Sơ lược một số tiêu chuẩn an toàn thông tin phổ biến trên thế giới áp dụng cho ngân hàng
Bộ tiêu chuẩn ISO/IEC 27000
Bộ tiêu chuẩn ISO/IEC 27000 được phát triển bởi Tổ chức Tiêu chuẩn quốc tế (ISO), cung cấp một khung ứng dụng ATTT rộng rãi, được áp dụng cho tất cả các tổ chức với loại hình và quy mô khác nhau. Bộ tiêu chuẩn này được chia thành các tiêu chuẩn nhỏ hơn tùy theo nội dung như: ISO/IEC 27000 cung cấp bức tranh về các tiêu chuẩn tổng quan về việc đảm bảo ATTT; ISO/IEC 27001 giúp xác định các yêu cầu của chương trình ATTT và ISO/IEC 27002 cung cấp định nghĩa các bước hoạt động cần thiết trong một chương trình ATTT.
Đặc biệt, tiêu chuẩn ISO/IEC 27001 là một tiêu chuẩn được các tổ chức ngân hàng, tài chính trên thế giới quan tâm hàng đầu. Bởi nó trực tiếp quy định việc đảm bảo các tính chất bí mật, toàn vẹn và sẵn sàng cho tài sản thông tin. Trong đó, ISO/IEC 27001:2013 có 114 kiểm soát chia làm 14 nhóm và 35 mục tiêu kiểm soát (tăng đáng kể so với phiên bản 2005 có 133 kiểm soát với 11 nhóm).
Khung an ninh mạng NIST Cybersecurity Framework
Tháng 2/2014, Viện Tiêu chuẩn và Kỹ thuật quốc gia Mỹ (NIST) đã xuất bản phiên bản đầu tiên của Khung an ninh mạng (Cybersecurity Framework v1.0 - NIST CFS) nhằm hỗ trợ các tổ chức và các nhà quản lý nâng cao an toàn, an ninh và tăng khả năng hồi phục của cơ sở hạ tầng quan trọng trước các cuộc tấn công mạng. NIST CFS được đưa ra dựa trên cơ sở của nhiều tiêu chuẩn bao gồm các hướng dẫn và thực hành.
Nội dung của NIST CFS bao gồm 3 phần, trong đó:
Phần Core có 5 chức năng (Function) là: Identify, Protect, Detect, Respond Recover; được kết cấu chặt chẽ với nhau, nhằm cung cấp một cách nhìn tổng thể và mang tính chiến lược đối với việc quản lý vòng đời của các rủi ro an ninh mạng. Bên dưới mỗi Function được chia ra thành các mục lục chính (Categories) và các tiểu mục (Subcategories).
Phần Implementation Tiers (Tiers): mô tả mức độ thực hiện quản lý rủi ro an ninh mạng của mỗi tổ chức thông qua các đặc điểm đã được xác định trong Khung. Phần Tiers sẽ chia mức độ thực hiện của tổ chức ra làm bốn mức từ thấp đến cao, bao gồm: Partial, Risk Informed, Repeatable và Adaptive.
Phần Profile: sẽ phản ánh kết quả đầu ra dựa trên các đánh giá mà tổ chức đã lựa chọn trong các mục Categories và Subcategories của phần Core.
Trong quá trình triển khai, NIST CFS có tính tương thích cao, mềm dẻo và có thể được sử dụng cùng với các quy trình quản lý rủi ro an ninh mạng khác như ISO 31000:2009, ISO/IEC 27005:2011, NIST SP 800-39 hoặc Electricity Subsector Cybersecurity Risk Management Process (RMP).
Tiêu chuẩn an ninh dữ liệu trong lĩnh vực thẻ thanh toán (Payment Card Industry Data Security Standard - PCI - DSS)
Tiêu chuẩn PCI - DSS được xây dựng bởi Hội đồng Tiêu chuẩn bảo mật thanh toán thẻ (Payment Card Industry Security Standards Council). Hoạt động thanh toán thẻ yêu cầu các quy định khắt khe về bảo mật thông tin và tính tuân thủ cao trong tổ chức. Đây là tiêu chuẩn mở được thành lập bởi các tổ chức cung cấp thẻ thanh toán phổ biến trên thế giới, bao gồm các thành viên ban đầu như: Visa, MasterCard, Americian Express, Discover Financial Services, JCB International.
