Yêu cầu đối với hệ thống máy chủ và phần mềm hệ thống

15:45 21/11/2024 Chính sách & Pháp Luật

Yêu cầu đối với hệ thống máy chủ và phần mềm hệ thống - được thực hiện theo Thông tư 50/2024/TT-NHNN, ban hành ngày 31/10/2024 và có hiệu lực thi hành từ ngày 1/1/2025...

Ngày 31/10/2024, Ngân hàng Nhà nước đã ban hành Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân và bắt đầu có hiệu lực thi hành kể từ ngày 01/01/2025.

Theo đó, Hệ thống máy chủ và phần mềm hệ thống phải đáp ứng đầy đủ các yêu cầu được quy định tại Điều 5 Thông tư 50/2024/TT-NHNN. Trong đó, gồm những nội dung sau đây:

1. Yêu cầu đối với hệ thống máy chủ của phần mềm Online Banking

Căn cứ theo quy định tại khoản 1 Điều 5 Thông tư 50/2024/TT-NHNN về yêu cầu đối với máy chủ:

(i) Về hiệu năng sử dụng tài nguyên máy chủ thì các tài nguyên chính của máy chủ như CPU, RAM, thiết bị lưu trữ dữ liệu và thiết bị truy xuất dữ liệu không được sử dụng vượt quá 80% công suất thiết kế trong trung bình hàng tháng.

Điều này giúp đảm bảo máy chủ có đủ dư địa để xử lý các tình huống phát sinh như tăng đột biến lưu lượng truy cập, tránh tình trạng quá tải gây gián đoạn dịch vụ.

(ii) Hệ thống Online Banking phải có máy chủ dự phòng bảo đảm tính sẵn sàng cao, nghĩa là dịch vụ vẫn hoạt động bình thường ngay cả khi máy chủ chính gặp sự cố.

(iii) Tách biệt về lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác. Điều này ngăn chặn rủi ro an ninh, bảo vệ hệ thống khỏi việc lây nhiễm phần mềm độc hại hoặc các lỗi từ các hệ thống khác.

(iv) Phải được kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) cho hệ điều hành, cập nhật các bản vá lỗi thường xuyên để đảm bảo an toàn trước các cuộc tấn công mạng.

File Word Luật Các tổ chức tín dụng và các văn bản hướng dẫn có hiệu lực từ ngày 01/7/2024

Hệ thống máy chủ và phần mềm hệ thống

Hệ thống máy chủ và phần mềm hệ thống (Ảnh minh họa – Nguồn Internet)

2. Yêu cầu đối với phần mềm hệ thống Online Banking

Tại khoản 2 Điều 5 Thông tư 50/2024/TT-NHNN, phần mềm hệ thống phải đáp ứng yêu cầu cụ thể sau:

Đơn vị thiết lập hệ thống phải lập danh mục các phần mềm được phép cài đặt trên máy chủ. Định kỳ tối thiểu 06 tháng một lần cập nhật, kiểm tra, bảo đảm tuân thủ danh mục này.

3. Quy định về quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking

Bên cạnh các quy định nghiêm ngặt về hệ thống máy chủ và phần mềm, quản lý lỗ hổng và điểm yếu kỹ thuật cũng rất quan trọng để bảo vệ hệ thống Online Banking. Việc phát hiện và khắc phục kịp thời các lỗ hổng bảo mật giúp ngăn ngừa các cuộc tấn công, đồng thời đảm bảo hệ thống luôn ổn định và an toàn. Cụ thể quy định tại Điều 14 Thông tư 50/2024/TT-NHNN

Điều 14. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật
Đơn vị phải thực hiện quản lý các lỗ hổng, điểm yếu của hệ thống Online Banking với các nội dung cơ bản sau:
1. Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi trái phép đối với phần mềm ứng dụng Online Banking.
2. Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking.
3. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.
4. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 4 - CVSS v4 hoặc tương đương).
5. Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiểu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới. Đối với thành phần hệ thống kết nối trực tiếp với Internet thực hiện dò quét lỗ hổng, điểm yếu tối thiểu 03 tháng một lần. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý.
6. Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro:
a) Đối với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 01 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.
b) Đối với lỗ hổng bảo mật được đánh giá ở mức cao: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 02 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.
c) Đối với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp: thực hiện trong khoảng thời gian do đơn vị tự quyết định.
N. T. Hương (Nguồn: https://thuvienphapluat.vn/)

Bài liên quan

Ứng dụng phần mềm quản lý thông tin báo chí tại Quảng Bình

Sáng ngày 24/10, tại khách sạn Rex, tỉnh Quảng Bình, Sở Thông tin và Truyền thông (TTTT) tổ chức buổi tập huấn giới thiệu và hướng dẫn sử dụng phần mềm quản lý thông tin báo chí. Chương trình nhằm nâng cao hiệu quả làm việc, giúp báo chí tiếp cận thông tin nhanh chóng và chính xác hơn, đáp ứng yêu cầu công tác báo chí trên địa bàn.

