ตามร่างดังกล่าว ระบบ Online Banking จะต้องปฏิบัติตามข้อกำหนดเกี่ยวกับการประกันการรักษาความปลอดภัยระบบสารสนเทศในระดับ 3 ขึ้นไป ตามบทบัญญัติของกฎหมายว่าด้วยการประกันการรักษาความปลอดภัยระบบสารสนเทศในระดับ และข้อกำหนดของธนาคารรัฐว่าด้วยการรักษาความปลอดภัยระบบสารสนเทศในกิจกรรมการธนาคาร
รับประกันความลับและความสมบูรณ์ของข้อมูลลูกค้า ให้แน่ใจว่าระบบ Online Banking พร้อมให้บริการอย่างต่อเนื่อง
ธุรกรรมของลูกค้าจะได้รับการประเมินระดับความเสี่ยงขั้นต่ำตามกลุ่มลูกค้าแต่ละกลุ่ม ประเภทธุรกรรม ขีดจำกัดธุรกรรม (ถ้ามี) และจัดทำวิธีการตรวจสอบยืนยันธุรกรรมที่เหมาะสมให้ลูกค้าเลือกใช้ตามข้อกำหนดดังต่อไปนี้: ใช้การตรวจสอบยืนยันหลายปัจจัยเมื่อเปลี่ยนแปลงข้อมูลระบุตัวตนของลูกค้า; ใช้การตรวจสอบยืนยันวิธีการสำหรับแต่ละกลุ่มลูกค้า ประเภทธุรกรรม ขีดจำกัดธุรกรรมตามข้อกำหนด; สำหรับธุรกรรมหลายขั้นตอน ต้องใช้การตรวจสอบยืนยันอย่างน้อยหนึ่งขั้นตอนในขั้นตอนการอนุมัติขั้นสุดท้าย
ดำเนินการตรวจสอบความปลอดภัยและประเมินระบบธนาคารออนไลน์เป็นประจำทุกปี
ระบุความเสี่ยง ความเสี่ยงที่อาจเกิดขึ้น และระบุสาเหตุของความเสี่ยงอย่างสม่ำเสมอ ดำเนินการป้องกัน ควบคุม และจัดการความเสี่ยงในการให้บริการธนาคารทางอินเทอร์เน็ตอย่างทันท่วงที
อุปกรณ์โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่ให้บริการธนาคารออนไลน์จะต้องมีลิขสิทธิ์ แหล่งที่มาที่ชัดเจน สำหรับอุปกรณ์ที่ใกล้จะสิ้นสุดวงจรชีวิตผลิตภัณฑ์และจะไม่ได้รับการสนับสนุนจากผู้ผลิตอีกต่อไป อุปกรณ์จะต้องมีแผนการอัปเกรดและเปลี่ยนทดแทนตามประกาศของผู้ผลิต เพื่อให้แน่ใจว่าอุปกรณ์โครงสร้างพื้นฐานสามารถติดตั้งซอฟต์แวร์เวอร์ชันใหม่ได้
มีไฟร์วอลล์ ระบบตรวจสอบ และการแจ้งเตือนพฤติกรรมที่ผิดปกติ
หน่วยงานจะต้องจัดตั้งระบบเครือข่าย การสื่อสาร และระบบรักษาความปลอดภัยที่เป็นไปตามข้อกำหนดขั้นต่ำดังต่อไปนี้:
มีโซลูชั่นด้านความปลอดภัยขั้นต่ำ ได้แก่ ไฟร์วอลล์แอพพลิเคชั่น ไฟร์วอลล์ฐานข้อมูล ระบบตรวจสอบและเตือนแบบรวมศูนย์สำหรับการโจมตีหรือพฤติกรรมที่ผิดปกติ
ข้อมูลของลูกค้าไม่ได้ถูกเก็บไว้ในพาร์ติชั่นการเชื่อมต่ออินเตอร์เน็ต และพาร์ติชั่น DMZ (พาร์ติชั่นตัวกลางระหว่างเครือข่ายภายในและอินเตอร์เน็ต)
