Tiêu chuẩn Quốc gia TCVN ISO/IEC 27015:2017

Tiêu chuẩn TCVN ISO/IEC 27015:2017 cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) cho việc khởi tạo, triển khai, duy trì, và cải tiến vấn đề an toàn thông tin trong các tổ chức cung cấp dịch vụ tài chính.

Trang 1

TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27015:2017 ISO/IEC TR 27015:2012

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG

TIN CHO DỊCH VỤ TÀI CHÍNH

Information technology - Security techniques - Information security management guidelines for financial

services

Lời nói đầu

TCVN ISO/IEC 27015:2017 hoàn toàn tương đương ISO/IEC TR 27015:2012

TCVN ISO/IEC 27015:2017 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố

Lời giới thiệu

Sự phát triển không ngừng của công nghệ thông tin đã đem đến sự tin cậy ngày càng tăng của các tổ chức cung cấp dịch vụ tài chính vào các tài sản xử lý thông tin của họ Vì vậy, lãnh đạo, khách hàng và các nhà quản lý có những kỳ vọng ngày càng cao về việc bảo vệ an toàn thông tin hiệu quả cho các tài sản này và thông tin được xử lý

TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) và TCVN ISO/IEC 27002:2011 (ISO/IEC

27002:2005) đã đề cập đến việc quản lý và các biện pháp kiểm soát an toàn thông tin

Các tổ chức cung cấp dịch vụ tài chính có những nhu cầu an toàn thông tin riêng và những ràng buộc trong việc tổ chức hoặc thực hiện các giao dịch tài chính với các đối tác kinh doanh, điều này đòi hỏi mức độ tin cậy cao giữa các bên liên quan tham gia vào giao dịch

Tiêu chuẩn này cung cấp các hướng dẫn bổ sung cho các tổ chức cung cấp dịch vụ tài chính Cụ thể

là, tiêu chuẩn này cung cấp hướng dẫn bổ sung bên cạnh các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong TCVN ISO/IEC 27002:2011

Thuật ngữ “dịch vụ tài chính” cần được hiểu là các dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vốn có thể được cung cấp bởi các tổ chức tài chính

Bên cạnh việc triển khai TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011, khi sử dụng tiêu chuẩn này các tổ chức cung cấp dịch vụ tài chính có thể đạt được mức độ tin cậy cao hơn đối với khách hàng và các đối tác kinh doanh, đặc biệt là nếu có thể chứng minh được rằng họ đã sử dụng hướng dẫn chuyên ngành trong việc quản lý an toàn thông tin

Tiêu chuẩn này không dành cho mục đích chứng nhận

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN QUẢN LÝ AN TOÀN

THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH

Information technology - Security techniques - Information security management guidelines for

financial Services

1 Phạm vi áp dụng

Tiêu chuẩn này cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát

an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) cho việc khởi tạo, triển khai, duy trì, và cải tiến vấn đề an toàn thông tin trong các tổ chức cung cấp dịch vụ tài chính

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng tiêu chuẩn này Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi (nếu có)

ISO/IEC 27000:2009, Information technology - Security Techniques - Information security management

systems - Overview and vocabulary Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an toàn

Trang 2

thông tin - Tổng quan và từ vựng)

3 Thuật ngữ, định nghĩa và thuật ngữ viết tắt

3.1 Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa nêu trong tiêu chuẩn ISO/IEC 27000:2009 cùng với thuật ngữ và định nghĩa sau đây

3.1.1

Dịch vụ tài chính (financial services)

Các dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vốn

3.2 Ký hiệu và thuật ngữ viết tắt

ATM Automatic Teller Machines Máy rút tiền tự động

COBIT Control Objectives for Information

Technology Các mục tiêu kiểm soát công nghệ thông tin

PCI-DSS Payment Card Industry - Data Security

Standard Chuẩn bảo mật dữ liệu cho thẻ thanh toán

SST Self Service Terminal Thiết bị đầu cuối tự phục vụ

4 Cấu trúc tiêu chuẩn

Tiêu chuẩn này cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát

an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 từ điều 5 đến điều 15 dưới đây

