Quyết định 1377/QĐ-NHNN 2022 Đề án Nâng cao hiệu quả Mạng lưới ứng cứu sự cố an ninh CNTT ngành Ngân hàng

QUYẾT ĐỊNH

Phê duyệt Đề án “Nâng cao hiệu quả hoạt động Mạng lưới ứng cứu sự cố
an ninh công nghệ thông tin ngành Ngân hàng”

^{__________________________}

THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC

Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16/06/2010;

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 16/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ Ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ trưởng Bộ Thông tin và Truyền thông về việc Quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;

Căn cứ Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin.

QUYẾT ĐỊNH:

Điều 1. Phê duyệt Đề án “Nâng cao hiệu quả hoạt động Mạng lưới ứng cứu sự cố an ninh công nghệ thông tin ngành Ngân hàng” (sau đây gọi là Đề án) với những nội dung chủ yếu sau đây:

I. Quan điểm

- Đảm bảo an toàn thông tin (ATTT) là trách nhiệm của mọi tổ chức, cá nhân trong ngành Ngân hàng để đảm bảo phát triển bền vững của ngành Ngân hàng. Thủ trưởng các đơn vị trong toàn ngành Ngân hàng phải quan tâm chỉ đạo công tác bảo đảm ATTT và chịu trách nhiệm trước Thống đốc NHNN nếu để xảy ra sự cố mất ATTT tại đơn vị mình quản lý.

- Mạng lưới là nơi tập trung, huy động nguồn lực của ngành Ngân hàng nhằm ứng phó với các sự cố ATTT có thể xảy ra tại các đơn vị trong Ngành theo một cách nhanh nhất, hiệu quả nhất.

II. Mục tiêu

1. Mục tiêu tổng quát:

a) Mạng lưới được củng cố, mở rộng và hoạt động đạt hiệu quả cao, thể hiện rõ vai trò trong việc phòng ngừa, giảm thiểu và hỗ trợ xử lý, ứng cứu các sự cố ATTT cho các thành viên.

b) Nâng cao tính chủ động, tích cực tham gia các hoạt động Mạng lưới của các thành viên.

2. Mục tiêu cụ thể:

a) Cơ cấu tổ chức của Mạng lưới (Ban điều hành, thành viên, các đội hỗ trợ) được củng cố, hoàn thiện. Thành phần là thành viên bắt buộc được mở rộng và kết nạp các thành viên tự nguyện tham gia Mạng lưới.

b) Tiếp tục hoàn thiện các chính sách, quy chế và quy trình tạo điều kiện cho hoạt động Mạng lưới. Có chính sách khen thưởng đối với các thành viên tích cực tham gia hoạt động Mạng lưới và chính sách xử lý đối với các hành vi vi phạm các quy định liên quan đến hoạt động Mạng lưới.

c) Có cơ chế tài chính rõ ràng và bảo đảm kinh phí để tổ chức các hoạt động của Mạng lưới. Các thành viên xây dựng kinh phí hằng năm cho việc tham gia các hoạt động Mạng lưới

d) Huy động nguồn lực của các thành viên Mạng lưới và các cơ quan, tổ chức bên ngoài đóng góp vào hoạt động của Mạng lưới. Tối thiểu hằng năm có 1-2 thành viên làm đầu mối tổ chức các hoạt động như diễn tập, đào tạo, hội thảo cho các thành viên Mạng lưới tham gia.

đ) Hoạt động của Mạng lưới tăng cả về số lượng và chất lượng:

+ Số lượng các đợt diễn tập hằng năm duy trì tối thiểu 2-3 đợt; kịch bản diễn tập sát với thực tế.

+ Xây dựng được một số hoạt động mới bên cạnh các hoạt động truyền thống để tăng cường hoạt động và tính hiệu quả của Mạng lưới.

e) Trang bị nền tảng công nghệ, phương tiện kỹ thuật cho hoạt động của Mạng lưới.

g) Nâng cao trình độ, kỹ năng ứng cứu sự cố cho các thành viên và cung cấp thông tin cảnh báo sớm về các rủi ro ATTT để các thành viên có thể chủ động xây dựng kịch bản và ứng cứu sự cố một cách chuyên nghiệp.

h) Các thành viên tham gia Mạng lưới được cung cấp chia sẻ kịp thời thông tin về các nguy cơ, rủi ro mất ATTT; được hỗ trợ điều phối ứng cứu, xử lý các sự cố ATTT và được bảo mật thông tin về sự cố.

