Компании, работающие с ценными бумагами, обязаны немедленно устранить пробелы и недостатки до 15 апреля.

Сегодня днем, 27 марта, Департамент информационной безопасности Министерства информации и коммуникаций направил компаниям, работающим на рынке ценных бумаг, официальное сообщение относительно усиления сетевой информационной безопасности информационных систем.

По словам г-на Тран Данг Хоана, заместителя директора Департамента информационной безопасности, в последнее время в ряде систем компаний, работающих с ценными бумагами, произошли инциденты сетевой информационной безопасности, которые нанесли серьезный ущерб предприятиям, работающим с ценными бумагами, вызвали панику и повлияли на доверие к безопасности фондовых бирж Вьетнама в частности и финансового рынка в целом.

Департамент информационной безопасности, осуществляя функцию государственного управления сетевой информационной безопасностью, поручает организациям, осуществляющим деятельность в сфере ценных бумаг, рассмотреть и организовать реализацию мер по обеспечению сетевой информационной безопасности для информационных систем, находящихся в их управлении, с учетом следующих основных задач.

Соответственно, компаниям, работающим с ценными бумагами, необходимо организовать проверки, инспекции и оценки для обеспечения информационной безопасности информационных систем, находящихся под их управлением, и незамедлительно принять меры по устранению рисков, уязвимостей и недостатков в информационных системах, особенно в системах управления счетами клиентов, обслуживающих онлайн-транзакции с ценными бумагами. Это необходимо сделать до 15 апреля.

Кроме того, компании, работающие на рынке ценных бумаг, проверяют и организуют реализацию мер по обеспечению информационной безопасности в соответствии с уровнями, предписанными Постановлением Правительства № 85/2016/ND-CP об обеспечении безопасности информационных систем в соответствии с уровнями и Циркуляром 12/2022/TT-BTTTT Министерства информации и коммуникаций.

Соблюдать правовые нормы и усиливать гарантии безопасности информационных систем по уровням, в частности, организовывать статистику и классифицировать информационные системы, находящиеся под управлением; разработать план по внедрению и завершению положений об обеспечении безопасности информационных систем по уровням (в соответствии с ежемесячным прогрессом); обеспечить, чтобы 100% эксплуатируемых информационных систем были утверждены по уровню безопасности информационных систем не позднее сентября, а также полностью внедрить планы по обеспечению информационной безопасности в соответствии с утвержденными документами предложений по уровням не позднее декабря 2024 года.

Организовать эффективную, существенную, регулярную и непрерывную реализацию работ по обеспечению информационной безопасности в соответствии с четырехуровневой моделью, в частности, повысить пропускную способность профессионального уровня мониторинга и защиты, а также поддерживать постоянные и стабильные связи и обмен информацией с Национальным центром мониторинга кибербезопасности (Департамент информационной безопасности); отдать приоритет использованию сетевых продуктов, решений и услуг по информационной безопасности, произведенных или освоенных вьетнамскими предприятиями.

Выслеживайте угрозы, оперативно обнаруживайте признаки вторжения

Кроме того, компаниям, работающим с ценными бумагами, необходимо разработать планы реагирования на инциденты в информационных системах, находящихся под их управлением, как предписано в Циркуляре № 20/2017/TT-BTTTT Министерства информации и коммуникаций о координации и реагировании на инциденты сетевой информационной безопасности по всей стране; внедрить план периодического резервного копирования систем и важных данных для оперативного восстановления в случае возникновения атак на шифрование данных и сообщать об инцидентах в Департамент информационной безопасности в установленном порядке; участвовать в национальной сети реагирования на инциденты сетевой информационной безопасности.

Периодически проводите поиск угроз для своевременного обнаружения признаков вторжения в систему. В системах, в которых обнаружены серьёзные уязвимости безопасности, немедленно после их устранения проводите поиск угроз, чтобы определить вероятность предыдущего вторжения.

Проверять и обновлять исправления информационной безопасности для важных систем в соответствии с предупреждениями Департамента информационной безопасности и связанных с ним агентств и организаций; периодически проверять, оценивать и анализировать для оперативного обнаружения уязвимостей и слабых мест информационной безопасности, существующих в системе.

Департамент информационной безопасности просит компании организовать проверку, назначить координатора для профессионального обмена и сообщить о результатах внедрения в Департамент информационной безопасности до 15 апреля для обобщения и представления компетентным органам.