với mã khóa bí mật sử dụng một lần); (ii) thông báo người sử dụng thay đổi mã khóa bí mật sắp hết hạn sử dụng; (iii) hủy hiệu lực của mã khóa bí mật hết hạn sử dụng; (iv) hủy hiệu lực của mã khóa bí mật khi người sử dụng nhập sai quá số lần cho phép; (v) cho phép thay đổi ngay mã khóa bí mật bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; (vi) ngăn chặn việc sử dụng lại mã khóa bí mật cũ trong một Khoảng thời gian nhất định.

3. Tổ chức xây dựng quy định về trách nhiệm của người sử dụng khi được cấp quyền truy cập bao gồm các nội dung: sử dụng mã khóa bí mật đúng quy định; giữ bí mật mã khóa bí mật; sử dụng thiết bị, công cụ để truy cập; thoát khỏi hệ thống khi không làm việc hoặc tạm thời không làm việc trên hệ thống.

Điều 28. Quản lý truy cập mạng nội bộ

Tổ chức xây dựng và triển khai các chính sách quản lý truy cập mạng nội bộ đáp ứng các yêu cầu sau:

1. Xây dựng và triển khai quy định quản lý truy cập mạng và các dịch vụ mạng gồm các nội dung cơ bản sau:

a) Các mạng và dịch vụ mạng được phép sử dụng, cách thức, phương tiện và các Điều kiện an toàn thông tin để truy cập;

b) Trách nhiệm của người quản trị, người truy cập;

c) Thủ tục cấp phát, thay đổi, thu hồi quyền kết nối;

d) Kiểm soát việc quản trị, truy cập, sử dụng mạng.

2. Thực hiện các biện pháp kiểm soát chặt chẽ các kết nối từ mạng không tin cậy vào mạng nội bộ của tổ chức bảo đảm an toàn thông tin.

3. Kiểm soát việc cài đặt, sử dụng các công cụ phần mềm hỗ trợ truy cập từ xa.

4. Kiểm soát truy cập các cổng dùng để cấu hình và quản trị thiết bị mạng.

5. Cấp quyền truy cập mạng và dịch vụ mạng phải bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.

6. Kết nối từ mạng Internet vào mạng nội bộ của tổ chức để phục vụ công việc phải sử dụng mạng riêng ảo và xác thực đa thành tố.

Điều 29. Quản lý truy cập hệ thống thông tin và ứng dụng

Tổ chức xây dựng và triển khai việc quản lý truy cập đáp ứng yêu cầu sau:

1. Kiểm soát những phần mềm tiện ích có khả năng ảnh hưởng đến hệ thống thông tin.

2. Quy định thời gian truy cập vào ứng dụng tương ứng với thời gian hoạt động nghiệp vụ và dịch vụ mà ứng dụng cung cấp. Tự động ngắt phiên làm việc của người sử dụng sau một thời gian không sử dụng nhằm ngăn chặn sự truy cập trái phép.

3. Quản lý và phân quyền truy cập thông tin và ứng dụng bảo đảm nguyên tắc cấp quyền vừa đủ để thực hiện nhiệm vụ được giao của người sử dụng:

a) Phân quyền truy cập đến từng thư mục, chức năng của chương trình;

b) Phân quyền đọc, ghi, xóa, thực thi đối với thông tin, dữ liệu, chương trình.

4. Các hệ thống thông tin sử dụng chung nguồn tài nguyên phải được cấp có thẩm quyền phê duyệt.

5. Đối với máy chủ thuộc hệ thống thông tin từ mức độ 2 trở lên phải sử dụng giao thức kết nối an toàn và có phương án chống đăng nhập tự động.

Điều 30. Quản lý kết nối Internet

Tổ chức quy định và triển khai việc quản lý kết nối Internet đáp ứng yêu cầu sau:

1. Quy định quản lý kết nối, truy cập sử dụng Internet gồm các nội dung cơ bản sau:

a) Trách nhiệm cá nhân và các bộ phận có liên quan trong khai thác sử dụng Internet;

b) Đối tượng được phép truy cập, kết nối sử dụng Internet;

c) Các hành vi bị cấm, hạn chế;

d) Kiểm soát kết nối, truy cập sử dụng Internet;

đ) Các biện pháp bảo đảm an toàn thông tin khi kết nối Internet.

2. Thực hiện quản lý tập trung, thống nhất các cổng kết nối Internet trong toàn bộ tổ chức.

3. Triển khai các giải pháp an ninh mạng tại các cổng kết nối Internet để bảo đảm an toàn trước các hiểm họa tấn công từ Internet vào mạng nội bộ của tổ chức.

4. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và các tấn công, truy cập bất hợp pháp vào hệ thống mạng nội bộ của tổ chức thông qua cổng kết nối Internet.

Thông tư 18/2018/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

  • Số hiệu: 18/2018/TT-NHNN
  • Loại văn bản: Thông tư
  • Ngày ban hành: 21/08/2018
  • Nơi ban hành: Quốc hội
  • Người ký: Nguyễn Kim Anh
  • Ngày công báo: Đang cập nhật
  • Số công báo: Đang cập nhật
  • Ngày hiệu lực: 01/01/2019
  • Tình trạng hiệu lực: Kiểm tra
MỤC LỤC VĂN BẢN
CHƯƠNG 1: QUY ĐỊNH CHUNG
CHƯƠNG 2: CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN THÔNG TIN
Mục 1: QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN
Mục 2: QUẢN LÝ NGUỒN NHÂN LỰC
Mục 3: BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN
Mục 4: QUẢN LÝ VẬN HÀNH VÀ TRAO ĐỔI THÔNG TIN
Mục 5: QUẢN LÝ TRUY CẬP
Mục 6: QUẢN LÝ SỬ DỤNG DỊCH VỤ CÔNG NGHỆ THÔNG TIN CỦA BÊN THỨ BA
Mục 7: QUẢN LÝ TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THÔNG TIN
Mục 8: QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
Mục 9: BẢO ĐẢM HOẠT ĐỘNG LIÊN TỤC CỦA HỆ THỐNG THÔNG TIN
Mục 10: KIỂM TRA NỘI BỘ VÀ CHẾ ĐỘ BÁO CÁO
CHƯƠNG 3: ĐIỀU KHOẢN THI HÀNH
MỤC LỤC VĂN BẢN
HIỂN THỊ DANH SÁCH