5 Chính sách an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

6 Tổ chức đảm bảo an toàn thông tin

6.1 Tổ chức nội bộ

6.1.1 Cam kết của lãnh đạp về đảm bảo an toàn thông tin

6.1.2 Phối hợp bảo đảm an toàn thông tin

6.1.3 Phân định trách nhiệm đảm bảo an toàn thông tin

Áp dụng biện pháp kiểm soát 5.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cần xem xét vấn đề trong định nghĩa các yêu cầu về vai trò và trách nhiệm bảo đảm an toàn thông tin, và các khuyến nghị được tuyên bố bởi luật pháp và quy định áp dụng cho tổ chức trong các khuôn khổ ngành nghề

Tổ chức cung cấp dịch vụ tài chính cũng cần chú ý tới việc đảm bảo sự triển khai nội bộ các yêu cầu

và khuyến nghị liên quan đến vấn đề định nghĩa vai trò và trách nhiệm đảm bảo an toàn thông tin đã được tuyên bố bởi các đối tác quốc tế

Dưới đây là một số ví dụ về quy định thường được áp dụng bởi các tổ chức cung cấp dịch vụ tài chính Những quy định này cung cấp thông tin về việc phân bổ các vai trò và trách nhiệm đảm bảo an toàn thông tin:

a) PCI-DSS [1]:

1 PCI 12.5: Được giao trách nhiệm quản lý an toàn thông tin

b) COBIT [2]:

Trang 3

2 4.0 Định rõ tổ chức công nghệ thông tin và các mối quan hệ.

3 4.4 Các vai trò và trách nhiệm

4 4.6 Trách nhiệm đối với việc đảm bảo an toàn vật lý và logic

Vai trò và trách nhiệm về đảm bảo an toàn thông tin đã được phân định cần được xem xét thường xuyên để đảm bảo phù hợp với những thay đổi về yêu cầu và khuyến nghị được tuyên bố bởi luật pháp, quy định, khuôn khổ ngành nghề và các đối tác

6.1.4 Quy trình cấp phép cho phương tiện xử lý thông tin

6.1.5 Các thỏa thuận bảo mật

6.1.6 Liên lạc với những cơ quan/tổ chức có thẩm quyền

6.1.7 Liên lạc với các nhóm chuyên gia

Áp dụng biện pháp kiểm soát 5.1.7 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau: Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, thành viên của các nhóm hoặc các diễn đàn có quan tâm đặc biệt cần được cân nhắc như một kênh để:

a) bí mật chia sẻ và trao đổi thông tin về các hoạt động gian lận và tội phạm mạng xảy ra trong thời gian gần

6.1.8 Xem xét độc lập về an toàn thông tin

6.2 Các bên tham gia bên ngoài

6.2.1 Xác định các rủi ro liên quan đến các bên tham gia bên ngoài

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cung cấp dịch vụ tài chính cũng cần xem xét vấn đề sau khi xác định rủi ro liên quan tới truy cập của tổ chức bên ngoài:

a) Các yêu cầu về pháp lý và quy định, cùng với những cam kết hợp đồng có thể được áp dụng đối với bên tham gia bên ngoài có trụ sở tại nước ngoài và những cam kết hợp đồng có thể dẫn tới sự tiết lộ thông tin về khách hàng và thông tin tài chính với bên thứ ba (ví dụ như tổ chức mẹ, tổ chức liên kết,

cơ quan công quyền) Vấn đề này có thể gây ra lỗ hổng bảo mật nghiêm trọng với việc tiết lộ trái phép các thông tin này

