Zgodnie z projektem system bankowości elektronicznej musi spełniać przepisy dotyczące zapewnienia bezpieczeństwa systemu informatycznego na poziomie 3 lub wyższym zgodnie z ustawą o zapewnieniu bezpieczeństwa systemu informatycznego na każdym poziomie oraz przepisami Banku Państwowego dotyczącymi bezpieczeństwa systemu informatycznego w działalności bankowej.
Zapewnienie poufności i integralności informacji o klientach; zapewnienie dostępności systemu bankowości internetowej w celu zapewnienia ciągłego świadczenia usług.
Transakcje klientów są oceniane pod kątem minimalnego poziomu ryzyka według każdej grupy klientów, rodzaju transakcji, limitu transakcji (jeśli dotyczy) i na tej podstawie zapewniane są klientom odpowiednie metody uwierzytelniania transakcji do wyboru, zgodnie z przepisami: stosowanie uwierzytelniania wieloczynnikowego przy zmianie danych identyfikacyjnych klienta; stosowanie metod uwierzytelniania dla każdej grupy klientów, rodzaju transakcji, limitu transakcji zgodnie z przepisami; w przypadku transakcji wieloetapowych co najmniej jeden środek uwierzytelniania musi zostać zastosowany na etapie ostatecznego zatwierdzania.
Przeprowadzanie corocznych kontroli bezpieczeństwa i ocen systemu bankowości internetowej.
Regularnie identyfikuj zagrożenia, potencjalne zagrożenia i ustalaj przyczyny zagrożeń, podejmuj niezwłocznie działania mające na celu zapobieganie, kontrolę i zarządzanie ryzykiem związanym ze świadczeniem usług bankowych w Internecie.
Sprzęt infrastruktury informatycznej, który zapewnia usługi bankowości internetowej, musi być chroniony prawami autorskimi, mieć jasne pochodzenie i źródło. W przypadku sprzętu, którego cykl życia produktu dobiega końca i który nie będzie już objęty wsparciem technicznym producenta, jednostka musi posiadać plan modernizacji i wymiany zgodnie z ogłoszeniem producenta, gwarantujący, że sprzęt infrastruktury będzie w stanie zainstalować nowe wersje oprogramowania.
Posiada zapory sieciowe, systemy monitorujące i alerty dotyczące nietypowego zachowania
Jednostka musi stworzyć system sieciowy, komunikacyjny i bezpieczeństwa spełniający następujące minimalne wymagania:
Dostępne są minimalne rozwiązania zapewniające bezpieczeństwo, w tym: zapora aplikacji, zapora bazy danych, scentralizowany system monitorowania i ostrzegania przed atakami lub nietypowym zachowaniem.
Informacje o klientach nie są przechowywane w partycji połączenia internetowego ani w partycji DMZ (partycja pośrednia między siecią wewnętrzną a Internetem).
Skonfiguruj zasady ograniczające usługi i bramki łączące się z systemem bankowości internetowej.
Połączenia spoza sieci wewnętrznej do systemu bankowości internetowej w celach administracyjnych nawiązywane są wyłącznie w przypadkach, gdy nie jest możliwe nawiązanie połączenia z sieci wewnętrznej i zapewnienie bezpieczeństwa, przy zachowaniu co najmniej następujących zasad: muszą zostać zatwierdzone przez osobę upoważnioną po sprawdzeniu celu i metody połączenia; muszą mieć plan zarządzania dostępem, bezpieczne zdalne administrowanie systemem, takie jak korzystanie z wirtualnej sieci prywatnej lub równoważnej; urządzenia łączące się muszą mieć zainstalowane oprogramowanie zabezpieczające; muszą używać środków uwierzytelniania wieloskładnikowego podczas logowania się do systemu; muszą używać bezpiecznych szyfrowanych protokołów komunikacyjnych i nie przechowywać kluczy tajnych w oprogramowaniu narzędziowym.
Połączenie sieciowe musi zapewniać wysoką dostępność i ciągłość świadczenia usług.
Ustanowić mechanizm wykrywania i zapobiegania włamaniom i atakom sieciowym na system
W projekcie wyraźnie wskazano, że jednostka musi zarządzać lukami i słabościami systemu bankowości internetowej, przy czym podstawowe zadania obejmują:
Podjąć działania mające na celu zapobieganie, wykrywanie i śledzenie zmian w oprogramowaniu witryny internetowej i aplikacji bankowości internetowej.
Ustanowić mechanizm wykrywania i zapobiegania włamaniom i atakom sieciowym na system bankowości internetowej.
Współpraca z jednostkami zarządzania państwem i partnerami z branży technologii informatycznych w celu szybkiego wykrywania incydentów i sytuacji związanych z bezpieczeństwem informacji oraz utratą ochrony, a także podejmowania terminowych działań zapobiegawczych.
Aktualizowanie informacji o opublikowanych lukach w zabezpieczeniach oprogramowania systemowego, systemów zarządzania bazami danych i oprogramowania aplikacyjnego zgodnie z informacjami z Common Vulnerability Scoring System.
Skanuj system bankowości internetowej w poszukiwaniu luk i słabych punktów co najmniej raz w roku lub po otrzymaniu informacji o nowych lukach i słabych punktach. Oceń wpływ i ryzyko każdej wykrytej luki i słabości technicznej systemu oraz zaproponuj rozwiązania i plany postępowania.
Wdrażaj aktualizacje poprawek zabezpieczeń lub środki zapobiegawcze na czas na podstawie oceny wpływu i ryzyka.
Źródło
![[Zdjęcie] Prezydent Luong Cuong przedstawia decyzje dotyczące nadawania tytułów i mianowania ambasadorów Wietnamu](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/10/1760074419606_ndo_br_1-jpg.webp)
Komentarz (0)