Tiêu chuẩn PCI - DSS là bộ tiêu chuẩn đa phương diện, bao gồm các yêu cầu cho quản lý bảo mật, chính sách, quy trình, kiến trúc hệ thống, thiết kế phần mềm và các biện pháp phòng vệ tối thiểu để bảo đảm an toàn cho dữ liệu thẻ. Tiêu chuẩn gồm 12 yêu cầu đối với việc bảo vệ dữ liệu thẻ (Hình 1).
Hình 1: 12 yêu cầu tập trung đối với việc bảo vệ dữ liệu thẻ
Khung tiêu chuẩn bảo mật khách hàng (Customer Security Framework)
Ngày 3/4/2017, Hiệp hội viễn thông liên ngân hàng và tài chính quốc tế (SWIFT) đã ban hành Khung tiêu chuẩn bảo mật khách hàng (Customer Security Framework). Đây là bộ khung ATTT áp dụng cho các khách hàng của SWIFT, bao gồm: 7 phần, 27 kiểm soát. Trong đó, có 16 yêu cầu bắt buộc, 11 yêu cầu mang tính tham vấn. Nội dung 7 phần chính được chia thành 3 lĩnh vực được thể hiện trong Bảng 1.
Bảng 1: Ba lĩnh vực của khung tiêu chuẩn bảo mật khách hàng
Văn bản quy phạm về lĩnh vực ATTT trong ngành Ngân hàng tại Việt Nam
Tại Việt Nam, Nhà nước đã ban hành các văn bản quy phạm pháp luật nhằm đảm bảo an ninh, an toàn hệ thống thông tin như: Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005; Luật an toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015; Nghị định số 35/2007/NĐ-CP ngày 08/3/2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng; Nghị định số 26/2007/NĐ-CP ngày 15/02/2007 của Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số, và các nghị định sửa đổi bổ sung Nghị định 26; Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ…. và các Thông tư hướng dẫn liên quan.
Để đảm bảo an toàn cho các hệ thống CNTT cung cấp dịch vụ ngân hàng, nhất là cho khách hàng, trong những năm qua, Ngân hàng Nhà nước (NHNN) đã thường xuyên rà soát, cập nhật, ban hành mới hoặc sửa đổi nhiều văn bản quy phạm pháp luật, kế hoạch hướng dẫn các tổ chức tín dụng (TCTD), các tổ chức trung gian thanh toán trong việc triển khai các dịch vụ ngân hàng điện tử. Hệ thống văn bản do NHNN ban hành về cơ bản đã bao trùm các hoạt động ứng dụng CNTT của ngân hàng, làm tốt mục tiêu chỉ đạo, điều chỉnh và định hướng công tác an toàn thông tin của ngành Ngân hàng. Trong đó, nhiều văn bản đã định hướng theo các tiêu chuẩn quốc tế như: Thông tư 31/2015/TT-NHNN được xây dựng trên cơ sở tham khảo tiêu chuẩn ISO 27001 và Thông tư số 47/2014/TT-NHNN xây dựng trên cơ sở tham khảo tiêu chuẩn PCI - DSS.
Tình hình áp dụng các tiêu chuẩn về ATTT tại các Ngân hàng Việt Nam và nhu cầu xây dựng tiêu chuẩn ATTT cho ngành Ngân hàng Việt Nam
Tình hình thực tế
Bên cạnh việc triển khai tuân thủ các văn bản quy phạm pháp luật về ATTT của Nhà nước và của ngành Ngân hàng, các TCTD đã tích cực triển khai áp dụng các tiêu chuẩn ATTT quốc tế và đạt những kết quả quan trọng, theo số liệu thống kê đến tháng 12/2017:
- Trên 64% các TCTD đã và đang triển khai áp dụng xây dựng hệ thống quản lý an toàn bảo mật thông tin theo tiêu chuẩn ISO 27001. Trong đó, có 10 TCTD đã đạt chứng chỉ tiêu chuẩn ISO 27001.
