Požadovat, aby společnosti zabývající se cennými papíry okamžitě opravily mezery a slabiny do 15. dubna

Dnes odpoledne, 27. března, zaslalo Ministerstvo informační bezpečnosti (Ministerstvo informací a komunikací) bezpečnostním společnostem zprávu týkající se posílení bezpečnosti síťových informací v informačních systémech.

Podle pana Tran Dang Khoana, zástupce ředitele odboru informační bezpečnosti, došlo v poslední době k incidentům v oblasti informační bezpečnosti v řadě systémů společností zabývajících se cennými papíry, které způsobily vážné škody podnikům s cennými papíry, vyvolaly paniku a ovlivnily důvěru v bezpečnost vietnamských burz cenných papírů a finančního trhu obecně.

Oddělení informační bezpečnosti, které vykonává funkci státní správy bezpečnosti síťových informací, požaduje od bezpečnostních společností, aby přezkoumaly a zorganizovaly implementaci zajištění bezpečnosti síťových informací pro informační systémy, které spravují, s následujícími hlavními úkoly.

Společnosti zabývající se cennými papíry proto musí organizovat kontroly, inspekce a hodnocení, aby zajistily informační bezpečnost informačních systémů, které spravují, a okamžitě zavést opatření k překonání rizik, zranitelností a slabin v informačních systémech, zejména v informačních systémech pro správu zákaznických účtů, které slouží online transakcím s cennými papíry. To musí být dokončeno do 15. dubna.

Kromě toho společnosti zabývající se cennými papíry kontrolují a organizují implementaci záruk informační bezpečnosti podle úrovní předepsaných ve vládní vyhlášce č. 85/2016/ND-CP o zajištění bezpečnosti informačních systémů podle úrovní a v oběžníku Ministerstva informací a komunikací č. 12/2022/TT-BTTTT.

Dodržovat právní předpisy a posílit zabezpečení informačních systémů podle úrovní, zejména organizovat statistiky a klasifikovat spravované informační systémy; vypracovat plán implementace a dokončení předpisů o zabezpečení informačních systémů podle úrovní (dle měsíčního pokroku); zajistit, aby 100 % provozovaných informačních systémů bylo schváleno pro úroveň zabezpečení informačních systémů nejpozději do září, a plně implementovat plány zabezpečení informačních systémů podle schválených návrhů úrovní nejpozději do prosince 2024.

Organizovat efektivní, rozsáhlé, pravidelné a průběžné provádění prací na zajištění informační bezpečnosti podle čtyřvrstvého modelu, zejména zlepšovat kapacitu profesionální monitorovací a ochranné vrstvy a udržovat nepřetržité a stabilní spojení a sdílení informací s Národním monitorovacím centrem pro kybernetickou bezpečnost (oddělení informační bezpečnosti); upřednostňovat používání produktů, řešení a služeb v oblasti síťové informační bezpečnosti, které vyrábějí nebo ovládají vietnamské podniky.

Hledejte hrozby a včas odhalujte známky narušení

Kromě toho musí společnosti zabývající se cennými papíry vypracovat plány reakce na incidenty pro informační systémy, které spravují, jak je předepsáno v oběžníku Ministerstva informací a komunikací č. 20/2017/TT-BTTTT, který upravuje koordinaci a reakci na incidenty v oblasti bezpečnosti informací v sítích v celostátním měřítku; zavést plán pravidelného zálohování systémů a důležitých dat pro jejich okamžitou obnovu v případě útoků na šifrování dat a hlásit incidenty odboru informační bezpečnosti podle předpisů; zapojit se do celostátní sítě pro reakci na incidenty v oblasti bezpečnosti informací v sítích.

Provádějte pravidelné vyhledávání hrozeb, abyste včas odhalili známky narušení systému. U systémů, u kterých byla zjištěna závažná bezpečnostní zranitelnost, okamžitě po opravě zranitelnosti proveďte vyhledávání hrozeb, abyste zjistili možnost předchozího narušení.

Kontrolovat a aktualizovat záplaty informační bezpečnosti pro důležité systémy podle varování od oddělení informační bezpečnosti a příslušných agentur a organizací; pravidelně kontrolovat, vyhodnocovat a přezkoumávat, aby se včas odhalily zranitelnosti a slabiny informační bezpečnosti existující v systému.

Oddělení informační bezpečnosti žádá společnosti, aby do 15. dubna zorganizovaly kontroly, přidělily specializované kontakty a nahlásily výsledky implementace Oddělení informační bezpečnosti za účelem syntézy a podání zprávy příslušným orgánům.