6.2.2 Giải quyết an toàn khi làm việc với khách hàng

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, các nguyên tắc sau đây cần được xem xét để giải quyết an toàn khi giao dịch với khách hàng:

a) Tổ chức cần đưa ra chỉ dẫn an toàn thông tin để nâng cao nhận thức của khách hàng về các mối đe dọa (như Trojan, lừa đảo trực tuyến, các cuộc gọi giả mạo) rằng chúng có thể đem đến những rủi ro an toàn thông tin cho họ

Chỉ dẫn này cần hướng tới nhu cầu của khách hàng và mức nhu cầu trao đổi kỹ thuật hợp lý cần được lựa chọn để đảm bảo nâng cao nhận thức có hiệu quả đối với khách hàng

Tổ chức cần thường xuyên xem xét chỉ dẫn an toàn thông tin được cung cấp cho khách hàng nhằm đảm bảo tính đầy đủ và phù hợp với hồ sơ rủi ro của tổ chức, cũng như xử lý tốt những mối đe dọa an toàn thông tin mới

Trang 4

Dưới đây là các ví dụ điển hình về chỉ dẫn an toàn thông tin:

1 Áp dụng biện pháp kiểm soát phù hợp (ví dụ: bảo vệ mật khẩu, chống virus) đảm bảo an toàn cho máy tính cá nhân và các thiết bị khác được sử dụng để truy cập các dịch vụ ngân hàng trực tuyến

2 Không tiết lộ thông tin khách hàng và thông tin tài chính (ví dụ số thẻ thanh toán) khi không cần thiết hoặc trong trường hợp sự toàn vẹn thông tin khách hàng nghi ngờ có vấn đề

3 Cần đảm bảo an toàn khi hủy thẻ thanh toán đã hết hạn hoặc thẻ không sử dụng:

Dưới đây là một số ví dụ về khuyến nghị có thể được cung cấp cho khách hàng:

a Cắt bỏ chính xác và đúng cách thẻ thanh toán

b Sử dụng một máy cắt chuyên dụng cho việc phá hủy thẻ thanh toán

c Đảm bảo chắc chắn đã phá hủy Chip và giải từ của thẻ thanh toán

d Sử dụng những thùng rác đặt ở những nơi khác nhau để bỏ đi những miếng cắt của thẻ thanh toán

e Tránh vứt những miếng thẻ đã bị cắt vào các thùng tái chế, vì có thể có nguy cơ khôi phục lại thẻ tại các trung tâm tái chế

4 Khi thực hiện các hoạt động ngân hàng, cần có các biện pháp bảo vệ để đảm bảo những người không có quyền thì không được nhìn thấy hoặc tiếp xúc với thông tin xác thực người dùng, hoặc thông tin bảo mật khác về hệ thống thông tin

5 Áp dụng cơ chế xác thực an toàn, như sử dụng mật khẩu mạnh, mã PIN hoặc xác thực hai yếu tố khi hệ thống được trang bị sẵn

6 Tránh sử dụng mật khẩu giống nhau để truy cập vào các dịch vụ ngân hàng được cung cấp bởi các

tổ chức ngân hàng khác nhau

7 Tránh sử dụng mã PIN giống nhau cho tất cả các thẻ thanh toán

8 Nhắc nhở khách hàng rằng, tổ chức sẽ không bao giờ thực hiện việc thuyết phục để khách hàng cung cấp thông tin xác thực (ví dụ mật khẩu, mã PIN)

9 Thông báo cho khách hàng về việc phải thường xuyên theo dõi các giao dịch và số dư tài khoản

10 Cần thông báo kịp thời cho khách hàng về các bước cần thiết phải thực hiện khi phát hiện tài khoản đã bị hoặc có thể sẽ bị xâm hại

Để giảm thiểu nguy cơ trở thành mục tiêu tấn công của bọn tội phạm gian lận, về cơ bản tổ chức nên thường xuyên so sánh các chỉ dẫn cho khách hàng với các tổ chức cùng loại khác và với cộng đồng các nhà cung cấp dịch vụ tài chính

b) Tổ chức cần thông báo cho khách hàng:

