Một số điểm mới của Thông tư 18 quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng

Thông tư 18/2018/TT-NHNN được ban hành nhằm cập nhật các quy định mới của Luật An toàn thông tin mạng và các văn bản hướng dẫn đồng thời phản ánh đầy đủ, sát thực hơn các yêu cầu về an ninh bảo mật trong tình hình mới, phù hợp với thực tế phát triển nhanh chóng, đa dạng về công nghệ thông tin (CNTT). Thông tư này sẽ có hiệu lực kể từ ngày 01/01/2019.

Thông tư 18/2018/TT-NHNN sửa đổi, bổ sung một số quy định về: (i) tiêu chí phân loại hệ thống thông tin theo mức độ quan trọng trên cơ sở loại thông tin mà hệ thống xử lý và yêu cầu đảm bảo an toàn, liên tục hệ thống thông tin; (ii) lưu trữ tại Việt Nam đối với thông tin, dữ liệu của khách hàng theo quy định của pháp luật Việt Nam tại Mục 4; (iii) quản lý sử dụng dịch vụ CNTT bên thứ ba để cung cấp cơ sở pháp lý cho việc sử dụng dịch vụ điện toán đám mây tại Mục 6; (iv) quản lý bảo trì hệ thống thông tin tại Mục 7; (v) hoạt động ứng cứu sự cố và trung tâm điều hành an ninh mạng tại Mục 8; (vi) đảm bảo hoạt động liên tục hệ thống thông tin tại Mục 9.

Thông tư tạo ra môi trường hoạt động ứng dụng CNTT bình đẳng hơn giữa các tổ chức (TCTD) trong nước và nước ngoài hoạt động tại Việt Nam khi yêu cầu chi nhánh ngân hàng nước ngoài (NHNNg) sử dụng các hệ thống thông tin của ngân hàng mẹ (đặt ngoài lãnh thổ Việt Nam) cung cấp dịch vụ cho khách hàng Việt Nam hoặc phục vụ hoạt động kỹ thuật, nghiệp vụ của NHNNg thì các hệ thống thông tin do ngân hàng mẹ cung cấp vẫn phải tuân thủ quy định trong Thông tư này. Ngân hàng TNHH MTV 100% vốn nước ngoài có quyền lợi và trách nhiệm như các TCTD trong nước đối với yêu cầu về bảo đảm an toàn hệ thống thông tin.

Thông tư 18/2018/TT-NHNN có một số điểm mới được bổ sung, sửa đổi cụ thể như sau:

1. Phân loại thông tin và hệ thống thông tin

Thông tư bổ sung quy định về phân loại thông tin (tại Khoản 1 Điều 4), thông tin tại các tổ chức được xếp vào một trong ba nhóm: (i) thông tin công cộng; (ii) thông tin nội bộ; (iii) thông tin bí mật. Trong 3 nhóm thông tin theo quy định của Thông tư, đa số các thông tin phát sinh trong quá trình hoạt động của tổ chức (bao gồm cả thông tin khách hàng) thuộc loại thông tin nội bộ. Một số ít thông tin tại tổ chức thuộc thông tin bí mật có thể liệt kê như: số thẻ tín dụng của khách hàng, số PIN thẻ thanh toán, mật mã/mã khóa đăng nhập hệ thống internet banking… việc phân loại do tổ chức tự quyết định và các thông tin được xếp loại Mật, Tối mật, Tuyệt mật theo quy định của pháp luật. Với các thông tin được xếp loại thông tin bí mật phải được mã hóa hoặc áp dụng các biện pháp bảo vệ để bảo mật thông tin trong quá trình tạo lập, trao đổi và lưu trữ.

Thông tư bổ sung quy định về phân loại hệ thống thông tin theo mức độ quan trọng trên cơ sở tham khảo các quy định tại Nghị định 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ và Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP với những điều chỉnh để phù hợp với đặc thù của ngành Ngân hàng. Theo đó, tổ chức thực hiện lập danh sách tài sản công nghệ thông tin gắn với từng hệ thống thông tin để có các biện pháp quản lý, bảo vệ phù hợp (Điều 6). Trên cơ sở phân loại thông tin, tổ chức chủ động thực hiện phân loại hệ thống thông tin theo mức độ quan trọng từ mức độ 1 đến mức độ 3 theo các quy định tại Khoản 2 Điều 4 và áp dụng các quy định, giải pháp kỹ thuật nhằm đảm bảo an toàn và hoạt động liên tục theo quy định chi tiết tại Thông tư. Tiêu chí phân loại hệ thống thông tin được dựa trên các yếu tố: (i) loại thông tin xử lý qua hệ thống thông tin (thông tin công cộng, thông tin nội bộ, thông tin bí mật); (ii) mức độ về yêu cầu hoạt động liên tục của hệ thống thông tin (vận hành 24/7, không dừng vận hành quá 4 giờ, giao dịch trực tuyến); (iii) đối tượng phục vụ của hệ thống thông tin (phục vụ hoạt động nội bộ, phục vụ khách hàng).

