ตามร่างดังกล่าว ระบบ Online Banking จะต้องปฏิบัติตามหลักเกณฑ์การรักษาความปลอดภัยระบบสารสนเทศระดับ 3 ขึ้นไป ตามบทบัญญัติของกฎหมายว่าด้วยการรักษาความปลอดภัยระบบสารสนเทศระดับ และหลักเกณฑ์การรักษาความปลอดภัยระบบสารสนเทศของธนาคารแห่งรัฐในกิจกรรมการธนาคาร
รับประกันความลับและความสมบูรณ์ของข้อมูลลูกค้า รับรองความพร้อมของระบบ Online Banking เพื่อให้บริการได้อย่างต่อเนื่อง
ธุรกรรมของลูกค้าจะได้รับการประเมินระดับความเสี่ยงขั้นต่ำตามกลุ่มลูกค้าแต่ละกลุ่ม ประเภทธุรกรรม ขีดจำกัดธุรกรรม (ถ้ามี) และจัดทำวิธีการยืนยันธุรกรรมที่เหมาะสมให้ลูกค้าเลือกใช้ตามข้อกำหนด ดังนี้ ใช้การยืนยันตัวตนแบบหลายปัจจัยเมื่อเปลี่ยนแปลงข้อมูลประจำตัวลูกค้า ใช้วิธีการยืนยันตัวตนสำหรับแต่ละกลุ่มลูกค้า ประเภทธุรกรรม ขีดจำกัดธุรกรรมตามข้อกำหนด สำหรับธุรกรรมหลายขั้นตอน ต้องใช้มาตรการยืนยันตัวตนอย่างน้อยหนึ่งมาตรการในขั้นตอนการอนุมัติขั้นสุดท้าย
ดำเนินการตรวจสอบและประเมินความปลอดภัยประจำปีของระบบธนาคารออนไลน์
ระบุความเสี่ยง ความเสี่ยงที่อาจเกิดขึ้น และระบุสาเหตุของความเสี่ยงอย่างสม่ำเสมอ ดำเนินการป้องกัน ควบคุม และจัดการความเสี่ยงในการให้บริการธนาคารทางอินเทอร์เน็ตอย่างทันท่วงที
อุปกรณ์โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่ให้บริการธนาคารออนไลน์ต้องมีลิขสิทธิ์ แหล่งที่มา และแหล่งที่มาที่ชัดเจน สำหรับอุปกรณ์ที่ใกล้จะสิ้นสุดวงจรชีวิตผลิตภัณฑ์และจะไม่ได้รับการสนับสนุนจากผู้ผลิตอีกต่อไป อุปกรณ์จะต้องมีแผนการอัปเกรดและเปลี่ยนทดแทนตามประกาศของผู้ผลิต เพื่อให้มั่นใจว่าอุปกรณ์โครงสร้างพื้นฐานสามารถติดตั้งซอฟต์แวร์เวอร์ชันใหม่ได้
มีไฟร์วอลล์ ระบบตรวจสอบ และการแจ้งเตือนพฤติกรรมที่ผิดปกติ
หน่วยงานจะต้องจัดตั้งระบบเครือข่าย การสื่อสาร และระบบรักษาความปลอดภัยที่ตรงตามข้อกำหนดขั้นต่ำดังต่อไปนี้:
มีโซลูชันด้านความปลอดภัยขั้นต่ำ ได้แก่ ไฟร์วอลล์แอปพลิเคชัน ไฟร์วอลล์ฐานข้อมูล ระบบตรวจสอบและเตือนแบบรวมศูนย์สำหรับการโจมตีหรือพฤติกรรมที่ผิดปกติ
ข้อมูลของลูกค้าไม่ได้ถูกเก็บไว้ในพาร์ติชั่นการเชื่อมต่ออินเตอร์เน็ตและพาร์ติชั่น DMZ (พาร์ติชั่นตัวกลางระหว่างเครือข่ายภายในและอินเตอร์เน็ต)
กำหนดนโยบายการจำกัดบริการและเกตเวย์ที่เชื่อมต่อกับระบบ Online Banking
การเชื่อมต่อจากภายนอกเครือข่ายภายในมายังระบบ Online Banking เพื่อการบริหารจัดการสามารถทำได้เฉพาะในกรณีที่ไม่สามารถเชื่อมต่อจากเครือข่ายภายในได้และต้องมีความปลอดภัย โดยต้องเป็นไปตามข้อกำหนดอย่างน้อยดังต่อไปนี้: ต้องได้รับการอนุมัติจากบุคคลที่ได้รับอนุญาตหลังจากตรวจสอบวัตถุประสงค์และวิธีการเชื่อมต่อแล้ว; ต้องมีแผนสำหรับการจัดการการเข้าถึง การบริหารจัดการระบบระยะไกลที่ปลอดภัย เช่น การใช้เครือข่ายส่วนตัวเสมือนหรือเทียบเท่า; ต้องติดตั้งซอฟต์แวร์ด้านความปลอดภัยบนอุปกรณ์เชื่อมต่อ; ต้องใช้มาตรการการตรวจสอบสิทธิ์แบบหลายปัจจัยเมื่อเข้าสู่ระบบ; ใช้โปรโตคอลการสื่อสารที่เข้ารหัสอย่างปลอดภัย และไม่จัดเก็บคีย์ลับในซอฟต์แวร์ยูทิลิตี้
การเชื่อมต่อเครือข่ายที่จะให้บริการจะต้องทำให้มีความพร้อมใช้งานสูงและสามารถให้บริการได้อย่างต่อเนื่อง
สร้างกลไกในการตรวจจับและป้องกันการบุกรุกและการโจมตีเครือข่ายในระบบ
นอกจากนี้ ร่างยังระบุอย่างชัดเจนว่าหน่วยงานจะต้องจัดการจุดอ่อนและจุดอ่อนของระบบ Online Banking โดยมีเนื้อหาพื้นฐานดังต่อไปนี้:
มีมาตรการป้องกัน ตรวจจับ และตรวจจับการเปลี่ยนแปลงบนเว็บไซต์และซอฟต์แวร์แอปพลิเคชันธนาคารออนไลน์
จัดทำกลไกการตรวจจับและป้องกันการบุกรุกและการโจมตีเครือข่ายในระบบ Online Banking
ประสานงานกับหน่วยงานบริหารระดับรัฐและพันธมิตรด้านเทคโนโลยีสารสนเทศ เพื่อรับทราบเหตุการณ์และสถานการณ์การสูญเสียความมั่นคงปลอดภัยของข้อมูลอย่างทันท่วงที เพื่อดำเนินมาตรการป้องกันอย่างทันท่วงที
อัปเดตข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่เผยแพร่ที่เกี่ยวข้องกับซอฟต์แวร์ระบบ ระบบจัดการฐานข้อมูล และซอฟต์แวร์แอปพลิเคชัน ตามข้อมูลจาก Common Vulnerability Scoring System
สแกนหาช่องโหว่และจุดอ่อนของระบบธนาคารออนไลน์อย่างน้อยปีละครั้ง หรือเมื่อได้รับข้อมูลเกี่ยวกับช่องโหว่และจุดอ่อนใหม่ๆ ประเมินระดับผลกระทบและความเสี่ยงของช่องโหว่และจุดอ่อนทางเทคนิคของระบบแต่ละจุดที่พบ และเสนอแนวทางแก้ไขและแผนรับมือ
ดำเนินการอัปเดตแพตช์ความปลอดภัยหรือมาตรการป้องกันอย่างทันท่วงทีตามการประเมินผลกระทบและความเสี่ยง
แหล่งที่มา
การแสดงความคิดเห็น (0)