1 Đầu mối chuyên tiếp nhận các khiếu nại, thắc mắc về an toàn thông tin, hoặc những vấn đề khác liên quan tới dịch vụ tài chính của tổ chức

2 Các hành động cần thực hiện khi thông tin xác thực người dùng của họ bị xâm hại (ví dụ mật khẩu,

mã PIN), thậm chí ngay cả khi khách hàng chính là người gây ra lỗi

3 Cách thức báo cáo sự kiện bất thường trong khi truy cập vào dịch vụ tài chính của tổ chức

c) Khi thiết lập hệ thống giao dịch trực tuyến (ví dụ ngân hàng trực tuyến) đến khách hàng, tổ chức cần cân nhắc những vấn đề sau:

1 Các điều khoản và điều kiện về sử dụng hệ thống giao dịch trực tuyến Cần đặc biệt lưu ý đến việc xác định sự thừa nhận pháp lý của các giao dịch được thực hiện

2 Công khai, minh bạch về vai trò và trách nhiệm cũng như nghĩa vụ pháp lý của tổ chức và khách hàng

3 Công khai, minh bạch về giám sát tính riêng tư và giám sát sử dụng, bao gồm cả giám sát gian lận trong hệ thống giao dịch trực tuyến thông qua các biện pháp bảo vệ lợi ích của cả khách hàng và tổ chức

4 Giao quyền truy cập dựa trên nguyên tắc sau đây:

a Hiểu khách hàng: nguyên tắc này được những nhà quản lý sử dụng để bày tỏ quan điểm của họ với

Trang 5

các cơ quan tài chính Những quan điểm này xuất phát từ sự nhìn nhận, hiểu biết về các hoạt động của khách hàng

b Cần biết: nguyên tắc này giới hạn quyền truy cập thông tin và các tài nguyên ở mức cần thiết và vừa

đủ để thực hiện hoạt động nào đó liên quan đến việc xử lý thông tin

c Kiểm soát kép: đây là nguyên tắc của quá trình duy trì tính toàn vẹn và chống sai lệch các chức năng

về yêu cầu ở hệ thống sao lưu (thuật toán, thời gian, tài nguyên, v.v ) các hành động cho đến khi kết thúc giao dịch nào đó

5 Thiết lập:

a Các phương thức xác thực mạnh đối người dùng (ví dụ: thiết bị OTP, chữ ký số người dùng)

b Các hệ thống xác minh nhằm đảm bảo tính hợp lệ của các ủy nhiệm người dùng và các thiết bị cần xác minh

c Xác minh mức độ thừa nhận của cơ quan chứng thực

6 Mỗi một khách hàng chỉ được gán một định danh duy nhất

7 Cần có cơ chế thông báo cho khách hàng một cách tự động (thường xuyên, liên tục hoặc theo yêu cầu) về toàn bộ các hoạt động của họ

Các thông tin khác

Mặc dù khách hàng thuộc nhiều ngành nghề hoặc các nhà cung cấp dịch vụ có thể được coi là các bên liên quan đến cùng một nghiệp vụ nhưng xét trên phương diện cung cấp dịch vụ tài chính, nhìn chung,

tổ chức phải có nhiệm vụ đưa ra chỉ dẫn cho khách hàng về các biện pháp bảo vệ phù hợp Nếu xảy ra

lỗ hổng hoặc mất mát thì tổ chức sẽ bị ảnh hưởng đến danh tiếng, uy tín và cả vấn đề tài chính