Theo quy định phân loại mức độ quan trọng hệ thống thông tin (tại Khoản 2 Điều 4), các hệ thống thông tin mức độ 3 là các hệ thống lớn cung cấp dịch vụ cho ngành Ngân hàng. Trường hợp các tổ chức sử dụng dịch vụ được cung cấp bởi hệ thống thông tin mức độ 3, ví dụ hệ thống Thanh toán liên ngân hàng do Ngân hàng Nhà nước quản lý được xếp ở mức độ 3, các tổ chức sử dụng phần mềm CI-TAD (thuộc hệ thống Thanh toán liên ngân hàng) được xếp ở mức độ 2 do chỉ sử dụng trong phạm vi của tổ chức và là đầu cuối khai thác/sử dụng dịch vụ do NHNN cung cấp.

Các tổ chức phải tổ chức phân loại hệ thống thông tin theo quy định tại Khoản 3, Điều 4 và áp dụng các biện pháp đảm bảo an toàn theo các quy định chi tiết tại Thông tư.

2. Quản lý sử dụng dịch vụ CNTT của bên thứ ba

Các quy định về quản lý sử dụng dịch vụ CNTT của bên thứ ba tạo điều kiện cho các tổ chức sử dụng các dịch vụ mới như dịch vụ điện toán đám mây. Thông tư tiếp cận theo nguyên tắc tuân thủ các quy định hiện hành, giảm thiểu những rủi ro cho hệ thống ngân hàng tài chính, phù hợp với thông lệ quốc tế, thuận lợi cho tổ chức trong việc áp dụng. Theo giải thích từ ngữ tại Thông tư (khoản 16, Điều 2), bên thứ ba không bao gồm các cơ quan quản lý nhà nước, ngân hàng mẹ của chi nhánh ngân hàng nước ngoài.

Điều 31 nêu các nguyên tắc chung khi sử dụng dịch vụ của bên thứ ba, bao gồm cả dịch vụ điện toán đám mây. Khi tổ chức sử dụng dịch vụ điện toán đám mây cần phải tuân thủ các quy định tại Mục 6 Thông tư này, trong đó lưu ý một số điểm được quy định riêng cho dịch vụ điện toán đám mây gồm:

a) Trước khi sử dụng dịch vụ điện toán đám mây, cần xây dựng tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây đáp ứng quy định: bên thứ ba phải là doanh nghiệp; có hạ tầng CNTT tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng các quy định của pháp luật Việt Nam và có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn thông tin (Điều 33).

b) Thực hiện đánh giá rủi ro và gửi báo cáo đánh giá rủi ro cho NHNN khi thuê ngoài thực hiện toàn bộ công việc quản trị hệ thống thông tin từ mức độ 2 trở lên trước thời điểm triển khai tối thiểu 10 ngày làm việc (khoản 3 Điều 32).

c) Hợp đồng sử dụng dịch vụ điện toán đám mây bổ sung các nội dung để đảm bảo an toàn, bảo mật trong quá trình sử dụng dịch vụ.

3. Quản lý bảo trì hệ thống thông tin

Bổ sung các quy định về bảo trì hệ thống thông tin đối với hệ thống thông tin do tổ chức trực tiếp quản lý. Thông tư bổ sung quy định về quản lý bảo trì hệ thống thông tin tại Điều 43 thay thế cho Quyết định số 29/2008/QĐ-NHNN ngày 13/10/2008 của Thống đốc NHNN quy định về bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng. Theo đó tổ chức thực hiện bảo trì đối với hệ thống thông tin do tổ chức quản lý trực tiếp.

