16:30 - 26/11/2024

Quy định về quản lý nhân sự vận hành của hệ thống Online Banking

Quy định về quản lý nhân sự vận hành của hệ thống Online Banking? Quy định liên quan đến quản lý hoạt động của môi trường vận hành hệ thống Online Banking?

Nội dung chính

    Quy định về quản lý nhân sự vận hành của hệ thống Online Banking

    Căn cứ Điều 12 Thông tư 50/2024/TT-NHNN quy định về quản lý vận hành của hệ thống Online Banking như sau:

    Quản lý nhân sự quản trị, vận hành hệ thống Online Banking
    1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống Online Banking, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng.
    2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao dịch bất thường.
    3. Nhân sự quản trị, giám sát và vận hành hệ thống Online Banking phải tham gia các khóa đào tạo cập nhật kiến thức an toàn, bảo mật hằng năm.
    4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Online Banking phải được theo dõi, giám sát bởi bộ phận độc lập với bộ phận cấp phát tài khoản.

    Như vậy, theo quy định pháp luật, việc quản lý nhân sự vận hành của hệ thống Online Banking cụ thể như sau:

    - Đơn vị cần chỉ định nhân sự để giám sát và theo dõi hoạt động của hệ thống Online Banking, nhằm phát hiện và xử lý các sự cố kỹ thuật cũng như các cuộc tấn công mạng.

    - Đơn vị phải cử nhân sự tiếp nhận thông tin và hỗ trợ khách hàng, đồng thời nhanh chóng liên hệ với khách hàng khi phát hiện các giao dịch nghi ngờ hoặc bất thường.

    - Nhân viên quản trị, giám sát và vận hành hệ thống Online Banking cần tham gia các khóa đào tạo về an toàn và bảo mật định kỳ hàng năm để cập nhật kiến thức.

    - Quá trình cấp phát và phân quyền tài khoản quản trị hệ thống Online Banking phải được giám sát và theo dõi bởi một bộ phận độc lập với bộ phận chịu trách nhiệm cấp phát tài khoản.

    Quy định về quản lý nhân sự vận hành của hệ thống Online BankingQuy định về quản lý nhân sự vận hành của hệ thống Online Banking (Hình từ internet)

    Quy định liên quan đến quản lý hoạt động của môi trường vận hành hệ thống Online Banking?

    Căn cứ Điều 13 Thông tư 50/2024/TT-NHNN quy định về quản lý quản lý hoạt động của môi trường vận hành hệ thống Online Banking như sau:

    Quản lý hoạt động của môi trường vận hành hệ thống Online Banking
    1. Đơn vị không cài đặt, lưu trữ phần mềm phát triển ứng dụng, mã nguồn trên môi trường vận hành.
    2. Hoạt động quản trị, giám sát và vận hành phải đáp ứng các yêu cầu sau:
    a) Máy tính của nhân sự quản trị, giám sát và vận hành chỉ được cài đặt các phần mềm được phép sử dụng và phải được cài đặt phần mềm phòng chống mã độc, cập nhật thường xuyên các mẫu nhận diện mã độc và không cho phép tự vô hiệu hóa phần mềm phòng chống mã độc;
    b) Việc kết nối quản trị, giám sát và vận hành hệ thống phải qua các máy chủ trung gian hoặc các hệ thống quản trị tập trung an toàn, có kiểm soát, không thực hiện trực tiếp từ máy tính của nhân sự quản trị, giám sát và vận hành;
    c) Việc sử dụng tài khoản có quyền quản trị phải được giới hạn trong khoảng thời gian đủ để thực hiện công việc và phải được thu hồi ngay sau khi kết thúc phiên làm việc;
    d) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị, giám sát và vận hành, có cảnh báo khi có tác động bất thường vào cơ sở dữ liệu, ứng dụng.
    3. Đơn vị phải thiết lập chính sách đối với các máy tính thực hiện quản trị, giám sát và vận hành hệ thống Online Banking chỉ được phép kết nối đến hệ thống Online Banking hoặc các hệ thống thông tin khác của đơn vị để phục vụ quản trị, giám sát và vận hành.

    Như vậy, theo quy định pháp luật, quy định liên quan đến quản lý hoạt động của môi trường vận hành hệ thống Online Banking cụ thể:

    (1) Đơn vị không được cài đặt hoặc lưu trữ phần mềm phát triển ứng dụng và mã nguồn trên môi trường vận hành.

    (2) Các hoạt động quản trị, giám sát và vận hành hệ thống cần tuân thủ các yêu cầu sau:

    - Máy tính của nhân sự quản trị phải chỉ cài đặt phần mềm được phép, có phần mềm chống mã độc và được cập nhật định kỳ. Phần mềm chống mã độc không được phép bị vô hiệu hóa.

    - Kết nối quản trị phải qua máy chủ trung gian hoặc hệ thống quản trị an toàn, không thực hiện trực tiếp từ máy tính cá nhân.

    - Quản lý tài khoản có quyền quản trị: Chỉ cấp quyền trong khoảng thời gian cần thiết và phải thu hồi ngay sau khi công việc hoàn thành.

    - Giám sát việc sử dụng tài khoản quản trị: Cần có biện pháp giám sát và cảnh báo khi có hành động bất thường đối với cơ sở dữ liệu hoặc ứng dụng.

    (3) Đơn vị phải thiết lập chính sách yêu cầu các máy tính dùng để quản trị, giám sát và vận hành hệ thống Online Banking chỉ được kết nối với hệ thống này hoặc các hệ thống liên quan của đơn vị.

    Việc quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking được quy định ra sao?

    Căn cứ Điều 14 Thông tư 50/2024/TT-NHNN quy định về quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking như sau:

    Quản lý hoạt động của môi trường vận hành hệ thống Online Banking:

    (1) Cần triển khai các biện pháp phát hiện và ngăn chặn các thay đổi trái phép đối với phần mềm ứng dụng Online Banking.

    (2) Thiết lập cơ chế để phát hiện và phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking.

    (3) Phối hợp với các cơ quan quản lý và đối tác công nghệ thông tin để nắm bắt sự cố một cách nhanh chóng và tình huống mất an toàn, bảo mật, từ đó có biện pháp ngăn chặn kịp thời.

    (4) Cập nhật thông tin về các lỗ hổng bảo mật được công bố liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phố biến (Common Vulnerability Scoring System version 4 - CVSS v4 hoặc tương tự)

    (5) Dò quét lỗ hổng hệ thống Online Banking ít nhất mỗi năm một lần, hoặc khi có thông tin về lỗ hổng mới. Đối với các thành phần hệ thống kết nối trực tiếp với Internet, thực hiện dò quét ít nhất 3 tháng một lần, đồng thời đánh giá và xử lý các rủi ro kỹ thuật.

    (6) Cập nhật bản vá bảo mật hoặc biện pháp phòng ngừa kịp thời theo mức độ rủi ro của lỗ hổng bảo mật:

    - Lỗ hổng nghiêm trọng: Cập nhật trong vòng 1 ngày đối với các thành phần kết nối trực tiếp với Internet, và 1 tháng đối với các thành phần khác.

    - Lỗ hổng cao: Cập nhật trong vòng 1 ngày đối với các thành phần kết nối trực tiếp với Internet, và 2 tháng đối với các thành phần khác.

    - Lỗ hổng trung bình/thấp: Cập nhật theo thời gian do đơn vị quy định.

    Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2025, trừ trường hợp quy định tại khoản 2, khoản 3, khoản 4 Điều 22 Thông tư 50/2024/TT-NHNN.

    11