Hệ thống pháp luật

Mục 7 Chương 2 Thông tư 18/2018/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

Mục 7. QUẢN LÝ TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THÔNG TIN

Điều 36. Yêu cầu về an toàn, bảo mật các hệ thống thông tin

Khi xây dựng mới hoặc nâng cấp hệ thống thông tin do tổ chức quản lý trực tiếp, tổ chức phải thực hiện phân loại hệ thống thông tin theo mức độ quan trọng quy định tại Khoản 2 Điều 4 Thông tư này. Đối với hệ thống thông tin từ mức độ 2 trở lên, tổ chức thực hiện:

1. Xây dựng tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin. Trong đó các yêu cầu về an toàn, bảo mật được xây dựng đồng thời với việc xây dựng các yêu cầu kỹ thuật, nghiệp vụ.

2. Xây dựng phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm thu. Kết quả kiểm tra phải lập thành báo cáo và được cấp có thẩm quyền phê duyệt trước khi đưa vào vận hành chính thức.

3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài theo quy định tại Điều 35 Thông tư này.

Điều 37. Bảo đảm an toàn, bảo mật ứng dụng

Các chương trình ứng dụng nghiệp vụ phải đáp ứng các yêu cầu tối thiểu sau:

1. Kiểm tra tính hợp lệ của dữ liệu nhập vào các ứng dụng, bảo đảm dữ liệu được nhập vào chính xác và hợp lệ.

2. Kiểm tra tính hợp lệ của dữ liệu cần được xử lý tự động trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có chủ ý.

3. Có các biện pháp bảo đảm tính xác thực và bảo vệ sự toàn vẹn của dữ liệu được xử lý trong các ứng dụng.

4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng, bảo đảm quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.

5. Mã khóa bí mật của người sử dụng trong các hệ thống thông tin từ mức độ 2 trở lên phải được mã hóa ở lớp ứng dụng.

Điều 38. Quản lý mã hóa

Tổ chức quản lý mã hóa như sau:

1. Quy định và đưa vào sử dụng các biện pháp mã hóa theo quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng hoặc tiêu chuẩn quốc tế đã được công nhận.

2. Có biện pháp quản lý khóa mã hóa để bảo vệ thông tin của tổ chức.

Điều 39. An toàn, bảo mật trong quá trình phát triển phần mềm

1. Tổ chức thực hiện quản lý quá trình phát triển phần mềm như sau:

a) Quản lý, kiểm soát chương trình nguồn. Việc truy cập, tiếp cận chương trình nguồn phải được sự phê duyệt của cấp có thẩm quyền;

b) Quản lý, bảo vệ tệp tin cấu hình hệ thống.

2. Tổ chức lựa chọn, kiểm soát đối với dữ liệu kiểm tra, thử nghiệm. Không sử dụng dữ liệu thật của hệ thống thông tin vận hành chính thức cho hoạt động kiểm thử khi chưa thực hiện các biện pháp che giấu hoặc thay đổi đối với dữ liệu chứa thông tin khách hàng và thông tin bí mật.

Điều 40. Quản lý sự thay đổi hệ thống thông tin

Tổ chức ban hành quy trình, biện pháp quản lý và kiểm soát sự thay đổi hệ thống thông tin, tối thiểu bao gồm:

1. Thực hiện ghi chép lại các thay đổi; lập kế hoạch thay đổi; thực hiện kiểm tra, thử nghiệm sự thay đổi, báo cáo kết quả; phê duyệt kế hoạch thay đổi trước khi áp dụng chính thức thay đổi phiên bản phần mềm, cấu hình phần cứng, tham số phần mềm hệ thống, quy trình vận hành. Có phương án dự phòng cho việc phục hồi hệ thống trong trường hợp thực hiện thay đổi không thành công hoặc gặp các sự cố không có khả năng dự tính trước.

2. Kiểm tra, đánh giá tác động để bảo đảm hệ thống thông tin hoạt động ổn định, an toàn trên môi trường mới đối với hệ thống thông tin từ mức độ 2 trở lên khi thay đổi phiên bản hoặc thay đổi hệ Điều hành, cơ sở dữ liệu, phần mềm lớp giữa.

Điều 41. Đánh giá an ninh bảo mật hệ thống thông tin

1. Nội dung đánh giá hệ thống thông tin của tổ chức về an ninh bảo mật phải bao gồm các nội dung sau:

a) Đánh giá về kiến trúc hệ thống để xác định tính phù hợp của các thiết bị lắp đặt với kiến trúc hệ thống tổng thể và yêu cầu về an ninh bảo mật;

b) Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài Khoản;

c) Kiểm tra thử nghiệm mức độ an toàn mạng (Penetration Test), bắt buộc phải thực hiện đối với các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ ra Internet, kết nối với khách hàng và bên thứ ba.

2. Tổ chức thực hiện đánh giá an ninh bảo mật đối với hệ thống thông tin từ mức độ 2 trở lên theo các nội dung quy định tại Khoản 1 Điều này trước khi đưa vào vận hành chính thức.