6.2.3 Giải quyết an toàn trong các thỏa thuận với bên thứ ba

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, các vấn đề sau cần được xem xét trong thỏa thuận với nhà cung ứng nếu phạm vi của thỏa thuận có liên quan đến các dịch vụ tài chính được tổ chức cung cấp:

a) Đầu mối liên lạc được ủy quyền để xử lý các yêu cầu của tổ chức

b) Điều khoản về quyền sở hữu hồ sơ được thiết lập bởi nhà cung ứng trong quá trình thực hiện các thỏa thuận với nhà cung ứng

c) Thông báo kịp thời về những thay đổi an toàn thông tin đối với các tài sản của nhà cung ứng hỗ trợ các dịch vụ tài chính của tổ chức

d) Đảm bảo rằng các thông tin của tổ chức luôn sẵn sàng cho nhà cung ứng sẽ được xử lý hoàn toàn theo các điều khoản và điều kiện đã được cụ thể hóa trong thỏa thuận

e) Đảm bảo rằng những thay đổi của các nhà thầu phụ hoặc những nơi lưu trữ thông tin đã được xử lý của tổ chức (ví dụ việc gia công ở nước ngoài) sẽ được thông báo cho tổ chức và có thể cần có sự chấp thuận trước đó của tổ chức, đặc biệt là khi có liên quan tới việc xử lý thông tin của tổ chức

f) Đảm bảo rằng các sự cố phát sinh trong quá trình nhà cung ứng thực hiện thỏa thuận sẽ được báo cáo tới tổ chức một cách kịp thời và nhà cung ứng sẽ thực hiện các cuộc điều tra phù hợp

g) Sự tham gia của các nhà cung ứng trong trường hợp xảy ra sự cố hoặc một sự việc bất thường có thể vượt quá giới hạn được tổ chức đưa ra Cần đảm bảo rằng phản ứng của nhà cung ứng trong trường hợp này sẽ chỉ trong giới hạn nhất định, ví dụ để giám sát hoặc hủy bỏ giao dịch tài chính đã được cung cấp giữa một vài tổ chức trong trường hợp có sự nghi ngờ về tính hợp pháp của giao dịch đó

h) Quyền để:

a đánh giá các nhà thầu phụ ở mức độ tương đương như đối với nhà cung ứng:

b Các nhà quản lý của tổ chức truy cập thông tin và các hoạt động của nhà cung ứng, các nhà thầu phụ của họ

Trang 6

7 Quản lý tài sản

7.1 Trách nhiệm đối với tài sản

7.1.1 Kiểm kê tài sản

Tổ chức cần lưu ý đảm bảo rằng:

a) Các tài sản cụ thể được sử dụng để cung cấp dịch vụ tài chính, chẳng hạn như các thiết bị thanh toán (ATM, SST, POS), thẻ thanh toán (ghi nợ, tín dụng, thuê bao trả trước) và các hệ thống liên ngân hàng được lưu trữ tại chỗ hoặc cách xa đều được kiểm kê tài sản

b) Việc kiểm kê các thẻ thanh toán, bao gồm cả thông tin trạng thái của thẻ (đã hết hiệu lực, đã bị thu hồi) được tiến hành bởi nhà cung ứng (ví dụ như một nhà cung cấp dịch vụ thanh toán chấp nhận các khoản thanh toán được thực hiện với các thẻ thanh toán được phát hành bởi tổ chức và đại diện của tổ chức), phải chính xác nhằm tránh việc chi trả cho những thẻ không hợp lệ

7.1.2 Quyền sở hữu tài sản

7.1.3 Sử dụng hợp lý tài sản

Tổ chức cung cấp dịch vụ tài chính cũng cần đảm bảo có các quy tắc về xử lý và hủy bỏ đồng phục hay bất kỳ vật gì được gắn nhãn, bao gồm cả các mẫu in sẵn để tránh bị sử dụng trái phép cho hoạt động gian lận hay tội phạm

7.2 Phân loại thông tin

8 Đảm bảo an toàn thông tin từ nguồn nhân lực

8.1 Trước khi tuyển dụng

8.1.1 Các vai trò và trách nhiệm

8.1.2 Thẩm tra

Tổ chức cung cấp dịch vụ tài chính cần lưu ý rằng bọn tội phạm có tổ chức có thể cài người vào các quy trình nghiệp vụ quan trọng

Đặc biệt, cần rất cẩn thận đối với các chức năng nhất định, ví dụ các chức năng bên dưới, thông qua việc đảm bảo đã thực hiện các cuộc kiểm tra chi tiết hơn về hình sự và lý lịch nếu pháp luật cho phép: a) Tất cả nhân viên có quyền truy cập tới thông tin khách hàng và thông tin tài chính (ví dụ: thẻ thanh toán, mật khẩu, mã PIN)

b) Người quản trị hệ thống chịu trách nhiệm xử lý thông tin khách hàng và thông tin tài chính

c) Người quản trị về bảo mật chịu trách nhiệm quản lý khóa mật mã phục vụ cho mục đích sau:

1 Truyền tải, lưu trữ thông tin tài chính và thông tin khách hàng

2 Xác thực các giao dịch tài chính

3 Mật khẩu khách hàng, mã PIN, hoặc quản lý xác thực hai yếu tố

8.1.3 Điều khoản và điều kiện tuyển dụng

Áp dụng biện pháp kiểm soát 7.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Trang 7

Hướng dẫn triển khai

Các điều khoản và điều kiện tuyển dụng cần phải kết hợp với chính sách nghỉ lễ áp dụng đối với tổ chức và nhân viên của các nhà cung ứng tham gia vào các hoạt động tài chính nhạy cảm

Xem như một biện pháp chống gian lận, chính sách nghỉ lễ cần đưa ra thời gian nghỉ làm tối thiểu (ví

dụ, 10 ngày làm việc liên tục trong một năm) để đảm bảo rằng các hoạt động tài chính nhạy cảm không phải lúc nào cũng được thực hiện bởi chỉ một người

8.2 Trong thời gian làm việc

8.2.1 Trách nhiệm của lãnh đạo

8.2.2 Nhận thức, giáo dục và đào tạo về an toàn thông tin

Tổ chức cung cấp dịch vụ tài chính cần xem xét các điều luật và quy định áp dụng cho tổ chức, cùng với các công bố từ nhà quản lý, yêu cầu các vấn đề cụ thể (chẳng hạn như việc sử dụng điện thoại để phổ biến các thông tin tài chính và thông tin khách hàng, các chương trình chống rửa tiền) được giải quyết trong các hoạt động đào tạo và nâng cao nhận thức về an toàn cho tổ chức

Việc nâng cao nhận thức về an toàn thông tin cũng cần giải quyết những chủ đề cụ thể như kỹ thuật tấn công khai thác mang tính xã hội, lừa đảo nhắm vào yếu tố con người, các hướng tấn công trực tuyến, hệ thống quẹt thẻ và phần mềm độc hại

8.3 Chấm dứt hoặc thay đổi công việc

9 Đảm bảo an toàn vật lý và môi trường

9.1 Các khu vực an toàn

9.1.1 Vành đai an toàn vật lý

9.1.2 Kiểm soát cổng truy cập vật lý

9.1.3 Bảo vệ các văn phòng, phòng làm việc và vật dụng

9.1.4 Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường

9.1.5 Làm việc trong khu vực an toàn

Tổ chức cần thận trọng để đảm bảo rằng việc sử dụng thiết bị di động cần đặc biệt hạn chế trong khu vực xử lý nghiệp vụ trọng yếu, đó là nơi xử lý và sẵn có các thông tin khách hàng và số thẻ thanh toán Điều này nhằm ngăn chặn việc ghi lại hoặc truyền trái phép các thông tin

9.1.6 Các khu vực truy cập tự do, phân phối và tập kết hàng

9.2 Đảm bảo an toàn trang thiết bị

9.2.1 Bố trí và bảo vệ thiết bị

Trang 8

Tổ chức cung cấp dịch vụ tài chính cẩn thận trọng trong việc bảo vệ các thiết bị thanh toán (ví dụ thiết

bị ATM, SST, POS) được đặt bên ngoài trụ sở của tổ chức, thông tin khách hàng, thông tin tài chính hoặc những tài sản vật chất khác trước nguy cơ bị thay đổi trái phép, bị mở ra và đánh cắp Các biện pháp đảm bảo an toàn được triển khai cần phải bao gồm, ví dụ, xây dựng hệ thống bảo vệ kiên cố, cơ chế tự động tiêu hủy, bảo vệ hệ thống cáp