III. Các nhiệm vụ và giải pháp

1. Củng cố, hoàn thiện cơ cấu tổ chức Mạng lưới

a) Rà soát, kiện toàn Ban điều hành Mạng lưới, thay thế và bổ sung các nhân sự đảm bảo Ban điều hành có đủ nguồn lực để tổ chức triển khai các hoạt động của Mạng lưới.

b) Nghiên cứu, sửa đổi bổ sung quy định về thành viên bắt buộc tham gia Mạng lưới bao gồm các tổ chức cung ứng dịch vụ trung gian thanh toán quy định tại Thông 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.

c) Mở rộng kết nạp các thành viên tự nguyện là các đối tác cung cấp các giải pháp an toàn thông tin để tăng cường nguồn lực ứng cứu sự cố cho Mạng lưới.

d) Thành lập đội phản ứng nhanh của Mạng lưới: bao gồm đầu mối Lãnh đạo phụ trách ATTT và đầu mối kỹ thuật liên lạc của các thành viên để triển khai nhanh chóng công tác thông tin, báo cáo và xử lý các sự cố ATTT có thể xảy ra tại một hoặc nhiều thành viên.

đ) Xây dựng cơ chế tài chính đảm bảo kinh phí cho tổ chức hoạt động Mạng lưới:

+ Nguồn đóng góp từ các thành viên tham gia các hoạt động đào tạo, diễn tập, và xử lý ứng cứu sự cố tại các thành viên.

+ Nguồn kinh phí từ cơ quan quản lý cho các hoạt động quản lý nhà nước liên quan đến Mạng lưới: xây dựng văn bản chính sách, chỉ đạo, hướng dẫn; công tác điều phối, trao đổi thông tin; tổng kết, sơ kết hoạt động của Mạng lưới.

+ Nguồn huy động hỗ trợ từ các thành viên hoặc các tổ chức khác (các nhà cung cấp dịch vụ, giải pháp công nghệ thông tin, an toàn thông tin) cho các sự kiện hội thảo, cập nhật kiến thức, công nghệ và các hoạt động khác (nếu có).

e) Rà soát, cập nhật Quy chế hoạt động của Mạng lưới bao gồm các nội dung về tổ chức, hoạt động và kinh phí nêu trên để thống nhất tổ chức triển khai.

2. Xây dựng và tổ chức thực hiện hiệu quả Kế hoạch hoạt động hằng năm của Mạng lưới

a) Hằng năm, Đơn vị điều phối thực hiện khảo sát các thành viên Mạng lưới về nhu cầu đào tạo, diễn tập, chia sẻ thông tin và các hoạt động khác để tổng hợp, xây dựng các chương trình, kế hoạch hoạt động của Mạng lưới, lấy ý kiến từ các thành viên, hoàn thiện, trình Thống đốc NHNN phê duyệt. Kế hoạch hoạt động Mạng lưới bao gồm 2 nhóm hoạt động: (i) Các hoạt động bắt buộc thành viên phải tham gia; (ii) các hoạt động thành viên được tùy chọn tham gia.

b) Các thành viên Mạng lưới căn cứ Kế hoạch hoạt động hằng năm của Mạng lưới, xây dựng kế hoạch thực hiện bao gồm cả chi phí.

c) Ban điều hành Mạng lưới và Đơn vị điều phối thường xuyên giám sát, đôn đốc, chỉ đạo các thành viên triển khai hoàn thành nhiệm vụ được phân công theo đúng Kế hoạch đã được phê duyệt; thực hiện đánh giá, tổng kết việc thực hiện Kế hoạch hoạt động hằng năm.

3. Bổ sung trang thiết bị, công cụ phục vụ cho hoạt động của Mạng lưới

a) Bổ sung một số trang thiết bị, công cụ để phục vụ công tác trao đổi, tiếp nhận thông tin và xử lý sự cố:

- Xây dựng các kênh thông tin liên lạc, trao đổi thông tin giữa các thành viên Mạng lưới bên cạnh phương thức trao đổi qua email hiện có. Cụ thể:

+ Xây dựng website hoặc chuyên mục hoạt động của Mạng lưới trên Cổng Thông tin điện tử của NHNN: đăng tải các văn bản, tài liệu, hướng dẫn công tác ứng cứu sự cố.

