Yêu cầu về kiểm soát truy cập trong hoạt động ngân hàng?

Theo Điều 28 Thông tư 09/2020/TT-NHNN (Có hiệu lực từ 1/1/2021) quy định về yêu cầu đối với kiểm soát truy cập như sau:

"1. Tổ chức quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, các thiết bị, công cụ sử dụng để truy cập hệ thống thông tin bảo đảm đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn thông tin, bao gồm các nội dung cơ bản sau:

a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của người sử dụng;

b) Mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng;

c) Đối với tài khoản để các ứng dụng, dịch vụ kết nối tự động, phải được giao cho một cá nhân quản lý và được giới hạn quyền truy cập theo mục đích sử dụng; cá nhân được giao quản lý không được phép sử dụng tài khoản này cho các mục đích khác;

d) Đối với hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng phải giới hạn và kiểm soát các truy cập sử dụng tài khoản có quyền quản trị: (i) Thiết lập cơ chế kiểm soát việc tạo tài khoản có quyền quản trị để bảo đảm không một tài khoản nào sử dụng được khi chưa được cấp có thẩm quyền phê duyệt; (ii) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị; (iii) Việc sử dụng tài khoản có quyền quản trị phải được giới hạn trong khoảng thời gian đủ để thực hiện công việc và phải được thu hồi ngay sau khi kết thúc công việc; (iv) Việc kết nối quản trị hệ thống phải qua các máy chủ trung gian hoặc các hệ thống quản trị tập trung, không thực hiện trực tiếp từ máy trạm của người quản trị;

d) Quản lý, cấp phát mã khóa bí mật truy cập hệ thống thông tin;

e) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng;

g) Yêu cầu, điều kiện an toàn thông tin đối với các thiết bị, công cụ sử dụng để truy cập.

2. Tổ chức xây dựng quy định về quản lý mã khóa bí mật đáp ứng các yêu cầu sau:

a) Mã khóa bí mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ hoa, chữ thường và các ký tự đặc biệt khác nếu hệ thống cho phép; các yêu cầu mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập mã khóa bí mật;

b) Các mã khóa bí mật mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm phải được thay đổi trước khi đưa vào sử dụng;

c) Phần mềm quản lý mã khóa bí mật phải có các chức năng: (i) Yêu cầu thay đổi mã khóa bí mật lần đầu đăng nhập (không áp dụng với mã khóa bí mật sử dụng một lần); (ii) Thông báo người sử dụng thay đổi mã khóa bí mật sắp hết hạn sử dụng; (iii) Hủy hiệu lực của mã khóa bí mật hết hạn sử dụng; (iv) Hủy hiệu lực của mã khóa bí mật khi người sử dụng nhập sai quá số lần cho phép; (v) Cho phép thay đổi ngay mã khóa bí mật bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; (vi) Ngăn chặn việc sử dụng lại mã khóa bí mật cũ trong một khoảng thời gian nhất định.

3. Tổ chức xây dựng quy định về trách nhiệm của người sử dụng khi được cấp quyền truy cập bao gồm các nội dung: sử dụng mã khóa bí mật đúng quy định; giữ bí mật mã khóa bí mật; sử dụng thiết bị, công cụ để truy cập; thoát khỏi hệ thống khi không làm việc hoặc tạm thời không làm việc trên hệ thống."

Trên đây là nội dung về yêu cầu đối với kiểm soát truy cập trong hoạt động ngân hàng theo quy định mới nhất.

Trân trọng!