اصول تضمین ایمنی و امنیت سیستم برای ارائه خدمات بانکداری آنلاین

طبق این پیش‌نویس، سیستم بانکداری آنلاین باید مطابق با قانون تضمین امنیت سیستم‌های اطلاعاتی در هر سطح و مقررات بانک مرکزی در مورد امنیت سیستم‌های اطلاعاتی در فعالیت‌های بانکی، مقررات مربوط به تضمین امنیت سیستم‌های اطلاعاتی در سطح ۳ یا بالاتر را رعایت کند.

اطمینان از محرمانگی و یکپارچگی اطلاعات مشتری؛ اطمینان از در دسترس بودن سیستم بانکداری آنلاین برای ارائه مداوم خدمات.

تراکنش‌های مشتری بر اساس حداقل سطح ریسک، بر اساس هر گروه مشتری، نوع تراکنش، سقف تراکنش (در صورت وجود) ارزیابی می‌شوند و بر این اساس، روش‌های احراز هویت تراکنش مناسبی برای انتخاب مشتریان، مطابق با مقررات، ارائه می‌شود: اعمال احراز هویت چند عاملی هنگام تغییر اطلاعات شناسایی مشتری؛ اعمال روش‌های احراز هویت برای هر گروه مشتری، نوع تراکنش، سقف تراکنش طبق مقررات؛ برای تراکنش‌های چند مرحله‌ای، حداقل یک اقدام احراز هویت باید در مرحله تأیید نهایی اعمال شود.

بررسی‌ها و ارزیابی‌های امنیتی سالانه سیستم بانکداری آنلاین را انجام دهید.

به طور منظم خطرات، خطرات بالقوه را شناسایی و علل خطرات را تعیین کنید، به سرعت اقداماتی را برای پیشگیری، کنترل و رسیدگی به خطرات در ارائه خدمات بانکی در اینترنت انجام دهید.

تجهیزات زیرساخت فناوری اطلاعات که خدمات بانکداری آنلاین ارائه می‌دهند باید دارای حق چاپ، منشأ و منبع مشخص باشند. برای تجهیزاتی که به پایان چرخه عمر محصول خود نزدیک می‌شوند و دیگر توسط سازنده پشتیبانی نمی‌شوند، واحد باید طبق اعلام سازنده، یک برنامه ارتقا و جایگزینی داشته باشد و اطمینان حاصل شود که تجهیزات زیرساخت قادر به نصب نسخه‌های جدید نرم‌افزار هستند.

دارای فایروال، سیستم‌های نظارتی و هشدار برای رفتارهای غیرمعمول

این واحد باید یک سیستم شبکه، ارتباطات و امنیت ایجاد کند که حداقل الزامات زیر را برآورده کند:

حداقل راهکارهای امنیتی شامل موارد زیر است: فایروال برنامه؛ فایروال پایگاه داده؛ سیستم نظارت و هشدار متمرکز برای حملات یا رفتارهای غیرمعمول.

اطلاعات مشتری در پارتیشن اتصال اینترنت و پارتیشن DMZ (پارتیشن واسطه بین شبکه داخلی و اینترنت) ذخیره نمی‌شود.

سیاستی برای محدود کردن سرویس‌ها و درگاه‌های متصل به سیستم بانکداری آنلاین تنظیم کنید.

اتصال از خارج از شبکه داخلی به سیستم بانکداری آنلاین برای اهداف مدیریتی فقط در مواردی انجام می‌شود که امکان اتصال از شبکه داخلی و تضمین ایمنی وجود نداشته باشد و حداقل مقررات زیر رعایت شود: باید پس از بررسی هدف و روش اتصال، توسط یک فرد مجاز تأیید شود؛ باید برنامه‌ای برای مدیریت دسترسی، مدیریت امن سیستم از راه دور مانند استفاده از شبکه خصوصی مجازی یا معادل آن داشته باشد؛ دستگاه‌های اتصال باید نرم‌افزار امنیتی نصب شده داشته باشند؛ هنگام ورود به سیستم باید از اقدامات احراز هویت چند عاملی استفاده کنند؛ از پروتکل‌های ارتباطی رمزگذاری شده ایمن استفاده کنند و کلیدهای مخفی را در نرم‌افزارهای کاربردی ذخیره نکنند.

اتصال شبکه سرویس باید دسترسی‌پذیری بالا و ارائه مداوم سرویس را تضمین کند.

ایجاد مکانیزمی برای شناسایی و جلوگیری از نفوذها و حملات شبکه‌ای به سیستم

این پیش‌نویس همچنین به وضوح بیان می‌کند که این واحد باید آسیب‌پذیری‌ها و نقاط ضعف سیستم بانکداری آنلاین را با مفاد اساسی زیر مدیریت کند:

اقداماتی برای جلوگیری، شناسایی و تشخیص تغییرات در وب‌سایت و نرم‌افزار کاربردی بانکداری آنلاین داشته باشید.

ایجاد سازوکاری برای شناسایی و جلوگیری از نفوذها و حملات شبکه‌ای به سیستم بانکداری آنلاین.

هماهنگی با واحدهای مدیریت دولتی و شرکای فناوری اطلاعات برای درک سریع حوادث و موقعیت‌های از دست رفتن امنیت اطلاعات و انجام اقدامات پیشگیرانه به موقع.

اطلاعات مربوط به آسیب‌پذیری‌های امنیتی منتشر شده مربوط به نرم‌افزار سیستم، سیستم‌های مدیریت پایگاه داده و نرم‌افزار کاربردی را بر اساس اطلاعات سیستم امتیازدهی آسیب‌پذیری مشترک به‌روزرسانی کنید.

حداقل سالی یک بار یا هنگام دریافت اطلاعات مربوط به آسیب‌پذیری‌ها و ضعف‌های جدید، آسیب‌پذیری‌ها و نقاط ضعف سیستم بانکداری آنلاین را بررسی کنید. تأثیر و ریسک هر آسیب‌پذیری و ضعف فنی کشف‌شده سیستم را ارزیابی کرده و راه‌حل‌ها و برنامه‌هایی برای مقابله با آن پیشنهاد دهید.

به‌روزرسانی‌های وصله‌های امنیتی یا اقدامات پیشگیرانه‌ی به‌موقع را بر اساس ارزیابی تأثیر و ریسک اجرا کنید.

baochinhphu.vn

منبع