+ Thiết lập kênh liên lạc qua các dịch vụ OTT để các nhóm kỹ thuật trao đổi về các vấn đề kỹ thuật liên quan đến các sự cố, các lỗ hổng bảo mật hoặc phân tích các mã độc,...

- Xây dựng hệ thống nền tảng tri thức về các mối đe dọa ATTT (Threat Intelligence Platform - TIP) có chức năng thu thập, phân tích các sự kiện ATTT, các thông tin về mối đe dọa ATTT được chia sẻ từ các thành viên trong quá trình xử lý sự cố ATTT và chia sẻ thông tin về các nguy cơ, rủi ro, mối đe dọa, sự cố ATTT cho các thành viên.

b) Bổ sung một số trang thiết bị, công cụ để phục vụ công tác đào tạo, diễn tập ứng cứu sự cố:

- Nghiên cứu xây dựng hệ thống thao trường mạng dùng chung của ngành Ngân hàng có thể giả lập môi trường hệ thống thông tin thật phục vụ hoạt động đào tạo, diễn tập ứng cứu sự cố.

- Xây dựng hệ thống đào tạo, diễn tập online để các thành viên có thể tham gia từ xa và chủ động thời gian diễn tập.

c) Nghiên cứu triển khai phương án thuê, mua tập trung các dịch vụ chất lượng cao của các tổ chức an ninh mạng như: thông tin cảnh báo về các cuộc tấn công sắp tới; thông tin về dữ liệu lột lọt của khách hàng, ngân hàng bị giao bán trên thị trường ngầm.... trên cơ sở đóng góp, chia sẻ chi phí của các thành viên Mạng lưới.

4. Huy động nguồn lực của các thành viên vào hoạt động của Mạng lưới

a) Xây dựng cơ chế luân phiên giao các thành viên (không chỉ là Cục CNTT - NHNN) làm đầu mối triển khai một số hoạt động của Mạng lưới. Trong giai đoạn đầu áp dụng cho hoạt động diễn tập hằng năm.

b) Thành lập các nhóm chuyên gia theo từng loại chuyên môn, nghiệp vụ cụ thể (ví dụ như nhóm điều tra phân tích mã độc, nhóm ứng cứu sự cố ứng dụng web, nhóm ứng cứu sự cố cơ sở dữ liệu,...) để triển khai công tác đào tạo, tập huấn nội bộ trong Mạng lưới và hỗ trợ điều tra, ứng cứu sự cố cho các thành viên.

c) Xây dựng, bổ sung tiêu chí đánh giá việc tham gia các hoạt động của Mạng lưới trong đánh giá xếp hạng mức độ ứng dụng CNTT và bảo đảm ATTT của các TCTD.

5. Huy động nguồn lực bên ngoài phục vụ hoạt động của Mạng lưới

a) Xây dựng cơ chế phối hợp và thiết lập đầu mối kênh liên lạc, trao đổi thông tin với các cơ quan chức năng Nhà nước quản lý về an toàn, an ninh mạng như Cục An toàn thông tin - Bộ Thông tin và truyền thông; Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an; Bộ Tư lệnh Tác chiến không gian mạng - Bộ Quốc phòng để tiếp nhận các thông tin cảnh báo về các nguy cơ rủi ro, sự cố ATTT và hỗ trợ khi xảy ra sự cố tại các thành viên Mạng lưới.

b) Đề nghị các hãng công nghệ cung cấp các giải pháp ATTT cho các đơn vị trong ngành Ngân hàng thường xuyên có các hoạt động hỗ trợ Mạng lưới thông qua các hoạt động cụ thể như: tổ chức các chương trình hội thảo, khóa đào tạo, cập nhật công nghệ cho các thành viên; tham gia ứng cứu các sự cố ATTT....

c) Tăng cường hợp tác quốc tế, tham gia các diễn đàn trong khu vực và quốc tế về bảo đảm ATTT để trao đổi thông tin nắm bắt sớm các sự cố, nguy cơ rủi ro ATTT phổ biến cho các thành viên mạng lưới kịp thời triển khai các phương án xử lý.

d) Xây dựng cổng Thông tin tiếp nhận các thông báo về các lỗ hổng bảo mật các hệ thống ngân hàng điện tử của các thành viên để huy động nguồn lực của các cá nhân, tổ chức trong và ngoài Ngành, trong nước và quốc tế (tương tự các chương trình “Săn lỗi nhận tiền thưởng” (Bug Bounty) của các hãng công nghệ trên thế giới), Các thành viên Mạng lưới có nhu cầu kiểm tra, dò quét lỗ hổng bảo mật hệ thống ngân hàng điện tử đăng ký tham gia chương trình và đóng góp kinh phí để trao thưởng cho các cá nhân, tổ chức phát hiện được các lỗ hổng bảo mật trên hệ thống của mình.

