Thursday, June 30, 2022

Về dịch vụ bên thứ ba theo TT 09/2020/TT-NHNN

(Nguồn: oceg.org)

Khi thảo luận với nhiều bạn lâu năm trong công tác GRC Governance - Risk - Compliance, mình nhận thấy cách hiểu về dịch vụ bên thứ ba rất khác biệt và có nhiều tổ chức tín dụng (TCTD), các công ty lớn tại VN mỗi nơi định nghĩa 1 kiểu. Xem như có 2 dạng sau:

  • Xem dịch vụ bên thứ ba giống như dịch vụ thuê ngoài. VD sử dụng dịch vụ truy vấn thông tin tín dụng CIC, PCB, dịch vụ credit score, thuê tổng đài, thuê bảo trì phần cứng phần mềm... đều là dịch vụ thuê ngoài, cũng là dịch vụ bên thứ ba.
  • Trong ngành tài chính ngân hàng, dịch vụ = dịch vụ tài chính. Dịch vụ bên thứ ba khi đó, đúng nghĩa phải có bên thứ nhất (bên cung cấp sản phẩm dịch vụ tài chính) và bên thứ hai (bên tiêu thụ sử dụng dịch vụ // khách hàng). Trong mối quan hệ này, bên thứ ba hoạt động cung cấp dịch vụ hoặc một phần dịch vụ tài chính một cách trực tiếp hoặc có tác động lớn đến việc cung cấp dịch vụ cho khách hàng.

Xem xét, định nghĩa để góp phần áp dụng đúng quy định của thông tư 09/2020/TT-NHNN, cũng là để góp phần cho việc cung cấp dịch vụ tài chính cách ổn định, an toàn nhất có thể.

Vì vậy cảm nhận riêng của mình, những dịch vụ CNTT sau đây không phải là dịch vụ bên thứ ba theo phạm vi quy định của TT09 gồm:

  • Dev outsourcing. Các cty outsource chỉ bàn giao ứng dụng, hướng dẫn cài đặt, sử dụng, vận hành... hoàn toàn không tiếp xúc hay hỗ trợ khách hàng của các tổ chức tín dụng. Sản phẩm được bàn giao khi đó chỉ cần được review, audit dạng pentest, code review, architecture review, security requirements...  Không cần xem xét đến việc các ông dev có nhận thức và tuân thủ các QĐ nội bộ của TCTD.
  • Bảo hành, bảo trì hệ thống phần cứng hoặc phần mềm. Hiển nhiên, việc bảo trì phải có kế hoạch công việc cụ thể và phải có sự giám sát của system/device owner hoặc người chịu trách nhiệm có chuyên môn liên quan.
  • Các dịch vụ cung cấp thông tin (intelligence services). VD thông tin lịch sử tấn công, blacklist, phát tán mã độc của 1 IP; thông tin lịch sử, chất lượng tín dụng của 1 khách hàng tiềm năng. Nếu dịch vụ này ngưng trệ, TCTD hoàn toàn có thể sử dụng thông tin từ 1 đơn vị khác hoặc bằng các hoạt động nghiệp vụ đặc thù... vẫn có thể có thêm thông tin bổ sung mà ko cần đến intelligence services. Ngoài ra, các đơn vị thực hiện dịch vụ cung cấp thông tin cũng không biết khách hàng của TCTD là ai hoặc không chịu trách nhiệm trực tiếp đến việc chăm sóc, cung cấp dịch vụ cho khách hàng => nên có thể nhận định không phải là dịch vụ bên thứ ba theo TT09.
  • Dịch vụ tư vấn
  • Pentest 
  • SOC-as-a-service
  • ...
Các vùng xám về Dịch vụ bên thứ ba:
  • "Hoá đơn điện tử" phần nào đó cũng là để phục vụ Khách hàng (bên thứ hai). Do đó, tốt nhất dịch vụ này nên triển khai nội bộ để tiết giảm chi phí vận hành :)) và rủi ro pháp lý, cả rủi ro ATTT :))
  • Rút tiền hoặc Thanh toán giao dịch liên ngân hàng - NAPAS // VISA // Mastercard... Xem và đòi mấy ông này là dịch vụ bên thứ ba cũng sẽ rất căng thẳng đây.

---------

Thế thì, TCTD cần phải thực hiện những gì khi sử dụng một dịch vụ bên thứ ba theo TT09:

  • Trước khi ký hợp đồng: 
    • Nếu là dịch vụ cloud, bên thứ ba phải có chứng nhận quốc tế về ATTT, "phải cung cấp báo cáo kiểm toán tuân thủ công nghệ thông tin do tổ chức kiểm toán độc lập thực hiện hàng năm". 
    • Các dịch vụ bên thứ ba khác không phải cloud computing services cũng cần có 2 loại văn bản chứng chỉ này.
    • Đánh giá rủi ro CNTT và RR hoạt động.
    • "Trường hợp thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin xử lý thông tin khách hàng, tổ chức thực hiện đánh giá rủi ro theo quy định tại khoản 1 Điều này và gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin)."
    
  • Trong quá trình hợp đồng, tức sử dụng dịch vụ bên thứ ba:
    • "Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn thông tin của tổ chức." theo Điều 36 khoản 1. 
      • "Dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo đảm an toàn thông tin của tổ chức." // Cam kết của bên thứ ba về bảo đảm an toàn thông tin...
    • Đánh giá và xử lý rủi ro thường niên.
    • "giám sát bảo đảm tuân thủ" của bên thứ ba // "phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin của bên thứ ba" // hoặc cung cấp báo cáo//kết quả "kiểm toán tuân thủ công nghệ thông tin" của tổ chức kiểm toán độc lập (bắt buộc đ/v dịch vụ cloud).
    • Giám sát thay đổi.
    • Đ/v Chất lượng dịch vụ:
      • Giám sát sự cố ảnh hưởng Chất lượng dịch vụ
      • Hiển nhiên trước đó phải có thoả thuận về Chất lượng dịch vụ. Trong 1 số tình huống, Chất lượng dịch vụ chưa hẳn là % uptime, hoặc MTTR...
      • Phải thực hiện kiểm soát Chất lượng dịch vụ 
    • "Xây dựng phương án dự phòng đối với các cấu phần của hệ thống thông tin từ cấp độ 3 trở lên. Phương án dự phòng phải được kiểm thử và đánh giá sẵn sàng thay thế cho các hoạt động, nghiệp vụ triển khai trên điện toán đám mây;"
    • Toàn văn Điều 36 vv trách nhiệm của TCTD
    • Tốt hơn hết là toàn văn của Mục 6.
Chú ý rằng, dịch vụ bên thứ ba trong TT09 phải hiểu là Dịch vụ CNTT.

---------

Lời kết

Vậy thì để quan niệm đâu là một dịch vụ bên thứ ba theo TT09, cần phải thật cân nhắc và đánh giá phù hợp. Nếu quá nhiều dịch vụ bên thứ ba, chắc chắn đội ngũ chịu trách nhiệm theo dõi quản lý bên thứ ba sẽ phải dành rất nhiều nguồn lực cho việc tuân thủ TT09 như trên.


Được đăng bởi No comments:
Subscribe to: Posts (Atom)