9.2.2 Các tiện ích hỗ trợ

9.2.3 An toàn cho dây cáp

9.2.4 Bảo dưỡng thiết bị

Bên cạnh hướng dẫn trong tiêu chuẩn tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cũng cần xem xét việc thiết lập kiểm soát kép để bảo trì các thiết bị thanh toán (như ATM, SST, POS)

9.2.5 An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức

9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị

Tổ chức cần lưu ý các thông tin khách hàng, thông tài chính được lưu trữ trong các thành phần bộ nhớ (ATM, SST, đĩa cứng, bộ nhớ trong POS) của các thiết bị thanh toán phải bị hủy bỏ, xoá, ghi đè trước khi bị loại bỏ

9.2.7 Di rời tài sản

1 Quản lý truyền thông và vận hành

10.1 Các trách nhiệm và thủ tục vận hành

10.1.1 Các thủ tục vận hành được ghi thành văn bản

10.1.2 Quản lý thay đổi

10.1.3 Phân tách nhiệm vụ

Việc phân tách nhiệm vụ cần được áp dụng trong phạm vi các hệ thống giao dịch tài chính để đảm bảo không chỉ việc khởi tạo một sự kiện (chẳng hạn như một giao dịch tài chính) được tách khỏi việc xử lý hoặc việc ủy quyền của giao dịch, mà sự khởi tạo này còn được tách khỏi việc xác minh của nó

Tổ chức tối thiểu cần đảm bảo có kiểm soát kép trong quản lý giao dịch tài chính, tức là việc xử lý thông tin tài chính hoặc giao dịch tài chính và việc xác minh kết quả được thực hiện bởi những nhân viên khác nhau hoặc các quy trình tự động

10.1.4 Phân tách các chức năng phát triển, kiểm thử và vận hành

10.2 Quản lý chuyển giao dịch vụ của bên thứ ba

10.3 Lập kế hoạch và chấp nhận hệ thống

Trang 9

10.3.1 Quản lý năng lực hệ thống

Áp dụng biện pháp kiểm soát 10.3.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau: Hướng dẫn triển khai

Cần chú ý đảm bảo các yêu cầu về năng lực phải được xác định cho các tài sản đã được triển khai hoặc tài sản dự kiến được triển khai dưới đây:

a) Dịch vụ ngân hàng trực tuyến, trên cơ sở xem xét các yêu cầu nghiệp vụ sau:

1 Số lượng giao dịch hiện tại và dự kiến

2 Các khoảng thời gian giao dịch đột biến hiện tại và dự kiến, và lượng giao dịch cao nhất

3 Số lượng khách hàng hiện tại

4 Tăng trưởng dự kiến về số lượng khách hàng

5 Đảm bảo tính sẵn sàng của các dịch vụ ngân hàng trực tuyến ngay cả trong thời điểm có nhiều khách hàng truy cập

b) Các thiết bị thanh toán (như ATM, SST, POS) xử lý thông tin tài chính và thông tin khách hàng

10.3.2 Chấp nhận hệ thống

10.4 Bảo vệ chống lại mã độc hại và mã di động

10.4.1 Quản lý chống lại mã độc hại

Các kiểm tra bằng phần mềm phát hiện mã độc và phần mềm sửa chữa cần thực hiện trên cả các thiết

bị thanh toán (như ATM, SST, POS) có xử thông tin tài chính và thông tin khách hàng Những thiết bị này thường được coi là ít bị ảnh hưởng bởi mã độc

