Mục 6 Chương 2 Thông tư 01/2011/TT-NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
MỤC 6. CÁC BIỆN PHÁP QUẢN LÝ TRUY CẬP
Điều 22. Yêu cầu nghiệp vụ đối với kiểm soát truy cập
1. Xây dựng và thực hiện các quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, đảm bảo đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn, bảo mật. Quy định về quản lý truy cập bao gồm các nội dung cơ bản sau:
a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của người sử dụng;
b) Giới hạn và kiểm soát các truy cập đặc quyền;
c) Quản lý, cấp phát mật khẩu;
d) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng.
2. Quy định về quản lý mật khẩu phải đáp ứng các yêu cầu sau:
a) Mật khẩu phải có độ dài sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ và các ký tự đặc biệt khác nếu hệ thống cho phép. Các yêu cầu mật khẩu hợp lệ phải được kiểm tra tự động khi thiết lập mật khẩu;
b) Các mật khẩu mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi ngay khi đưa vào sử dụng;
c) Phần mềm quản lý mật khẩu phải có các chức năng: Thông báo người sử dụng thay đổi mật khẩu sắp hết hạn sử dụng; hủy hiệu lực của mật khẩu hết hạn sử dụng; cho phép thay đổi ngay mật khẩu bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; ngăn chặn việc sử dụng lại mật khẩu cũ trong một khoảng thời gian nhất định.
3. Quy định trách nhiệm người sử dụng khi được cấp quyền truy cập: Sử dụng mật khẩu đúng quy định, giữ bí mật mật khẩu, thoát khỏi hệ thống khi không làm việc trên hệ thống hoặc tạm thời không làm việc trên hệ thống.
Điều 23. Quản lý truy cập mạng
1. Ban hành các quy định sử dụng mạng và các dịch vụ mạng; các thủ tục cấp phép, xóa bỏ quyền kết nối đến mạng và dịch vụ mạng; những cách thức, phương tiện truy cập mạng, dịch vụ mạng. Trong đó quy định rõ:
a) Các mạng và dịch vụ mạng được phép sử dụng;
b) Các điều kiện để được kết nối mạng.
2. Sử dụng các biện pháp thích hợp để xác thực người sử dụng kết nối từ bên ngoài vào mạng nội bộ của đơn vị đảm bảo an toàn, bảo mật.
3. Kiểm soát truy cập các cổng dùng để cấu hình và quản trị thiết bị mạng.
4. Chia tách hệ thống mạng thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích sử dụng và hệ thống thông tin.
Điều 24. Kiểm soát truy cập hệ điều hành
1. Có quy trình để kiểm soát truy cập hệ điều hành; quy định quản lý mật khẩu truy cập hệ điều hành an toàn, bảo mật.
2. Mỗi người sử dụng hệ điều hành phải có một định danh duy nhất và được xác thực, nhận dạng, lưu dấu vết khi truy cập hệ điều hành.
3. Sử dụng thêm các phương pháp xác thực khác như sinh trắc học hoặc thẻ đối với các máy chủ quan trọng ngoài việc xác thực bằng mật khẩu.
4. Quy định giới hạn và kiểm soát chặt chẽ những tiện ích hệ thống có khả năng ảnh hưởng đến hệ thống và chương trình ứng dụng khác.
5. Tự động ngắt phiên làm việc sau một thời gian không sử dụng, nhằm ngăn chặn sự truy cập trái phép.
6. Quy định giới hạn thời gian kết nối với những ứng dụng có độ rủi ro cao.
Điều 25. Kiểm soát truy cập thông tin và ứng dụng
1. Quản lý và phân quyền truy cập thông tin và ứng dụng phù hợp với chức năng nhiệm vụ của người sử dụng:
a) Phân quyền truy cập đến từng thư mục, chức năng của chương trình;
b) Phân quyền đọc, ghi, xóa, thực thi đối với thông tin, dữ liệu, chương trình.
2. Các hệ thống thông tin quan trọng phải đặt trong môi trường mạng máy tính riêng. Nếu các hệ thống thông tin cùng sử dụng nguồn tài nguyên chung thì phải được người quản trị hệ thống chấp nhận.
Thông tư 01/2011/TT-NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
- Số hiệu: 01/2011/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 21/02/2011
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Toàn Thắng
- Ngày công báo: 10/03/2011
- Số công báo: Từ số 119 đến số 120
- Ngày hiệu lực: 07/04/2011
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ
- Điều 3. Nguyên tắc chung
- Điều 4. Quy chế an toàn, bảo mật hệ thống CNTT
- Điều 5. Quản lý an toàn, bảo mật CNTT trong nội bộ đơn vị
- Điều 6. Quản lý an toàn, bảo mật CNTT của đơn vị đối với bên thứ ba
- Điều 13. Quy trình vận hành
- Điều 14. Quản lý các dịch vụ do bên thứ ba cung cấp
- Điều 15. Quản lý việc lập kế hoạch và chấp nhận hệ thống CNTT
- Điều 16. Sao lưu dự phòng
- Điều 17. Quản lý về an toàn, bảo mật mạng
- Điều 18. Trao đổi thông tin
- Điều 19. Các dịch vụ thương mại điện tử
- Điều 20. Giám sát và ghi nhật ký hoạt động của hệ thống CNTT
- Điều 21. Phòng chống vi rút và phần mềm độc hại
- Điều 22. Yêu cầu nghiệp vụ đối với kiểm soát truy cập
- Điều 23. Quản lý truy cập mạng
- Điều 24. Kiểm soát truy cập hệ điều hành
- Điều 25. Kiểm soát truy cập thông tin và ứng dụng