Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào?

Nội dung chính

• Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào?
• Bảo đảm hoạt động liên tục cho hệ thống Online Banking ra sao?
• Hệ thống Online Banking chỉ được hoạt động khi nào?

Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào?

Căn cứ tại Điều 14 Thông tư 50/2024/TT-NHNN có quy định về quản lý lỗ hổng, điểm yếu về mặt kỹ thuật như sau:

Các đơn vị phải thực hiện quản lý lỗ hổng, điểm yếu của hệ thống Online Banking với các nội dung cơ bản sau đây:

- Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi trái phép đối với phần mềm ứng dụng Online Banking.

- Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking.

- Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.

- Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 4 - CVSS v4 hoặc tương đương).

- Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiểu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới.

Đối với thành phần hệ thống kết nối trực tiếp với Internet thực hiện dò quét lỗ hổng, điểm yếu tối thiểu 03 tháng một lần. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý.

- Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro:

+ Đối với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 01 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.

+ Đối với lỗ hổng bảo mật được đánh giá ở mức cao: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 02 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.

+ Đối với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp: thực hiện trong khoảng thời gian do đơn vị tự quyết định.

Trên đây là quy định về quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking.

Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào? (Hình từ internet)

Bảo đảm hoạt động liên tục cho hệ thống Online Banking ra sao?

Việc bảo đảm hoạt động liên tục cho hệ thống Online Banking được thực hiện theo quy định tại Điều 16 Thông tư 50/2024/TT-NHNN như sau:

Đơn vị phải xây dựng hệ thống dự phòng thảm hoạ, quy trình, kịch bản bảo đảm hoạt động liên tục cho hệ thống Online Banking theo quy định của Ngân hàng Nhà nước về bảo đảm an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng. Ngoài ra, đơn vị phải thực hiện:

- Phân tích, xác định các tình huống có thể gây mất an toàn thông tin và gián đoạn hoạt động của hệ thống Online Banking. Xác định, đánh giá mức độ rủi ro, khả năng có thể xảy ra đối với từng tình huống tối thiểu 06 tháng một lần. Lập danh sách các tình huống có mức độ rủi ro, khả năng có thể xảy ra theo các cấp độ cao, trung bình, chấp nhận được và thấp.

- Xây dựng phương án bao gồm quy trình, kịch bản xử lý khắc phục các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao và trung bình theo quy định tại khoản 1 Điều 16 Thông tư 50/2024/TT-NHNN.

Xác định thời gian dừng hoạt động tối đa để phục hồi hệ thống, phục hồi dữ liệu cho phương án xử lý đối với từng tình huống. Tổ chức phổ biến phương án xử lý đến các nhân sự có liên quan để hiểu rõ nhiệm vụ, công việc cần phải thực hiện khi xử lý.

- Bố trí nguồn nhân lực, tài chính và các phương tiện kỹ thuật để tổ chức diễn tập phương án xử lý với các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao theo định kỳ tối thiểu 01 năm một lần.

- Lập kế hoạch và tiến hành diễn tập các biện pháp bảo đảm hoạt động kinh doanh liên tục, lưu giữ các hồ sơ có liên quan và tổ chức đánh giá kết quả diễn tập.

Hệ thống Online Banking chỉ được hoạt động khi nào?

Căn cứ tại khoản 8 Điều 3 Thông tư 50/2024/TT-NHNN có quy định về nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking như sau:

Nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking

...

7. Đối với các hệ thống cung cấp dịch vụ cổng thanh toán điện tử, dịch vụ hỗ trợ thu hộ, chi hộ, không phải tuân thủ các quy định tại khoản 7, khoản 9, khoản 10 Điều 7 và Mục 2 Chương II Thông tư này.

8. Hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi bảo đảm an toàn, bảo mật theo quy định của Thông tư này và các quy định của pháp luật liên quan.

Theo đó, hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi đã bảo đảm an toàn, bảo mật theo quy định.

*Lưu ý: Thông tư 50/2024/TT-NHNN có hiệu lực từ ngày 01/1/2025, ngoại trừ những trường hợp sau đây:

- Các điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/7/2025.

- Các điểm b khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/1/2026.

- Các điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/7/2026.