Trong hoạt động ngân hàng các chương trình về ứng dụng nghiệp vụ phải đáp ứng các yêu cầu như thế nào?

Nội dung chính

• Trong hoạt động ngân hàng các chương trình về ứng dụng nghiệp vụ phải đáp ứng các yêu cầu như thế nào?
• Đối với hệ thống thông tin từ cấp độ 2 trở lên trong hoạt động ngân hàng thì yêu cầu về an toàn, bảo mật được quy định như thế nào?
• Nội dung kiểm tra, đánh giá an toàn thông tin đối với hệ thống thông tin trong hoạt động ngân hàng được quy định như thế nào?

Trong hoạt động ngân hàng các chương trình về ứng dụng nghiệp vụ phải đáp ứng các yêu cầu như thế nào?

Căn cứ theo Điều 38 Thông tư 09/2020/TT-NHNN quy định như sau:

Bảo đảm an toàn, bảo mật ứng dụng

Các chương trình ứng dụng nghiệp vụ phải đáp ứng các yêu cầu tối thiểu sau:

1. Kiểm tra tính hợp lệ của dữ liệu nhập vào các ứng dụng, bảo đảm dữ liệu được nhập vào chính xác và hợp lệ.

2. Kiểm tra tính hợp lệ của dữ liệu cần được xử lý tự động trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có chủ ý.

3. Có các biện pháp bảo đảm tính xác thực và bảo vệ sự toàn vẹn của dữ liệu được xử lý trong các ứng dụng.

4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng, bảo đảm quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.

5. Mã khóa bí mật của người sử dụng trong các hệ thống thông tin từ cấp độ 2 trở lên phải được mã hóa ở lớp ứng dụng.

Như vậy trong hoạt động ngân hàng các chương trình về ứng dụng nghiệp vụ phải đáp ứng các yêu cầu như quy định trên.

Hoạt động ngân hàng (Hình từ Internet)

Đối với hệ thống thông tin từ cấp độ 2 trở lên trong hoạt động ngân hàng thì yêu cầu về an toàn, bảo mật được quy định như thế nào?

Căn cứ theo Điều 37 Thông tư 09/2020/TT-NHNN quy định như sau:

Yêu cầu về an toàn, bảo mật các hệ thống thông tin

Khi xây dựng mới hoặc nâng cấp hệ thống thông tin do tổ chức quản lý trực tiếp, tổ chức phải thực hiện phân loại hệ thống thông tin theo cấp độ quy định tại Điều 5 Thông tư này. Đối với hệ thống thông tin từ cấp độ 2 trở lên, tổ chức thực hiện:

1. Xây dựng tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin. Trong đó các yêu cầu về an toàn, bảo mật được xây dựng đồng thời với việc xây dựng các yêu cầu kỹ thuật, nghiệp vụ.

2. Xây dựng phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm thu. Kết quả kiểm tra phải lập thành báo cáo và được cấp có thẩm quyền phê duyệt trước khi đưa vào vận hành chính thức.

3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài theo quy định tại Điều 36 Thông tư này.

Nội dung kiểm tra, đánh giá an toàn thông tin đối với hệ thống thông tin trong hoạt động ngân hàng được quy định như thế nào?

Căn cứ theo khoản 1 Điều 42 Thông tư 09/2020/TT-NHNN quy định như sau:

Kiểm tra, đánh giá an toàn thông tin

1. Nội dung kiểm tra, đánh giá an toàn thông tin tối thiểu phải bao gồm các nội dung sau:

a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;

b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thông tin;

c) Đánh giá, phát hiện mã độc, lỗ hổng, điểm yếu về mặt kỹ thuật theo quy định tại Điều 43 Thông tư này;

d) Kiểm tra thử nghiệm cấp độ an toàn mạng (Penetration Test), bắt buộc phải thực hiện đối với các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ ra Internet, kết nối với khách hàng và bên thứ ba;

đ) Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản.

2. Tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin đối với hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng theo các nội dung quy định tại khoản 1 Điều này trước khi đưa vào vận hành chính thức.

3. Trong quá trình vận hành hệ thống thông tin, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin theo quy định tại khoản 1 Điều này định kỳ tối thiểu như sau:

a) Sáu tháng một lần đối với hệ thống thông tin cấp độ 5;

b) Một năm một lần đối với các hệ thống thông tin cấp độ 4, cấp độ 3 và các trang thiết bị giao tiếp trực tiếp với môi trường bên ngoài như Internet, kết nối với bên thứ ba;

c) Hai năm một lần thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của tổ chức.

4. Kết quả đánh giá phải được lập thành văn bản báo cáo người đại diện hợp pháp và cấp có thẩm quyền. Đối với các nội dung chưa tuân thủ quy định về an toàn thông tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục.

Như vậy nội dung kiểm tra, đánh giá an toàn thông tin đối với hệ thống thông tin trong hoạt động ngân hàng sẽ gồm:

- Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;

- Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thông tin;

- Đánh giá, phát hiện mã độc, lỗ hổng, điểm yếu về mặt kỹ thuật theo quy định tại Điều 43 Thông tư này;

- Kiểm tra thử nghiệm cấp độ an toàn mạng (Penetration Test), bắt buộc phải thực hiện đối với các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ ra Internet, kết nối với khách hàng và bên thứ ba;

- Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản.