Thiết lập hệ thống mạng, truyền thông và an ninh bảo mật của hệ thống Internet Banking phải đạt yêu cầu tối thiểu như thế nào?

Nội dung chính

• Có thể hiểu về hệ thống Internet Banking theo quy định của pháp luật hiện hành như thế nào?
• Việc cung cấp dịch vụ Internet Banking phải đảm bảo nguyên tắc về an toàn, bảo mật hệ thống công nghệ thông tin như thế nào?
• Thiết lập hệ thống mạng, truyền thông và an ninh bảo mật của hệ thống Internet Banking phải đạt yêu cầu tối thiểu như thế nào?

Có thể hiểu về hệ thống Internet Banking theo quy định của pháp luật hiện hành như thế nào?

Căn cứ Điều 2 Thông tư 35/2016/TT-NHNN quy định về hệ thống internet Bankinh như sau:

"Điều 2. Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Dịch vụ ngân hàng trên Internet (Internet Banking) là các dịch vụ ngân hàng và dịch vụ trung gian thanh toán được các đơn vị cung cấp thông qua mạng Internet.

2. Hệ thống Internet Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Internet Banking.

..."

Theo đó, hệ thống Internet Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Internet Banking.

Việc cung cấp dịch vụ Internet Banking phải đảm bảo nguyên tắc về an toàn, bảo mật hệ thống công nghệ thông tin như thế nào?

Căn cứ Điều 3 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 1 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking như sau:

“Điều 3. Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking

1. Hệ thống Internet Banking là hệ thống thông tin quan trọng theo quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.

2. Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.

3. Các thông tin giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn. Biện pháp xác thực giao dịch phải đáp ứng:

a) Áp dụng tối thiểu biện pháp xác thực đa thành tố khi thay đổi thông tin định danh khách hàng;

b) Áp dụng các biện pháp xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quyết định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ;

c) Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.

4. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.

5. Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.

6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.”.

Như vậy, việc cũng cấp dịch vụ Internet Banking cho khách hàng phải đảm bảo thực hiện theo nguyên tắc vừa nêu trên.

Nguyên tắc này cũng được nhắc đến anh chị có thể tham khảo tại Điều 3 Văn bản hợp nhất 21/VBHN-NHNN năm 2018.

Thiết lập hệ thống mạng, truyền thông và an ninh bảo mật của hệ thống Internet Banking phải đạt yêu cầu tối thiểu như thế nào?

Hệ thống internet Banking (Hình từ Internet)

Căn cứ Điều 4 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 2 và khoản 3 Điều 1 và khoản 1 Điều 2 Thông tư 35/2018/TT-NHNN) quy định về hệ thống mạng, truyền thông và an ninh bảo mật như sau:

"Điều 4. Hệ thống mạng, truyền thông và an ninh bảo mật

Đơn vị phải thiết lập hệ thống mạng, truyền thông và an ninh bảo mật đạt yêu cầu tối thiểu sau:

1. Hệ thống mạng được chia tách thành các phân vùng, tối thiểu gồm: phân vùng kết nối Internet, phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ), phân vùng người dùng, phân vùng quản trị, phân vùng máy chủ. Các máy tính phục vụ cho việc cung cấp thông tin trên Internet phải được đặt trong phân vùng DMZ. Các máy chủ lưu trữ, xử lý dữ liệu phải được đặt trong phân vùng máy chủ.

2. Trang bị các giải pháp an ninh bảo mật cho hệ thống Internet Banking, tối thiểu gồm: thiết bị tường lửa; phòng chống vi rút; phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ lớp ứng dụng và phòng chống tấn công xâm nhập.

3. Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ.”

4. Kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua phân vùng DMZ để kiểm soát an ninh, bảo mật.

5. Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Internet Banking.

6. Kiểm tra chính sách an ninh bảo mật; quyền truy cập; các kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào hệ thống mạng tối thiểu ba tháng một lần.

...

8. Hạn chế kết nối từ xa để thực hiện công tác quản trị hệ thống. Trường hợp bắt buộc phải kết nối từ xa vào vùng máy chủ, đơn vị phải sử dụng giao thức truyền thông được mã hóa và không lưu mã khóa bí mật tại các phần mềm tiện ích.

9. Kết nối từ Internet vào hệ thống mạng nội bộ để thực hiện công tác quản trị hệ thống phải được tuân thủ các quy tắc sau:

a) Phải được người có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối;

b) Phải sử dụng giao thức truyền thông được mã hóa;

c) Thiết bị kết nối phải được cài đặt các phần mềm đảm bảo an ninh bảo mật;

d) Phải sử dụng biện pháp xác thực hai yếu tố khi đăng nhập hệ thống.

10. Đường truyền kết nối Internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.

11. Trang bị giải pháp đảm bảo an toàn bảo mật giữa các phân vùng mạng: giữa các phân vùng mạng khác nhau phải có thiết bị tường lửa hoặc thiết bị phòng chống xâm nhập"

Như vậy, đối với hệ thống mạng, truyền thông và an ninh bảo mật của dich vụ internet Banking phải đáp ứng được những yêu cầu tối thiếu theo quy định vừa nêu trên.