4. Quản lý sự cố an toàn thông tin

Điều 44, 45 hướng dẫn quy trình xử lý, kiểm soát và khắc phục các sự cố chung về an toàn thông tin, bao gồm tất cả các sự cố ảnh hưởng đến tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.

Khoản 1 Điều 6 Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia quy định: “... các cơ quan, tổ chức, doanh nghiệp chủ quản hệ thống thông tin lớn thành lập hoặc chỉ định đơn vị chuyên trách ứng cứu sự cố an toàn thông tin mạng tại cơ quan, tổ chức mình.”

Trên cơ sở Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 và tham khảo Thông tư 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin, Thông tư đã bổ sung nội dung về Trung tâm điều hành an ninh mạng (Điều 46) và Hoạt động ứng cứu sự cố an ninh mạng (Điều 47) nhằm tạo cơ sở pháp lý và nâng cao hiệu quả hoạt động giám sát an ninh mạng ngành Ngân hàng. Lưu ý, những quy định tại Điều 46 và Điều 47 chỉ quản lý những sự cố là sự cố an ninh mạng (cyber security incident) theo quy định tại khoản 3 Điều 2 (sự cố an ninh mạng là việc thông tin số, hệ thống thông tin bị tấn công hoặc bị gây nguy hại, ảnh hưởng tới tính bí mật, tính toàn vẹn, tính sẵn sàng). Các sự cố về an toàn thông tin nói chung (ví dụ như sự cố kỹ thuật tác động đến hệ thống thông tin như: lỗi kỹ thuật về phần mềm làm sai lệch kết quả xử lý; lỗi quá tải hiệu năng làm ngừng hoạt động; lỗi thiết bị vật lý: máy chủ, tủ đĩa, thiết bị mạng, thiết bị an ninh bảo mật…; lỗi do sai sót trong quy trình vận hành, quản trị) gây gián đoạn hoạt động của tổ chức sẽ KHÔNG thuộc phạm vi hoạt động của Mạng lưới ứng cứu sự cố an ninh mạng ngành Ngân hàng.

Theo quy định tại Điều 12, tổ chức quản lý trực tiếp hệ thống thống thông tin mức độ 2 trở lên phải thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin tại mỗi tổ chức nhằm đảm bảo nhân sự cho công tác bảo đảm an toàn thông tin và ứng cứu sự cố an ninh mạng. Do vậy, tổ chức có thể chỉ định nhân sự thuê ngoài hoặc ngân hàng mẹ cho nhiệm vụ này.

Từ 01/01/2020, các tổ chức (không bao gồm NHNNg, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức tín dụng phi ngân hàng) phải thành lập hoặc chỉ định bộ phận chuyên trách để quản lý, vận hành trung tâm điều hành an ninh mạng. Tùy vào điều kiện, chiến lược quản lý của mỗi tổ chức, bộ phận chuyên trách quản lý vận hành trung tâm điều hành an ninh mạng có thể được sử dụng nhân sự nội bộ hoặc thuê ngoài.

5. Đảm bảo hoạt động liên tục của hệ thống thông tin

Quy định về đảm bảo hoạt động liên tục tại Mục 9 đã đưa ra nguyên tắc bảo đảm hoạt động liên tục của hệ thống thông tin. Thông tư đưa ra các tiêu chí để xác định các hệ thống phải đảm bảo hoạt động liên tục và yêu cầu xây dựng hệ thống dự phòng thảm họa (Khoản 2 & 3, Điều 48). Đối với yêu cầu khi xây dựng hệ thống dự phòng thảm họa được quy định chi tiết tại Điều 49, theo đó quy định khoảng thời gian tối đa hệ thống dự phòng phải hoạt động thay thế cho hệ thống chính. Về địa điểm lắp đặt hệ thống dự phòng, Thông tư đưa ra các tiêu chí để các tổ chức chủ động trong việc lựa chọn địa điểm lắp hệ thống dự phòng.

Về việc quy trình, kịch bản bảo đảm hoạt động liên tục và tổ chức tổ chức triển khai đảm bảo hoạt động liên tục được quy định chi tiết tại Điều 50 và Điều 51, theo đó hàng năm các tổ chức phải thực hiện chuyển hoạt động chính thức từ hệ thống chính sang hệ thống dự phòng tối thiểu 01 ngày làm việc của từng hệ thống thông tin cần đảm bảo hoạt động liên tục.

