{keywords}
Phân loại hệ thống thông tin ngân hàng theo 5 cấp độ. Ảnh: Dân sinh

Ngân hàng Nhà nước (NHNN) Việt Nam đang lấy ý kiến vào dự thảo Thông tư quy định các giới hạn, tỷ lệ bảo đảm an toàn trong hoạt động của tổ chức tín dụng phi ngân hàng với nhiều bổ sung mới về đối tượng và phân cấp hệ thống thông tin 5 cấp độ.

Dự thảo thông tư được xây dựng nhằm cập nhật đầy đủ quy định của Luật An toàn thông tin mạng và các văn bản hướng dẫn, đồng thời phù hợp với thực tế tình hình an toàn thông tin mạng trong ngành so với Thông tư 18 (ban hành năm 2018).

Theo NHNN Việt Nam, trong năm 2019 và nửa đầu năm 2020, các cuộc tấn công mạng nhằm vào hệ thống ngân hàng gia tăng cả về quy mô và mức độ dai dẳng lẫn thủ đoạn tinh vi. Cuối 2019, ngành ngân hàng đã xảy ra vụ việc liên quan đến công tác đảm bảo an toàn thông tin như lộ lọt thông tin khách hàng, phát hiện mã độc tấn công xâm nhập vào hệ thống thông tin. Ngoài ra, Cục CNTT (NHNN) cũng ghi nhận vướng mắc và các đề xuất trong quá trình triển khai thực hiện Thông tư 18.

Dự thảo Thông tư thay thế có thể giải quyết được vấn đề nảy sinh trong hoạt động CNTT tại các tổ chức, cụ thể với quy định về phân loại hệ thống thông tin theo 3 mức độ, do số lượng các hệ thống thông tin nhiều, tập trung vào mức độ 2 (hệ thống thông tin quan trọng) nên các tổ chức gặp nhiều khó khăn, vướng mắc trong đầu tư nguồn lực để quản lý an toàn các hệ thống thông tin.

Dự thảo thông tư bổ sung thêm đối tượng hiện chưa có các quy định về tuân thủ bảo đảm an toàn hệ thống thông tin. Theo đó, ngoài các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, dự thảo Thông tư bổ sung một số đối tượng áp dụng thuộc phạm vi quản lý, cấp phép của NHNN hiện chưa có các quy định về tuân thủ bảo đảm an toàn hệ thống thông tin. Cụ thể là công ty thông tin tín dụng (hiện có Công ty Cổ phần thông tin tín dụng Việt Nam – PCB), Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam (VAMC), Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam có thiết lập và sử dụng hệ thống thông tin phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.

Một nội dung được đưa vào dự thảo Thông tư mới so với quy định hiện hành là phân loại hệ thống thông tin theo 5 cấp độ.

Cụ thể, dự thảo thông tư quy định đối với các hệ thống cung cấp dịch vụ trực tuyến cho khách hàng phải tuân thủ phân loại hệ thống (theo quy định tại Nghị định 85/2016/NĐ-CP). Đối với các hệ thống khác, thực hiện phân loại theo 5 cấp độ trên cơ sở tham khảo quy định tại Nghị định 85 và phù hợp với đặc thù ngành ngân hàng. Đây sẽ là quy định thay thế phân loại 3 mức độ theo quy định tại Thông tư 18 đang có một số bất cập gây khó khăn cho các tổ chức khi triển khai.

Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành. Dự thảo nêu rõ, danh sách hệ thống thông tin theo cấp độ quan trọng phải được rà soát, cập nhật ngay sau khi hệ thống được triển khai và định kỳ hàng năm.

Trên cơ sở các hệ thống thông tin được phân loại theo cấp độ, các yêu cầu về an toàn bảo mật với từng hệ thống thông tin theo cấp độ có sự khác nhau, dẫn đến nguồn lực cần triển khai cũng khác nhau.

Dự thảo Thông tư cũng quy định áp dụng xác thực đa thành tố khi phê duyệt giao dịch tài chính phát sinh chuyển tiền điện tử sang đối tác bên ngoài có giá trị từ 100 triệu trở lên nhằm phòng ngừa rủi ro lộ lọt thông tin đăng nhập bằng mật khẩu của cán bộ nghiệp vụ.

Xác thực đa yếu tố là phương pháp xác thực yêu cầu tối thiểu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Các yếu tố xác thực bao gồm: những thông tin mà người dùng biết (số PIN, mã khoá bí mật,…); những gì mà người dùng có (thẻ thông minh, thiết bị token, điện thoại di động …); những dấu hiệu sinh trắc học của người dùng.

Ngoài ra, đối với các hệ thống thông tin từ cấp độ 4 trở lên phải áp dụng xác thực đa thành tố đối với các tài khoản quản trị máy chủ, ứng dụng và các thiết bị mạng, an ninh mạng quan trọng. 

Duy Vũ

Phó Thủ tướng Vũ Đức Đam: Phải thúc đẩy thật nhanh thanh toán điện tử trên di động

Phó Thủ tướng Vũ Đức Đam: Phải thúc đẩy thật nhanh thanh toán điện tử trên di động

Trong phát biểu về thúc đẩy chính phủ điện tử gần đây, Phó Thủ tướng Vũ Đức Đam cho rằng, một điểm rất quan trọng là phải thúc đẩy nhanh thanh toán điện tử, phải mở thật nhanh để cho người dân có thể thanh toán trên di động.