Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?

Nội dung chính

• Nhân sự đảm nhận vị trí quản lý vận hành hệ thống internet Banking có phải tham gia các khóa đào tạo kiến thức hàng năm hay không?
• Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?
• Việc quản lý các lỗ hỏng trên hệ thống internet Banking được thực hiện dựa trên các nội dung nào?

Nhân sự đảm nhận vị trí quản lý vận hành hệ thống internet Banking có phải tham gia các khóa đào tạo kiến thức hàng năm hay không?

Căn cứ Điều 11 Thông tư 35/2016/TT-NHNN quy định về quản lý nhân sự quản trị, vận hành hệ thống Internet Banking như sau:

"Điều 11. Quản lý nhân sự quản trị, vận hành hệ thống Internet Banking

1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng.

2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao dịch bất thường.

3. Nhân sự quản trị, giám sát và vận hành hệ thống Internet Banking phải tham gia các khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.

4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Internet Banking phải được theo dõi, giám sát bởi bộ phận độc lập với bộ phận cấp phát tài khoản."

Từ quy định vừa nêu trên thì đối với các nhân sự quản trị, giám sát và vận hành hệ thống Internet Banking phải tham gia các khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.

Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?

Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?

Căn cứ Điều 12 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 9 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về quản lý hoạt động của môi trường vận hành hệ thống Internet Banking như sau:

"Điều 12. Quản lý hoạt động của môi trường vận hành hệ thống Internet Banking

1. Đơn vị không cài đặt, lưu trữ phần mềm phát triển ứng dụng, mã nguồn trên môi trường vận hành.

2. Các máy tính của nhân sự quản trị, giám sát và vận hành phải được đặt trong phân vùng mạng quản trị, được cài đặt phần mềm phòng chống vi rút và phải thiết lập chính sách tự động khóa màn hình sau một khoảng thời gian không sử dụng do đơn vị quy định, nhưng không quá 05 phút.

3. Đơn vị phải thiết lập chính sách hạn chế truy cập Internet đối với các máy tính thực hiện quản trị, giám sát hệ thống Internet Banking. Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị phải:

a) Đánh giá rủi ro cho việc kết nối Internet;

b) Áp dụng các biện pháp kiểm soát cho việc kết nối;

c) Phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt.”

Như vậy, máy tính của các nhân sự quản lý hệ thống internet Banking không bị cấm truy cập internet nhưng việc truy cập sẽ phải hạn chế.

Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị phải:

- Đánh giá rủi ro cho việc kết nối Internet;

- Áp dụng các biện pháp kiểm soát cho việc kết nối;

- Phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt.

Ngoài ra, các máy tính của nhân sự quản trị, giám sát và vận hành phải được đặt trong phân vùng mạng quản trị, được cài đặt phần mềm phòng chống vi rút và phải thiết lập chính sách tự động khóa màn hình sau một khoảng thời gian không sử dụng do đơn vị quy định, nhưng không quá 05 phút.

Điều này cũng được thể hiện tại Điều 12 Văn bản hợp nhất 21/VBHN-NHNN năm 2018, bạn có thể xem để tham khảo thêm.

Việc quản lý các lỗ hỏng trên hệ thống internet Banking được thực hiện dựa trên các nội dung nào?

Căn cứ Điều 13 Thông tư 35/2021/TT-NHNN (bổ sung bởi khoản 10 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về quản lý lỗ hổng, điểm yếu về mặt kỹ thuật như sau:

"Điều 13. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật

Đơn vị phải thực hiện quản lý các lỗ hổng, điểm yếu của hệ thống Internet Banking với các nội dung cơ bản sau:

1. Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi của website, ứng dụng Internet Banking.

2. Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Internet Banking.

3. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.

4. Rà soát, kiểm tra việc cập nhật các bản vá lỗi của phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng tối thiểu ba tháng một lần.

5. Đánh giá an ninh bảo mật đối với hệ thống Internet Banking tối thiểu mỗi năm một lần. Tổ chức thực hiện diễn tập tấn công thử nghiệm để kiểm tra, đánh giá mức độ đảm bảo an ninh của hệ thống.

6. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 3 - CVSS v3). Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời đáp ứng các tiêu chí sau:

a) Trong vòng 1 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng (tương đương với CVSS v3 điểm từ 9.0 trở lên);

b) Trong vòng 2 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức cao (tương đương với CVSS v3 điểm từ 7.0 đến 8.9);

c) Khoảng thời gian do đơn vị tự quyết định với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp (tương đương với CVSS v3 điểm nhỏ hơn 7.0).”

Theo đó, việc quản lý các lổ hỏng cũng như điểm yếu về kỹ thuật trên hệ thống internet Banking được thực hiện dựa trên các nội dung theo quy định vừa nêu trên.