Kötelessé teszik az értékpapír-társaságokat, hogy április 15-ig azonnal javítsák ki a kiskapukat és a gyengeségeket

Március 27-én, délután az Információbiztonsági Osztály (Információs és Hírközlési Minisztérium) közleményt küldött az értékpapír-társaságoknak az információs rendszerek hálózati információbiztonságának megerősítésével kapcsolatban.

Tran Dang Khoan, az Információbiztonsági Osztály igazgatóhelyettese szerint az utóbbi időben számos értékpapír-társaság rendszerében történt hálózati információbiztonsági incidens, ami súlyos károkat okozott az értékpapír-üzletágnak, pánikot keltett, és befolyásolta a bizalmat a vietnami tőzsdék biztonságában, valamint általában a pénzügyi piacon.

Az Információbiztonsági Osztály az állami hálózati információbiztonsági igazgatási feladatokat ellátva felkéri az értékpapír-társaságokat, hogy vizsgálják felül és szervezzék meg az általuk kezelt információs rendszerek hálózati információbiztonságának biztosítását, a következő főbb feladatokkal.

Ennek megfelelően az értékpapír-társaságoknak felülvizsgálatokat, ellenőrzéseket és értékeléseket kell szervezniük az általuk kezelt információs rendszerek információbiztonságának biztosítása érdekében, és azonnal intézkedéseket kell végrehajtaniuk az információs rendszerek, különösen az online értékpapír-tranzakciókat kiszolgáló ügyfélszámla-kezelő információs rendszerek kockázatainak, sebezhetőségeinek és gyengeségeinek leküzdésére. Ezt április 15-ig be kell fejezni.

Ezenkívül az értékpapír-társaságok felülvizsgálják és megszervezik az információbiztonsági biztosítékok végrehajtását az információrendszerek biztonságának szintje szerinti biztosításáról szóló 85/2016/ND-CP számú kormányrendeletben, valamint az Információs és Hírközlési Minisztérium 12/2022/TT-BTTTT számú körlevelében előírt szintek szerint.

A jogi előírások betartása és az információs rendszerek biztonságának szintjének megerősítése, különös tekintettel a statisztikák szervezésére és a kezelt információs rendszerek osztályozására; terv kidolgozása az információs rendszerek biztonságának szintjénkénti szabályozásának végrehajtására és kiegészítésére (a havi előrehaladásnak megfelelően); annak biztosítása, hogy a működő információs rendszerek 100%-a legkésőbb szeptemberig jóváhagyott információs rendszer biztonsági szintre kerüljön, és a jóváhagyott szintű javaslatdokumentumok szerinti információbiztonsági biztosítási tervek legkésőbb 2024 decemberéig teljes körűen végrehajtva legyenek.

A 4-rétegű modell szerinti információbiztonság-biztosítási munka hatékony, érdemi, rendszeres és folyamatos végrehajtásának megszervezése, különös tekintettel a professzionális felügyeleti és védelmi réteg kapacitásának javítására, valamint a Nemzeti Kiberbiztonsági Megfigyelőközponttal (Információbiztonsági Osztály) való folyamatos és stabil kapcsolat és információmegosztás fenntartására; a vietnami vállalkozások által előállított vagy elsajátított hálózati információbiztonsági termékek, megoldások és szolgáltatások használatának előtérbe helyezése.

Keresse a fenyegetéseket, és azonnal észlelje a behatolás jeleit

Ezenkívül az értékpapír-társaságoknak incidens-elhárítási terveket kell kidolgozniuk az általuk kezelt információs rendszerekre vonatkozóan, az Információs és Hírközlési Minisztérium 20/2017/TT-BTTTT számú körlevelében előírtak szerint, amely az országos hálózati információbiztonsági incidensekre való koordinációt és reagálást szabályozza; tervet kell kidolgozniuk a rendszerek és a fontos adatok időszakos biztonsági mentésére, hogy azokat az adattitkosítási támadások esetén azonnal vissza lehessen állítani, és az előírásoknak megfelelően jelenteniük kell az incidenseket az Információbiztonsági Osztálynak; részt kell venniük a nemzeti hálózati információbiztonsági incidens-elhárítási hálózatban.

Rendszeres fenyegetésfelderítést kell végezni a rendszerbetörés jeleinek azonnali észlelése érdekében. Azon rendszerek esetében, amelyekben komoly biztonsági rést találtak, a sebezhetőség javítása után azonnal le kell végezni a fenyegetésfelderítést, hogy megállapítsuk a korábbi behatolás lehetőségét.

Az Információbiztonsági Osztály és az illetékes ügynökségek és szervezetek figyelmeztetéseinek megfelelően ellenőrizze és frissítse a fontos rendszerek információbiztonsági javításait; rendszeresen ellenőrizze, értékelje és tekintse át a rendszerben található információbiztonsági sebezhetőségeket és gyengeségeket.

Az Információbiztonsági Minisztérium kéri a vállalatokat, hogy április 15-ig szervezzenek felülvizsgálatokat, jelöljenek ki speciális kapcsolattartókat, és jelentsék a végrehajtás eredményeit az Információbiztonsági Minisztériumnak az összefoglalás és az illetékes hatóságoknak történő jelentéstétel céljából.