NHNN đang lấy ý kiến vào dự thảo thông tư mới. Ảnh minh họa: Internet
Ngân hàng Nhà nước (NHNN) đang lấy ý kiến vào dự thảo Thông tư quy định về bảo đảm an toàn, bảo mật hệ thống thông tin trong hoạt động ngân hàng để thay thế Thông tư 31/2015/TT-NHNN.
Dự thảo thông tư mới nhằm cập nhật các quy định mới của Luật An toàn thông tin mạng và các văn bản hướng dẫn đồng thời phản ánh đầy đủ, sát thực hơn các yêu cầu về an ninh bảo mật phù hợp với thực tế phát triển nhanh chóng, đa dạng về CNTT hiện nay.
Dự thảo Thông tư mới quy định nguyên tắc phân loại hệ thống thông tin theo 5 cấp độ phù hợp với ngành Ngân hàng. Mục đích của việc phân loại hệ thống thông tin theo cấp độ nhằm đưa ra các quy định quản lý an toàn, bảo mật phù hợp với mức độ rủi ro theo từng cấp độ của hệ thống thông tin.
Theo đó, hệ thống thông tin cấp độ 4 là hệ thống thông tin quốc gia phục vụ Chính phủ điện tử yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; hệ thống thông tin trong ngành Ngân hàng cung cấp dịch vụ cho các hệ thống thông tin cấp độ 4 theo quy định của Chính phủ; hệ thống cơ sở hạ tầng thông tin dùng chung trong ngành Ngân hàng phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.
Còn hệ thống thông tin cấp độ 5 là hệ thống thông tin trong ngành Ngân hàng cung cấp dịch vụ cho các hệ thống thông tin cấp độ 5 theo quy định của Chính phủ. Trên cơ sở phân loại hệ thống thông tin, các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống thông tin phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị. Quy chế an toàn, bảo mật hệ thống thông tin phải được thủ trưởng đơn vị (hoặc người đại diện hợp pháp) ký ban hành, tổ chức thực hiện, triển khai trong toàn đơn vị.
Đáng chú ý, NHNN đưa vào dự thảo thông tư mới nội dung quản lý sử dụng dịch vụ CNTT của bên thứ ba.
Cụ thể, dự thảo thông tư mới nêu rõ, bên cạnh những lợi ích mà dịch vụ điện toán đám mây mang lại vẫn còn tồn tại một số vấn đề như: khó khăn trong việc kiểm soát, bảo đảm an toàn thông tin mạng, bảo vệ dữ liệu; tăng nguy cơ bị tấn công mạng, tăng nguy cơ lộ, lọt thông tin/dữ liệu mật... Với những rủi ro như vậy, việc quản lý dịch vụ CNTT của bên thứ ba được xây dựng với quan điểm tạo cơ hội tiếp cận dịch vụ điện toán đám mây cho các đơn vị trong ngành Ngân hàng nhằm giúp tiết giảm chi phí đầu tư hạ tầng CNTT và chi phí nâng cao chất lượng nguồn nhân lực, tinh gọn cơ cấu tổ chức, nhưng vẫn đảm bảo an toàn, an ninh.
Theo đó, việc sử dụng dịch vụ điện toán đám mây cần phù hợp với mức độ rủi ro của từng cấp độ hệ thống thông tin. Đảm bảo hoạt động liên tục, giảm thiểu các rủi ro liên quan đến gián đoạn kết nối mạng;
Đảm bảo chủ quyền đối với dữ liệu của đơn vị sử dụng dịch vụ và hiệu lực thực thi pháp luật của Cơ quan Nhà nước Việt Nam trong việc tiếp cận thông tin; Giảm thiểu sự phụ thuộc vào bên thứ 3 và đảm bảo an toàn, bảo mật khi triển khai các dịch vụ CNTT của ngành Ngân hàng trên nền tảng điện toán đám mây.
Việc sử dụng dịch vụ công nghệ thông tin của bên thứ ba phải bảo đảm các nguyên tắc đó là: không làm suy giảm khả năng cung cấp dịch vụ liên tục của đơn vị cho khách hàng hay suy giảm việc kiểm soát quy trình nghiệp vụ của đơn vị.
Việc sử dụng dịch vụ công nghệ thông tin không làm thay đổi trách nhiệm của đơn vị trong việc bảo đảm an toàn, bảo mật thông tin và đơn vị không được thuê bên thứ ba thực hiện toàn bộ công việc quản trị đối với các hệ thống thông tin từ cấp độ 3 trở lên.