6. Các quy định khác

Về nhân sự, trước khi phân công nhân sự làm việc tại các vị trí quan trọng của hệ thống thông tin, vẫn giữ quy định yêu cầu phải xem xét, đánh giá tư cách đạo đức, trình độ chuyên môn thông qua lý lịch, lý lịch tư pháp. Quy định này nhằm giúp các tổ chức nhận diện đầy đủ thông tin về cá nhân trước khi phân công nhiệm vụ, còn quyền lựa chọn, sử dụng sử dụng nhân sự cho vị trí này do tổ chức quyết định.

Quy định về sao lưu dự phòng tại Khoản 5 Điều 21 đã được sửa đổi để tuân thủ Luật An ninh mạng. Theo đó, các tổ chức có cả hệ thống thông tin chính và dự phòng đặt ngoài lãnh thổ Việt Nam phải thực hiện lưu trữ tại Việt Nam đối với thông tin cá nhân, dữ liệu giao dịch của khách hàng theo quy định pháp luật Việt Nam.

Dữ liệu của các hệ thống thông tin từ mức độ 2 trở lên phải có phương án tự động sao lưu phù hợp với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ.

Về quản lý an toàn bảo mật hệ thống mạng, Thông tư yêu cầu có phương án cân bằng tải và phương án ứng phó tấn công từ chối dịch vụ đối với các hệ thống thông tin từ mức độ 2 trở lên cung cấp dịch vụ trên mạng Internet.

Về xác thực giao dịch trực tuyến, tổ chức tự đánh giá mức độ rủi ro trong giao dịch trực tuyến theo đối tượng khách hàng, loại giao dịch, hạn mức giao dịch để cung cấp giải pháp xác thực giao dịch phù hợp theo quy định của Ngân hàng Nhà nước. (Quy định của Ngân hàng Nhà nước trong giai đoạn hiện nay là Quyết định 630/QĐ-NHNN ngày 31/3/2017 của Thống đốc NHNN ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng). Đối với quản lý giao dịch trực tuyến, xác thực giao dịch của khách hàng phải được thực hiện trực tiếp tại hệ thống thông tin của tổ chức. Trường hợp tổ chức sử dụng dịch vụ xác thực của bên thứ ba thì tổ chức phải quản lý tối thiểu một yếu tố xác thực.

Đối với quản lý truy cập mạng nội bộ, kết nối từ mạng Internet vào mạng nội bộ của tổ chức để phục vụ công việc phải sử dụng mạng riêng ảo và xác thực đa thành tố.

Đối với quản lý truy cập hệ thống thông tin và ứng dụng, kiểm soát chặt chẽ những phần mềm tiện ích, quy định thời gian truy cập vào ứng dụng tương ứng với mức độ rủi ro,các máy chủ thuộc hệ thống thông tin từ mức độ 2 trở lên phải sử dụng giao thức kết nối an toàn và có phương án chống đăng nhập tự động.

Đối với việc đánh giá an ninh bảo mật hệ thống thông tin, việc kiểm tra thử nghiệm mức độ an toàn mạng (Penetration Test), bắt buộc phải thực hiện đối với các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ ra Internet, kết nối với khách hàng và bên thứ ba.

7. Chế độ báo cáo

Thực hiện chỉ đạo của Chính phủ về đơn giản thủ tục hành chính, tinh giảm báo cáo, Thông tư đã sửa đổi quy định về báo cáo hoạt động CNTT. Thông tư loại bỏ yêu cầu báo cáo hàng năm, báo cáo triển khai mới, nâng cấp và đưa vào ứng dụng các hệ thống thông tin quan trọng; Thông tư chỉ yêu cầu các tổ chức báo cáo sự cố an ninh mạng; Báo cáo đối với hoạt động có rủi ro mất an toàn thông tin cao như thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ mức độ 2 trở lên (Khoản 3 Điều 32).

8. Thông tin liên hệ

Cục CNTT cung cấp bản so sánh chi tiết từng điều khoản Thông tư 31/2015/TT-NHNN và Thông tư 18/2018/TT-NHNN (file đính kèm) để các tổ chức chủ động rà soát và tổ chức triển khai tại đơn vị.

Mọi vướng mắc hoặc yêu cầu làm rõ xin vui lòng liên hệ: Phòng An ninh thông tin – Cục Công nghệ thông tin – Ngân hàng Nhà nước:

+ Điện thoại: (024) 3835 4775.

+ Email: cntt8@sbv.gov.vn