Вимагати від компаній, що займаються цінними паперами, негайно виправити лазівки та недоліки до 15 квітня

Сьогодні вдень, 27 березня, Департамент інформаційної безпеки (Міністерство інформації та зв'язку) надіслав до компаній з цінних паперів розсилку щодо посилення інформаційної безпеки мережевих інформаційних систем.

За словами пана Тран Данг Кхоана, заступника директора Департаменту інформаційної безпеки, останнім часом у низці систем компаній з цінних паперів сталися інциденти безпеки мережі інформації, що завдало серйозної шкоди фондовим підприємствам, спричинило паніку та вплинуло на довіру до безпеки фондових бірж у В'єтнамі зокрема та фінансового ринку загалом.

Виконуючи функцію державного управління інформаційною безпекою мереж, Департамент інформаційної безпеки доручає компаніям з цінних паперів переглянути та організувати впровадження забезпечення інформаційної безпеки мереж для інформаційних систем, що перебувають під їхнім управлінням, з наступними основними завданнями.

Відповідно, компанії з цінних паперів повинні організовувати огляди, перевірки та оцінки для забезпечення інформаційної безпеки інформаційних систем, що перебувають під їхнім управлінням, та негайно вживати заходів для подолання ризиків, вразливостей та слабких місць в інформаційних системах, особливо в інформаційних системах управління рахунками клієнтів, що обслуговують онлайн-транзакції з цінними паперами. Це має бути завершено до 15 квітня.

Крім того, компанії з цінних паперів перевіряють та організовують впровадження гарантій інформаційної безпеки відповідно до рівнів, передбачених Урядовою постановою № 85/2016/ND-CP про забезпечення безпеки інформаційних систем відповідно до рівнів та Циркуляром 12/2022/TT-BTTTT Міністерства інформації та зв'язку.

Дотримуватися законодавчих норм та посилювати забезпечення безпеки інформаційних систем за рівнями, особливо щодо організації статистики та класифікації інформаційних систем, що знаходяться під управлінням; розробити план впровадження та завершення положень щодо забезпечення безпеки інформаційних систем за рівнями (відповідно до щомісячного прогресу); забезпечити, щоб 100% інформаційних систем, що працюють, були затверджені на рівень безпеки інформаційних систем не пізніше вересня, та повністю впровадити плани забезпечення інформаційної безпеки відповідно до затверджених документів пропозицій щодо рівнів не пізніше грудня 2024 року.

Організувати ефективне, суттєве, регулярне та безперервне впровадження робіт із забезпечення інформаційної безпеки відповідно до 4-рівневої моделі, зокрема покращення потужностей професійного рівня моніторингу та захисту, а також підтримку безперервного та стабільного зв'язку та обміну інформацією з Національним центром моніторингу кібербезпеки (Департамент інформаційної безпеки); надати пріоритет використанню мережевих продуктів, рішень та послуг інформаційної безпеки, вироблених або освоєних в'єтнамськими підприємствами.

Пошук загроз та своєчасне виявлення ознак вторгнення

Крім того, компанії з цінних паперів повинні розробити плани реагування на інциденти для інформаційних систем, що перебувають під їхнім управлінням, як це передбачено Циркуляром № 20/2017/TT-BTTTT Міністерства інформації та зв'язку, що регулює координацію та реагування на інциденти безпеки мережевої інформації по всій країні; розгорнути план періодичного резервного копіювання систем та важливих даних для оперативного відновлення у разі атак на шифрування даних та повідомляти про інциденти до Департаменту інформаційної безпеки, як це передбачено; брати участь у національній мережі реагування на інциденти безпеки мережевої інформації.

Періодично проводите пошук загроз, щоб швидко виявляти ознаки вторгнення в систему. Для систем, у яких було виявлено серйозну вразливість безпеки, негайно після виправлення вразливості проводите пошук загроз, щоб визначити можливість попереднього вторгнення.

Перевіряти та оновлювати патчі інформаційної безпеки для важливих систем відповідно до попереджень Департаменту інформаційної безпеки та відповідних установ і організацій; періодично перевіряти, оцінювати та переглядати, щоб своєчасно виявляти вразливості та слабкі місця інформаційної безпеки, що існують у системі.

Департамент інформаційної безпеки просить компанії організувати огляди, призначити спеціалізованих контактних осіб та повідомити про результати впровадження Департаменту інформаційної безпеки до 15 квітня для узагальнення та звітування перед компетентними органами.