3. Trong quá trình vận hành hệ thống thông tin, tổ chức định kỳ thực hiện đánh giá an ninh bảo mật tối thiểu như sau:

a) Sáu tháng một lần đối với hệ thống thông tin mức độ 3 theo các nội dung tại Khoản 1 Điều này;

b) Một năm một lần đối với các hệ thống thông tin mức độ 2 và các trang thiết bị giao tiếp trực tiếp với môi trường bên ngoài như Internet, kết nối với khách hàng và bên thứ ba theo các nội dung tại Khoản 1 Điều này;

c) Hai năm một lần đối với hệ thống thông tin mức độ 1.

4. Kết quả đánh giá phải được lập thành văn bản báo cáo người đại diện hợp pháp và cấp có thẩm quyền. Đối với các nội dung chưa tuân thủ quy định về an toàn thông tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục.

Điều 42. Quản lý các điểm yếu về mặt kỹ thuật

Tổ chức quản lý các điểm yếu về mặt kỹ thuật như sau:

1. Xây dựng quy định về việc đánh giá, quản lý và kiểm soát các điểm yếu về mặt kỹ thuật của các hệ thống thông tin đang sử dụng.

2. Chủ động phát hiện các điểm yếu về mặt kỹ thuật thông qua các hoạt động:

a) Thường xuyên cập nhật thông tin liên quan đến lỗ hổng, điểm yếu về mặt kỹ thuật;

b) Thực hiện dò quét, phát hiện các mã độc, lỗ hổng, điểm yếu về mặt kỹ thuật của các hệ thống thông tin đang sử dụng định kỳ tối thiểu như sau: (i) Ba tháng một lần đối với hệ thống thông tin mức độ 3 hoặc các hệ thống thông tin có kết nối với mạng Internet; (ii) Sáu tháng một lần đối với các hệ thống thông tin còn lại.

3. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của các hệ thống thông tin đang sử dụng và đưa ra phương án, kế hoạch xử lý.

4. Xây dựng, tổ chức triển khai các giải pháp xử lý, khắc phục và báo cáo kết quả xử lý.

Điều 43. Quản lý bảo trì hệ thống thông tin

Tổ chức quản lý bảo trì hệ thống thông tin như sau:

1. Ban hành quy định bảo trì hệ thống thông tin ngay sau khi đưa vào hoạt động chính thức. Quy định bảo trì tối thiểu bao gồm các nội dung sau:

a) Phạm vi, các đối tượng được bảo trì;

b) Thời điểm, tần suất bảo trì;

c) Quy trình, kịch bản kỹ thuật để thực hiện bảo trì của từng cấu phần và toàn bộ hệ thống thông tin;

d) Khi thực hiện bảo trì nếu phát hiện, phát sinh sự cố phải báo cáo cấp có thẩm quyền để xử lý;

đ) Phân công và xác định trách nhiệm của bộ phận thực hiện bảo trì và giám sát bảo trì.

2. Thực hiện bảo trì theo quy định tại Khoản 1 Điều này đối với hệ thống thông tin do tổ chức quản lý trực tiếp.

3. Rà soát quy định bảo trì tối thiểu một năm một lần hoặc khi hệ thống thông tin có sự thay đổi.

Thông tư 18/2018/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

  • Số hiệu: 18/2018/TT-NHNN
  • Loại văn bản: Thông tư
  • Ngày ban hành: 21/08/2018
  • Nơi ban hành: Quốc hội
  • Người ký: Nguyễn Kim Anh
  • Ngày công báo: Đang cập nhật
  • Số công báo: Đang cập nhật
  • Ngày hiệu lực: 01/01/2019
  • Tình trạng hiệu lực: Kiểm tra
MỤC LỤC VĂN BẢN
CHƯƠNG 1: QUY ĐỊNH CHUNG
CHƯƠNG 2: CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN THÔNG TIN
Mục 1: QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN
Mục 2: QUẢN LÝ NGUỒN NHÂN LỰC
Mục 3: BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN
Mục 4: QUẢN LÝ VẬN HÀNH VÀ TRAO ĐỔI THÔNG TIN
Mục 5: QUẢN LÝ TRUY CẬP
Mục 6: QUẢN LÝ SỬ DỤNG DỊCH VỤ CÔNG NGHỆ THÔNG TIN CỦA BÊN THỨ BA
Mục 7: QUẢN LÝ TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THÔNG TIN
Mục 8: QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
Mục 9: BẢO ĐẢM HOẠT ĐỘNG LIÊN TỤC CỦA HỆ THỐNG THÔNG TIN
Mục 10: KIỂM TRA NỘI BỘ VÀ CHẾ ĐỘ BÁO CÁO
CHƯƠNG 3: ĐIỀU KHOẢN THI HÀNH
MỤC LỤC VĂN BẢN
HIỂN THỊ DANH SÁCH