- Trên 60% các TCTD đã và đang triển khai áp dụng tiêu chuẩn an ninh dữ liệu thẻ PCI DSS. Trong đó có 10 TCTD đạt chứng chỉ PCI DSS.
- Trong năm 2017, các TCTD cũng đã tích cực triển khai Customer Security Framework để tăng cường đảm bảo an toàn cho hoạt động chuyển tiền qua hệ thống SWIFT.
Nhu cầu xây dựng tiêu chuẩn ATTT cho ngành Ngân hàng Việt Nam
Trước tình hình an toàn mạng phức tạp, để bảo vệ hệ thống ngân hàng, các nước trên thế giới đã chủ động ban hành các chính sách, tiêu chuẩn về ATTT cho hệ thống ngân hàng.
Đầu năm 2017, Cục Dự trữ Liên bang Mỹ (FED), Tổng công ty Bảo hiểm tiền gửi Liên bang Mỹ (FDIC) và Văn phòng giám sát tiền tệ Mỹ (OCC) cùng đề xuất xây dựng và ban hành quy định mới về an ninh mạng cho các ngân hàng và các tổ chức tài chính quan trọng của nước này. Theo đề xuất, các cơ quan Liên bang Mỹ cân nhắc tăng cường các tiêu chuẩn quản lý rủi ro mạng máy tính đối với các tổ chức tài chính có quy mô tài sản từ 50 tỷ USD trở lên, qua đó, tăng khả năng phục hồi hoạt động của các tổ chức này nếu gặp tấn công mạng hoặc rủi ro máy tính, giảm thiểu tác động tiêu cực đến hệ thống tài chính.
Mới đây, Ngân hàng Trung ương Nga cũng đã phê duyệt Tiêu chuẩn quốc gia mới trong lĩnh vực bảo vệ thông tin ngân hàng với tên gọi là GOST 57580.1-2017. Tiêu chuẩn này có hiệu lực từ ngày 01/01/2018.
Tại Việt Nam, việc tiến tới các tiêu chuẩn an toàn theo thông lệ quốc tế cũng là điều cần thiết, cấp bách. Hiện nay, mới có một số quy chuẩn về ATTT (mã hoá, chữ ký số) quy định cho ngành Ngân hàng, còn phần lớn là các văn bản chính sách. Do đó, cần thiết có tiêu chuẩn/quy chuẩn về ATTT cho ngành Ngân hàng Việt Nam để các TCTD triển khai tuân thủ đồng bộ và cũng như được theo dõi, đánh giá, cập nhật thường xuyên.
Hiện nay, Bộ TT&TT đang phối hợp với NHNN nghiên cứu, xây dựng và ban hành tiêu chuẩn, quy chuẩn ATTT áp dụng cho các đơn vị trong ngành Ngân hàng Việt Nam, dự kiến ban hành đầu năm 2019.
Một số định hướng nghiên cứu xây dựng tiêu chuẩn, quy chuẩn ATTT áp dụng ngành Ngân hàng Việt Nam bao gồm:
Về phạm vi áp dụng: Bước đầu phạm vi áp dụng cho các ngân hàng thương mại là các đơn vị đã ứng dụng CNTT trong phần lớn hoạt động nghiệp vụ, cung cấp nhiều dịch vụ ngân hàng trực tuyến cho khách hàng.
Về nội dung: Tham khảo xây dựng trên tiêu chuẩn quốc gia “TCVN 11930:2017 tiêu chuẩn về CNTT - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ” đã được Bộ KH&CN ban hành theo Quyết định 2582/QĐ-BKHCN ngày 25/9/2017. Tiêu chuẩn TCVN 11930:2017 đã được Bộ T&TT xây dựng tham khảo trên Tiêu chuẩn SP800-53 và ISO 27001:2013.
Tuy nhiên, để triển khai áp dụng cho các đơn vị trong ngành Ngân hàng, nơi có các hệ thống CNTT quan trọng, thì cần rà soát, nghiên cứu bổ sung thêm các yêu cầu chặt chẽ cho phù hợp. Đặc biệt chú ý các nội dung: Đảm bảo an toàn, bảo mật trong giao dịch trực tuyến; Xác thực khách hàng (eKYC); Bảo vệ thông tin khách hàng; Đảm bảo hoạt động liên tục.