Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?

Nội dung chính

• Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
• Dữ liệu của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng có bắt buộc phải có phương án tự động sao lưu không?
• Môi trường vận hành của hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng phải đáp ứng yêu cầu nào?

Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?

Căn cứ tại khoản 2 Điều 26 Thông tư 09/2020/TT-NHNN có quy định như sau:

Giám sát và ghi nhật ký hoạt động của hệ thống thông tin

Tổ chức thực hiện giám sát và ghi nhật ký hoạt động của hệ thống thông tin từ cấp độ 2 trở lên như sau:

1. Ghi và lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin nếu hệ thống hỗ trợ, tối thiểu bao gồm:

a) Thông tin kết nối mạng (firewall log);

b) Thông tin đăng nhập;

c) Thông tin thay đổi cấu hình;

d) Thông tin truy cập dữ liệu và dịch vụ quan trọng (nếu có);

đ) Thông tin các lỗi phát sinh trong quá trình hoạt động;

e) Thông tin cảnh báo từ các thiết bị;

g) Thông tin hiệu năng hoạt động của thiết bị (đối với hệ thống thông tin từ cấp độ 3 trở lên).

2. Dữ liệu nhật ký của các hệ thống thông tin cấp độ 2 phải được lưu trực tuyến tối thiểu 1 tháng và sao lưu tối thiểu 6 tháng. Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên phải được lưu trực tuyến tối thiểu 3 tháng theo hình thức tập trung và sao lưu tối thiểu một năm.

3. Có phương án giám sát, cảnh báo khi có thay đổi thông tin bí mật lưu trên hệ thống lưu trữ/phương tiện lưu trữ của các hệ thống thông tin từ cấp độ 4 trở lên.

4. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo, thay đổi và truy cập trái phép; bảo đảm người quản trị hệ thống và người sử dụng không thể xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.

5. Thực hiện việc đồng bộ thời gian giữa các hệ thống thông tin.

Như vậy, theo quy định trên thì dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến tối thiểu 3 tháng theo hình thức tập trung và sao lưu tối thiểu một năm.

Hệ thống thông tin (Hình từ Internet)

Dữ liệu của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng có bắt buộc phải có phương án tự động sao lưu không?

Căn cứ tại khoản 2 Điều 22 Thông tư 09/2020/TT-NHNN có quy định như sau:

Sao lưu dự phòng

Tổ chức thực hiện sao lưu dự phòng bảo đảm an toàn dữ liệu như sau:

1. Lập danh sách hệ thống thông tin theo cấp độ quan trọng cần được sao lưu, kèm theo thời gian lưu trữ, định kỳ sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.

2. Dữ liệu của các hệ thống thông tin từ cấp độ 3 trở lên phải có phương án tự động sao lưu phù hợp với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ; dữ liệu của các hệ thống thông tin còn lại thực hiện sao lưu định kỳ theo quy định của tổ chức.

3. Dữ liệu sao lưu của các hệ thống thông tin từ cấp độ 3 trở lên phải được lưu trữ ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực lắp đặt hệ thống thông tin nguồn ngay trong ngày làm việc tiếp theo ngày hoàn thành việc sao lưu.

4. Kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài theo định kỳ tối thiểu:

a) Một năm một lần đối với hệ thống thông tin từ cấp độ 3 trở lên;

b) Hai năm một lần với các hệ thống khác.

Như vậy, theo quy định trên thì dữ liệu của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng phải có phương án tự động sao lưu phù hợp với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ; dữ liệu của các hệ thống thông tin còn lại thực hiện sao lưu định kỳ theo quy định của tổ chức.

Môi trường vận hành của hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng phải đáp ứng yêu cầu nào?

Căn cứ tại khoản 3 Điều 20 Thông tư 09/2020/TT-NHNN có quy định như sau:

Trách nhiệm quản lý và quy trình vận hành của tổ chức

1. Tổ chức ban hành các quy trình, tài liệu vận hành đối với hệ thống thông tin từ cấp độ 3 trở lên, tối thiểu bao gồm các nội dung: quy trình bật, tắt hệ thống; quy trình sao lưu, phục hồi dữ liệu; quy trình vận hành ứng dụng; quy trình xử lý sự cố; quy trình giám sát và ghi nhật ký hoạt động của hệ thống. Trong đó phải xác định rõ phạm vi, trách nhiệm của người sử dụng, vận hành hệ thống. Định kỳ tối thiểu mỗi năm một lần, tổ chức thực hiện rà soát, cập nhật, bổ sung các quy trình vận hành hệ thống thông tin để phù hợp thực tế.

2. Tổ chức triển khai các quy trình đến toàn bộ các đối tượng tham gia vận hành và giám sát tuân thủ việc thực hiện các quy trình đã ban hành.

3. Môi trường vận hành của hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng phải đáp ứng yêu cầu:

a) Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm;

b) Áp dụng các giải pháp bảo đảm an toàn thông tin;

c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng;

d) Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng trên hệ thống thông tin.

…

Như vậy, theo quy định trên thì môi trường vận hành của hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng phải đáp ứng yêu cầu sau:

- Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm;

- Áp dụng các giải pháp bảo đảm an toàn thông tin;

- Không cài đặt các công cụ, phương tiện phát triển ứng dụng;

- Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng trên hệ thống thông tin.