|
I
|
Yêu cầu chung
|
|
|
|
|
|
1.1
|
Cam kết bảo mật thông tin từ nhà thầu
|
Đơn vị thực hiện đánh giá cần ký cam kết bảo mật thông tin liên quan đến kế hoạch đánh giá cũng như các thông tin về hệ thống, lỗi bảo mật trong quá trình đánh giá.
|
M
|
|
|
|
1.2
|
Thực hiện đúng và đầy đủ phạm vi yêu cầu của Customer Security Framework phiên bản mới nhất (CSCF phiên bản mới nhất)
|
Nhà cung cấp thực hiện đúng và đầy đủ phạm vi yêu cầu của Customer Security Framework theo phiên bản mới nhất (CSCF phiên bản mới nhất)
|
M
|
|
|
|
1.3
|
Nhà cung cấp sẽ có khuyến nghị chi tiết cụ thể và phù hợp để có thể đáp ứng yêu cầu của SWIFT.
|
Đối với các thành phần không đáp ứng sẽ có khuyến nghị
chi tiết cụ thể và phù hợp để có thể đáp ứng yêu cầu của SWIFT.
|
M
|
|
|
|
1.4
|
Cam kết không ảnh hưởng tới hoạt động của SeABank trong quá trình đánh giá
|
Đơn vị thực hiện đánh giá có thể sử dụng bất cứ công cụ,
phương tiện gì để thực hiện, nhưng không được phép ảnh hưởng tới hoạt động của SeABank.
|
M
|
|
|
|
1.5
|
Bản quyền và các vấn đề liên quan tới sở hữu trí tuệ
|
Đơn vị thực hiện đánh giá tự chịu trách nhiệm về bản quyền và các vấn đề liên quan tới sở hữu trí tuệ đối với các công cụ, phương pháp thực hiện đánh giá.
|
M
|
|
|
|
II
|
Yêu cầu chi tiết
|
|
|
|
|
|
1
|
Đánh giá hệ thống ứng dụng SWIFT theo CSCF
|
|
|
|
|
1.1
|
Hạn chế tiếp cận Internet và tách vùng hệ thống quan trọng khỏi môi trường công nghệ chung (bao gồm tại DC và DR của SeABank)
|
Khảo sát, đánh giá môi trường SWIFT theo các tiêu chí:
- Bảo vệ hạ tầng công nghệ
- Kiểm soát tài khoản đặc quyền hệ điều hành
- Bảo vệ hạ tầng ảo hóa
- Giới hạn truy cập Internet
|
M
|
|
|
|
1.2
|
Giảm bề mặt tấn công và lỗ hổng
|
Khảo sát, đánh giá môi trường SWIFT theo các tiêu chí:
- Bảo mật luồng dữ liệu nội bộ
- Cập nhật bản vá an ninh bảo mật
- Bảo vệ an toàn dữ liệu truyền ra ngoài
- Bảo mật và toàn vẹn phiên kết nối
|
M
|
|
|
|
1.3
|
Đảm bảo an ninh cho môi trường vật lý (bao gồm tại DC và DR của SeABank)
|
Kiểm tra truy cập trái phép đến các máy chủ, PC, thiết bị ảo hóa...
|
M
|
|
|
|
1.4
|
Ngăn chặn việc đăng nhập trái phép (bao gồm tại DC và DR của SeABank)
|
Khảo sát, đánh giá môi trường SWIFT theo các tiêu chí
- Chính sách mật khẩu
- Xác thực đa yếu tố
|
M
|
|
|
|
1.5
|
Quản lý định danh và phân vùng ưu tiên
|
Khảo sát, đánh giá môi trường SWIFT theo các tiêu chí:
- Kiểm soát truy cập logic
- Quản lý token
- Lưu trữ mật khẩu mức logic và vật lý
|
M
|
|
|
|
1.6
|
Phát hiện hoạt động bất thường về hệ thống hoặc hồ sơ giao dịch
|
Khảo sát, đánh giá môi trường SWIFT theo các tiêu chí:
- Phòng chống mã độc
- Toàn vẹn phần mềm
- Toàn vẹn cơ sở dữ liệu
- Giám sát và nhật ký
- Phòng chống xâm nhập
|
M
|
|
|
|
1.7
|
Kế hoạch ứng phó với sự kiện bất ngờ và chia sẻ thông tin
|
Khảo sát, đánh giá môi trường SWIFT theo các tiêu chí:
- Kế hoạch ứng phó với sự cố an toàn thông tin
- Kịch bản đánh giá rủi ro
|
M
|
|
|
|
2
|
Dò quét lỗ hổng
|
|
|
|
|
2.1
|
Dò quét lỗ hổng bảo mật cho các IP bên trong mạng liên quan đến hệ thống SWIFT (bao gồm tại DC và DR của SeABank)
|
- Khảo sát và lập danh sách đối tượng liên quan
- Dò quét phát hiện thông tin dịch vụ
- Dò quét tìm ra lỗ hổng bảo mật
- Kiểm tra và khai thác lỗ hổng
- Khuyến nghị cách thức khắc phục
|
M
|
|
|
|
3
|
Lập báo cáo tuân thủ
|
- Nhà thầu lập báo cáo tuân thủ
|
M
|
|
|
.png)
.png)
.png)
.png)