Bài viết khác

Bộ Chính trị, Ban Bí thư xem xét, thi hành kỷ luật tổ chức đảng, đảng viên
19:14 21/11 Chính sách & Pháp Luật
Ngày 20/11, tại Trụ sở Trung ương Đảng, Bộ Chính trị, Ban Bí thư đã xem xét, thi hành kỷ luật tổ chức đảng, đảng viên có vi phạm, khuyết điểm.
Tử hình và chung thân 2 đối tượng mua bán 12.000 viên ma túy tổng hợp
15:54 21/11 Chính sách & Pháp Luật
Tòa án Nhân dân tỉnh Hà Tĩnh vừa mở phiên tòa sơ thẩm xét xử, tuyên phạt tử hình và chung thân 2 bị cáo Trần Thanh Lâm (Sn 1995), Lê Quyền Anh (Sn 2000) cùng trú huyện Nghi Lộc, tỉnh Nghệ An về tội “Mua bán trái phép chất ma túy”.
Phụ cấp chuyên cần có đóng bảo hiểm xã hội không?
15:40 21/11 Chính sách & Pháp Luật
Phụ cấp chuyên cần có đóng bảo hiểm xã hội không? Tiền lương tháng đóng bảo hiểm xã hội, bao gồm những khoản nào? Điều kiện để rút bảo hiểm xã hội một lần?
Tăng cường công tác phòng, chống bệnh sởi trên địa bàn tỉnh Lào Cai
15:35 21/11 Chính sách & Pháp Luật
Chủ tịch UBND tỉnh Lào Cai vừa ban hành văn bản số 6708/UBND-VX, ngày 20/11/2024 về việc tăng cường công tác phòng, chống bệnh sởi trên địa bàn tỉnh.
Hợp đồng EPC là gì? Quyền của bên giao và bên nhận thầu EPC là gì?
15:23 21/11 Chính sách & Pháp Luật
Có thể hiểu hợp đồng EPC là gì? Những quyền nào được quy định cụ thể cho bên nhận thầu EPC theo Nghị định 37/2015/NĐ-CP? Bên giao thầu EPC có những quyền gì trong việc quản lý?
Bộ Công Thương phê duyệt Kế hoạch cung cấp điện quốc gia năm 2025
15:23 21/11 Chính sách & Pháp Luật
Mới đây, Bộ Mới đây, Bộ Công Thương đã ban hành Quyết định số 3047/QĐ-BCT về việc phê duyệt Kế hoạch cung cấp điện và vận hành hệ thống điện quốc gia năm 2025.
Bị sa thải người lao động có được nhận lại sổ bảo hiểm xã hội không?
15:03 21/11 Chính sách & Pháp Luật
Bị sa thải, người lao động có được nhận lại sổ bảo hiểm xã hội không? Các trường hợp nào, người lao động bị sa thải? Công ty không được sa thải người lao động trong trường hợp nào?
Phương pháp lập giá bán buôn điện từ cuối tháng 12 năm 2024
14:44 21/11 Chính sách & Pháp Luật
Từ cuối tháng 12 năm 2024, việc lập giá bán buôn điện, phải đảm bảo thực hiện theo phương pháp quy định tại Thông tư 26/2024/TT-BCT về phương pháp xác định lập giá bán buôn điện...
Hoa Kỳ khởi xướng điều tra chống bán phá giá và chống trợ cấp đối với sản phẩm vỏ viên nhộng cứng từ Việt Nam
13:47 21/11 Chính sách & Pháp Luật
Theo Cục Phòng vệ thương mại, Bộ Công Thương, sau khi thẩm định đơn yêu cầu của nguyên đơn là Công ty TNHH Lonza Greenwood, Bộ Thương mại Hoa Kỳ (DOC) đã khởi xướng điều tra chống bán phá giá (CBPG) và chống trợ cấp (CTC) với sản phẩm vỏ viên nhộng cứng nhập khẩu từ và Việt Nam.
Ba trường hợp phải báo ngay cho ngân hàng khi dùng Online Banking từ 1/1/2025
11:16 21/11 Chính sách & Pháp Luật
Từ ngày 1/1/2025, có 3 trường hợp phải báo ngay cho ngân hàng khi dùng Online Banking - theo quy định tại Thông tư 50/2024/TT-NHNN...