6. Nghiên cứu đề xuất sửa đổi các văn bản quy phạm pháp luật tạo điều kiện cho hoạt động của Mạng lưới

a) Nghiên cứu, đề xuất sửa đổi, bổ sung Nghị định về xử phạt vi phạm hành chính trong lĩnh vực ngân hàng, bổ sung các hành vi vi phạm các quy định về ATTT, bao gồm các quy định về hoạt động ứng cứu sự cố ATTT.

b) Nghiên cứu bổ sung tiêu chí trong đánh giá xếp hạng đối với TCTD về tuân thủ các quy định về báo cáo sự cố ATTT tại Thông tư 52/2018/TT-NHNN ngày 31/12/2018 của Thống đốc NHNN quy định xếp hạng TCTD, chi nhánh ngân hàng nước ngoài (và các văn bản sửa đổi, bổ sung),

c) Đề xuất các hình thức khen thưởng đối với các thành viên tích cực tham gia và đóng góp vào các hoạt động Mạng lưới.

7. Giám sát và báo cáo triển khai các hoạt động của Mạng lưới

a) Đơn vị điều phối thường xuyên giám sát, đôn đốc và đánh giá việc tham gia của các thành viên vào các hoạt động của Mạng lưới, đặc biệt là trong các công tác: báo cáo sự cố ATTT; tiếp nhận và xử lý các cảnh báo ATTT; tham gia các hoạt động diễn tập, đào tạo về ATTT.

b) Đơn vị điều phối thực hiện sơ kết (hàng quý), tổng kết (hằng năm) việc triển khai Kế hoạch hoạt động hằng năm của Mạng lưới; báo cáo Ban điều hành, Thống đốc NHNN về tình hình triển khai Kế hoạch; đồng thời gửi báo cáo cho các thành viên Mạng lưới để nắm bắt tình hình tham gia hoạt động Mạng lưới của các tổ chức, cá nhân thuộc đơn vị, nắm bắt được chất lượng nguồn nhân lực qua các hoạt động diễn tập để quan tâm ưu tiên công tác đào tạo, cập nhật kỹ năng, trình độ cho các cán bộ tham gia công tác ứng cứu sự cố.

IV. Tổ chức thực hiện

1. Ban điều hành Mạng lưới có trách nhiệm tổ chức triển khai Đề án; phân công nhiệm vụ cụ thể về tổ chức thực hiện hoạt động của Mạng lưới cho các thành viên Ban điều hành Mạng lưới.

2. Cục CNTT là đơn vị thường trực và điều phối hoạt động Mạng lưới, có trách nhiệm theo dõi, đôn đốc các đơn vị triển khai và định kỳ báo cáo Thống đốc NHNN kết quả triển khai Đề án.

3. Vụ Tài chính Kế toán: bố trí nguồn kinh phí để triển khai Đề án đối với những nhiệm vụ, giải pháp thuộc nhiệm vụ quản lý nhà nước của NHNN trong hoạt động của Mạng lưới.

4. Các đơn vị NHNN có liên quan: phối hợp triển khai theo phân công tại Phụ lục 01.

5. Các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán:

a) Thủ trưởng các đơn vị trực tiếp chỉ đạo tham gia tích cực vào các hoạt động của Mạng lưới.

b) Bố trí kinh phí tham gia các hoạt động của Mạng lưới.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký ban hành.

Điều 3. Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Tổng Giám đốc/Giám đốc các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán chịu trách nhiệm thi hành Quyết định này./.

PHỤ LỤC 01: KẾ HOẠCH TRIỂN KHAI ĐỀ ÁN

(Ban hành kèm Quyết định số 1377/QĐ-NHNN
ngày 02 tháng 8 năm 2022 của Thống đốc Ngân hàng Nhà nước)