(thitruongtaichinhtiente.vn) - Thay vì phân loại hệ thống thông với 3 cấp độ như hiện nay, tới đây việc phân loại thông tin tại các tổ chức tín dụng (TCTD), các tổ chức cung ứng dịch vụ trung gian thanh toán có thể chia thành 5 cấp độ.
Đây là một trong những sửa đổi đưa ra trong dự thảo lần 1, Thông tư thay thế Thông tư 18/2018/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng, vừa được Ngân hàng Nhà nước công bố để lấy ý kiến rộng rãi từ dư luận.
Theo Ngân hàng Nhà nước Việt Nam (NHNN), việc sửa đổi nhằm giải quyết các vấn đề nảy sinh trong hoạt động công nghệ thông tin (CNTT) tại các TCTD hiện nay.
Gỡ vướng cho các tổ chức trong hoạt động CNTT
Lý giải sự cần thiết phải sửa đổi Thông tư 18, NHNN cho biết, việc sửa đổi lần này nhằm cập nhật đầy đủ các quy định của Luật An toàn thông tin mạng và các văn bản hướng dẫn, đồng thời phù hợp với thực tế tình hình an toàn thông tin mạng trong ngành Ngân hàng. Trên cơ sở đó, Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin) đã nghiên cứu, hoàn thành Dự thảo Thông tư thay thế Thông tư 18/2018/TT-NHNN.
Hơn nữa, việc sửa đổi này cũng nhằm tháo gỡ khó khăn cho các TCTD trong hoạt động công nghệ thông tin (CNTT). Theo thông tin từ Bộ Công an, Bộ Thông tin và Truyền thông và qua công tác giám sát về an ninh mạng của ngành Ngân hàng cho thấy, năm 2019 và nửa đầu năm 2020, các cuộc tấn công mạng nhằm vào hệ thống ngân hàng gia tăng cả về quy mô và mức độ dai dẳng lẫn thủ đoạn tinh vi.
Cuối 2019, ngành Ngân hàng Việt Nam đã xảy ra vụ việc liên quan đến công tác đảm bảo an toàn thông tin như: lộ lọt thông tin khách hàng, phát hiện mã độc tấn công xâm nhập vào hệ thống thông tin.
Qua công tác kiểm tra và khảo sát, Cục CNTT đã ghi nhận được các khó khăn, vướng mắc và các đề xuất trong quá trình triển khai thực hiện Thông tư 18/2018/TT-NHNN của các TCTD, tổ chức cung ứng dịch vụ trung gian thanh toán.
Do vậy, dự thảo Thông tư thay thế hướng đến mục tiêu giải quyết vấn đề nảy sinh trong hoạt động CNTT tại các tổ chức, cụ thể: với quy định về phân loại hệ thống thông tin theo ba mức độ, do số lượng các hệ thống thông tin nhiều, tập trung vào mức độ 2 (hệ thống thông tin quan trọng) nên các tổ chức gặp nhiều khó khăn, vướng mắc trong đầu tư nguồn lực để quản lý an toàn các hệ thống thông tin.
Phân định rõ hệ thống thông tin trong hoạt động của các tổ chức
Với những lý do trên, tại dự thảo thông tư thay thế Thông tư 18, bổ sung một số đối tượng áp dụng thuộc phạm vi quản lý, cấp phép của NHNN hiện chưa có các quy định về tuân thủ bảo đảm an toàn hệ thống thông tin như: Công ty thông tin tín dụng (hiện có Công ty Cổ phần thông tin tín dụng Việt Nam – PCB), Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam (VAMC), Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam.
Cùng với đó là bổ sung đối tượng tổ chức tài chính vi mô, Quỹ tín dụng nhân dân cơ sở trong trường hợp các tổ chức này có thiết lập và sử dụng hệ thống thông tin phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.
Dự thảo quy định, đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, các tổ chức thực hiện phân loại theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ và triển khai tuân thủ tiêu chuẩn TCVN 11930:2017.
Đối với các hệ thống khác, thực hiện phân loại theo 5 cấp độ trên cơ sở tham khảo quy định tại Nghị định 85/2016/NĐ-CP và phù hợp với đặc thù ngành Ngân hàng, thay thế phân loại 3 mức độ theo quy định tại Thông tư 18/2018/TT-NHNN có một số bất cập gây khó khăn cho các tổ chức khi triển khai thực hiện, cụ thể:
Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức và chỉ xử lý thông tin công cộng.
Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí như: Hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức, có xử lý thông tin riêng, thông tin cá nhân của người sử dụng, thông tin nội bộ, thông tin mật theo quy định của tổ chức nhưng không xử lý thông tin bí mật nhà nước; Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7; Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một số bộ phận thuộc tổ chức.
Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí: Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Mật; Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc; Hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của tổ chức và của ngành Ngân hàng.
Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí như: Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Tối Mật; Hệ thống thông tin phục vụ khách hàng có xử lý, lưu trữ dữ liệu của 10 triệu khách hàng trở lên; Hệ thống thông tin quốc gia trong ngành Ngân hàng, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước…
Hệ thống thông tin cấp độ 5 là hệ thống thông tin có một trong các tiêu chí như: Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Tuyệt Mật; Hệ thống thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế; Hệ thống cơ sở hạ tầng thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.
NHNN cho biết, trên cơ sở các hệ thống thông tin được phân loại theo cấp độ, các yêu cầu về an toàn bảo mật với từng hệ thống thông tin theo cấp độ có sự khác nhau, dẫn đến nguồn lực cần triển khai cũng khác nhau như: Tần suất sao lưu và phục hồi dữ liệu; Tần suất thực hiện dò quét điểm yếu và đánh giá an ninh bảo mật.
“Các nội dung nêu trên là những vấn đề quan trọng có ảnh hưởng đến nguồn lực của các tổ chức khi đầu tư cho an toàn thông tin nên cần được xem xét thận trọng, cân bằng giữa lợi ích và rủi ro đối với từng hệ thống thông tin theo cấp độ”, NHNN lưu ý.
Tại dự thảo thông tư mới, NHNN cũng yêu cầu áp dụng xác thực đa thành tố khi phê duyệt giao dịch tài chính phát sinh chuyển tiền điện tử sang đối tác bên ngoài có giá trị từ 100 triệu trở lên. Các hệ thống thông tin từ cấp độ 4 trở lên phải áp dụng xác thực đa thành tố đối với các tài khoản quản trị máy chủ, ứng dụng và các thiết bị mạng, an ninh mạng quan trọng.