กำหนดนโยบายการจำกัดบริการและเกตเวย์ที่เชื่อมต่อกับระบบ Online Banking
การเชื่อมต่อจากภายนอกเครือข่ายภายในสู่ระบบ Online Banking เพื่อการบริหารจัดการสามารถทำได้เฉพาะในกรณีที่ไม่สามารถเชื่อมต่อจากเครือข่ายภายในได้และต้องปลอดภัย โดยต้องเป็นไปตามข้อกำหนดอย่างน้อยดังต่อไปนี้: จะต้องได้รับการอนุมัติจากผู้ที่ได้รับอนุญาตหลังจากตรวจสอบวัตถุประสงค์และวิธีการเชื่อมต่อแล้ว; ต้องมีแผนสำหรับการจัดการการเข้าถึง การบริหารจัดการระบบระยะไกลที่ปลอดภัย เช่น การใช้เครือข่ายส่วนตัวเสมือนหรือเทียบเท่า; ต้องติดตั้งซอฟต์แวร์ด้านความปลอดภัยบนอุปกรณ์เชื่อมต่อ; ต้องใช้มาตรการการตรวจสอบปัจจัยหลายประการเมื่อล็อกอินเข้าระบบ; ใช้โปรโตคอลการสื่อสารที่เข้ารหัสที่ปลอดภัย และไม่จัดเก็บคีย์ลับในซอฟต์แวร์ยูทิลิตี้
การเชื่อมต่อเครือข่ายบริการจะต้องให้แน่ใจว่ามีความพร้อมใช้งานสูงและการให้บริการอย่างต่อเนื่อง
สร้างกลไกในการตรวจจับและป้องกันการบุกรุกและการโจมตีเครือข่ายบนระบบ
นอกจากนี้ร่างยังระบุอย่างชัดเจนว่าหน่วยงานจะต้องจัดการจุดอ่อนและจุดอ่อนของระบบ Online Banking โดยมีเนื้อหาพื้นฐานดังต่อไปนี้:
มีมาตรการป้องกัน ตรวจจับ และตรวจจับการเปลี่ยนแปลงบนเว็บไซต์และซอฟต์แวร์แอปพลิเคชันธนาคารออนไลน์
จัดทำกลไกในการตรวจจับและป้องกันการบุกรุกและการโจมตีเครือข่ายในระบบ Online Banking
ประสานงานกับหน่วยงานบริหารระดับรัฐและพันธมิตรด้านเทคโนโลยีสารสนเทศ เพื่อรับทราบเหตุการณ์และสถานการณ์การสูญเสียความปลอดภัยและความปลอดภัยของข้อมูลอย่างทันท่วงที เพื่อดำเนินมาตรการป้องกันอย่างทันท่วงที
อัปเดตข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่เผยแพร่ที่เกี่ยวข้องกับซอฟต์แวร์ระบบ ระบบการจัดการฐานข้อมูล และซอฟต์แวร์แอปพลิเคชัน ตามข้อมูลจาก Common Vulnerability Scoring System
สแกนหาจุดอ่อนและจุดอ่อนของระบบ Online Banking อย่างน้อยปีละครั้งหรือเมื่อได้รับข้อมูลที่เกี่ยวข้องกับจุดอ่อนและจุดอ่อนใหม่ๆ ประเมินระดับผลกระทบและความเสี่ยงของจุดอ่อนและจุดอ่อนทางเทคนิคของระบบแต่ละจุดที่พบ และเสนอแนวทางแก้ไขและแผนการจัดการ
ใช้การอัปเดตแพตช์ความปลอดภัยหรือใช้มาตรการป้องกันอย่างทันท่วงทีตามการประเมินผลกระทบและความเสี่ยง
แหล่งที่มา
การแสดงความคิดเห็น (0)