10.4.2 Quản lý các mã di động

10.5 Sao lưu

10.6 Quản lý an toàn mạng

10.7 Xử lý phương tiện

10.7.1 Quản lý các phương tiện có thể di dời

10.7.2 Loại bỏ phương tiện

Tổ chức cần phải chú ý đảm bảo các thủ tục loại bỏ một cách an toàn được thực hiện đối với toàn bộ các phương tiện xử lý thông tin khách hàng và thông tin tài chính (thông tin thẻ thanh toán, mật khẩu khách hàng, mã PIN) cùng với các tài sản cụ thể được sử dụng để sản xuất các thẻ thanh toán, chẳng hạn như dây băng

10.7.3 Các thủ tục xử lý thông tin

Tổ chức cần đảm bảo các thủ tục xử lý thông tin giải quyết việc xử lý, loại bỏ chứng từ, sổ ký quỹ, thẻ thanh toán (thẻ ghi nợ, tín dụng, trả trước) và các giấy tờ khác

Trang 10

10.7.4 An toàn cho các tài liệu hệ thống

10.8 Trao đổi thông tin

10.9 Các dịch vụ thương mại điện tử

10.9.1 Thương mại điện tử

10.9.2 Các giao dịch trực tuyến

10.9.3 Thông tin công khai

10.9.4 Dịch vụ ngân hàng trực tuyến

Biện pháp kiểm soát

Dịch vụ ngân hàng trực tuyến cần phải được bảo vệ trước những truy cập và sửa đổi trái phép nhằm ngăn chặn việc tiết lộ trái phép các thông tin khách hàng và thông tin tài chính, đồng thời ngăn chặn các giao dịch trái phép

Hướng dẫn triển khai

Tổ chức cần cân nhắc các vấn đề an toàn sau đây để bảo vệ dịch vụ ngân hàng trực tuyến:

a) Thông báo cho khách hàng sử dụng dịch vụ ngân hàng trực tuyến bằng một kênh và phương tiện thông tin được thiết lập từ trước Chẳng hạn như các sao kê tài khoản in sẵn trên giấy

b) Những giới hạn tài chính phòng ngừa, ví dụ: giới hạn giao dịch liên ngân hàng, giới hạn tùy ý khác c) Các ủy nhiệm thư riêng của người dùng cho chủ tài khoản kèm các đặc quyền liên quan thể hiện hiệu lực đã được xác định ban đầu của chữ ký

d) Tiết lộ hạn chế về thông tin khách hàng và thông tin tài chính, chẳng hạn như định danh người dùng, tên và số tài khoản, ngoại trừ cho các mục đích nghiệp vụ hợp lệ và các hành động được khách hàng thực hiện

e) Chấp thuận các hành động của khách hàng chỉ nếu họ đã được xem xét trong cùng một phiên giao dịch mà không xảy ra gián đoạn hoặc mất kết nối Nếu có gián đoạn hoặc mất kết nối trong phiên giao dịch của người dùng thì các yêu cầu xác thực người dùng cần được áp dụng lại cho khách hàng có truy cập vào các dịch vụ ngân hàng trực tuyến

Các thông tin khác:

Hệ thống thông tin lưu trữ giao diện web cho khách hàng trong việc sử dụng dịch vụ ngân hàng trực tuyến không cần phải lưu trữ, xử lý các thông tin khách hàng và thông tin tài chính trên đó để giảm bớt rủi ro trong trường hợp hệ thống bị thỏa hiệp

10.10 Giám sát

10.10.1 Ghi nhật ký đánh giá

10.10.2 Giám sát sử dụng hệ thống

Ngoài các nội dung được nêu trong TCVN ISO/IEC 27002:2011 về các hoạt động giám sát thiết bị cá nhân, cần xem xét các nội dung sau:

a) Các sự kiện bất thường liên quan đến thông tin khách hàng và thông tin tài chính, cùng với các giao dịch được thực hiện bởi khách hàng, như:

Định dạng
Số trang	17
Dung lượng	103,05 KB