Tags:
Node Thumbnail

ธนาคารแห่งประเทศไทยออกประกาศหลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (information technology risk) ของสถาบันการเงินที่อยู่ในกำกับดูแลของธนาคารแห่งประเทศไทย

ประกาศฉบับนี้เน้นความมั่นคงปลอดภัยทางไซเบอร์เป็นหลัก แต่เนื้อหาก็ครอบคลุมความเสี่ยงหลัก 3 ประการของความมั่นคงของระบบไอที คือ ความลับข้อมูล (confidentiality), ความถูกต้องข้อมูล (integrity), และความพร้อมใช้งาน (availability)

ช่วงสองปีที่ผ่านมามีรายงานระบบธนาคารออนไลน์ล่มช่วงสิ้นเดือนหลายครั้ง รวมไปถึงเหตุการณ์โดนแฮกเช่นเมื่อธนาคารออมสินถูกแฮกตู้เอทีเอ็มเมื่อปี 2016

ข้อกำหนดปลีกย่อยตามประกาศนี้มีหลายอย่าง เช่น กรรมการบริษัทจะต้องมีความรู้ด้านเทคโนโลยีสารสนเทศอย่างน้อยหนึ่งคน และคนอื่นๆ ต้องได้รับการอบรมความรู้ด้านไอทีและความเสี่ยง, บุคคลากรต้องมีความสามารถเพียงพอตามหน้าที่ เช่นมีใบรับรอง, ระบบมีการทดสอบ ตั้งแต่การทดสอบฟังก์ชั่นการใช้งาน ทดสอบความปลอดภัย และทดสอบประสิทธิภาพ

ในแง่ของเหตุการณ์พร้อมเพย์ดูดเงินลูกค้านานห้าชั่วโมงและล่มไปรวม 9 ชั่วโมง ประกาศฉบับนี้ระบุให้มีการกำหนด "ระยะเวลาสูงสุดที่ยอมให้ธุรกิจหยุดชะงัก" (maximum tolerance period of disruption - MTDP) แล้ว ในอนาคตเมื่อระบบมีปัญหาเราคงได้พิจารณาจากระยะเวลานี้แทนที่จะเป็นระยะเวลาคืนเงินเหมือนในปัจจุบัน

ประกาศมีผลบังคับ 1 เมษายนนี้

ที่มา - ราชกิจจานุเบกษา, เอกสารรับฟังความเห็น ธนาคารแห่งประเทศไทย

No Description

Get latest news from Blognone

Comments

By: obtheair on 8 February 2018 - 15:15 #1032722

maximum tolerance peroid of disruption - MTDP
^
maximum tolerance "period" of disruption - "MTPD" ครับ

By: topty
Contributor
on 10 February 2018 - 18:54 #1032938 Reply to:1032722

บุคคลากร --> บุคลากร

By: tanapon000 on 8 February 2018 - 15:15 #1032723
tanapon000's picture

ดูเป็นหน่วยงานที่มีการปรับตัวเข้ากับเทคโนโลยีมากว่าหน่วยงานอื่น

By: itpcc
ContributoriPhoneRed HatUbuntu
on 8 February 2018 - 17:43 #1032739
itpcc's picture

อืม...ผมยังไม่เห็นข้อกำหนดลงโทษในระเบียบนะครับ เลยยังไม่เชื่อเท่าไหร่ว่าการแค่รายงานไปยัง ธปท. จะช่วยอะไรได้


บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: Holy
ContributorAndroidWindowsIn Love
on 9 February 2018 - 18:18 #1032853 Reply to:1032739
Holy's picture

ประกาศธปท. ไม่ได้เขียนบทกำหนดโทษไว้ครับ เพราะใช้การอ้างถึง พรบ. ธุรกิจสถาบันการเงิน วิธีคือดูว่าในประกาศอ้างถึงมาตราไหนใน พรบ. แล้วไปดูบทกำหนดโทษในพรบ. ว่ากำหนดไว้ยังไงครับ

อย่างในกรณีนี้ ประกาศ สนส. 19/2560 ข้อ 2 เขียนไว้ว่า

  1. อํานาจตามกฎหมาย
    อาศัยอํานาจตามความในมาตรา 41 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551
    ธนาคารแห่งประเทศไทยออกหลักเกณฑ์การกํากับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ
    (Information Technology Risk) ของสถาบันการเงิน ให้สถาบันการเงินถือปฏิบัติตามที่กําหนด
    ในประกาศนี้

ส่วนพรบ. เขียนว่า

มาตรา ๔๑ ในการประกอบธุรกิจเกี่ยวกับการรับฝากเงิน รับเงินจากประชาชน ให้
สินเชื่อ กู้ยืมเงิน ลงทุน ก่อภาระผูกพัน ซื้อขายตั๋วแลกเงินหรือตราสารเปลี่ยนมืออื่นใด หรือซื้อขาย
เงินปริวรรตต่างประเทศ ให้สถาบันการเงินปฏิบัติตามหลักเกณฑ์ที่ธนาคารแห่งประเทศไทยประกาศ
กําหนด

มาตรา ๑๒๕ สถาบันการเงินใดฝ่าฝืนหรือไม่ปฏิบัติตามมาตรา ๒๐ มาตรา ๒๑
วรรคหนึ่ง มาตรา ๒๒ มาตรา ๓๘ มาตรา ๔๐ วรรคหนึ่ง มาตรา ๔๑ มาตรา ๔๔ มาตรา ๔๗ หรือ
มาตรา ๘๔ หรือฝ่าฝืนหรือไม่ปฏิบัติตามประกาศ ข้อกําหนด หรือหลักเกณฑ์ที่กําหนดตามมาตรา ๓๘
มาตรา ๓๙ มาตรา ๔๐ วรรคสอง มาตรา ๔๑ มาตรา ๔๖ มาตรา ๔๗ หรือมาตรา ๘๔ ต้องระวาง
โทษปรับไม่เกินห้าแสนบาท และปรับอีกไม่เกินวันละห้าพันบาทตลอดเวลาที่ยังฝ่าฝืนอยู่หรือจนกว่า
จะได้ปฏิบัติให้ถูกต้อง

จากนั้นก็ตีความอีกทีว่า "ฝ่าฝืน" นับไปกี่วัน สมมติว่าล่ม 2 วัน จะนับตั้งแต่วันที่เริ่มล่ม (2 วัน) หรือนับตั้งแต่ตอนที่ไม่จัดให้มีระบบการกู้คืนการบริการที่ดีพอ etc. ซึ่งอาจจะคิดย้อนกลับไปนับตั้งแต่วันที่ Deploy Service นั้นวันแรกเลยก็ได้ครับ ขึ้นกับหลักฐานที่มี

By: Kittichok
Contributor
on 9 February 2018 - 20:27 #1032867 Reply to:1032853

ขอบคุณ คุณ Holy ที่ช่วยชี้แจง ตอนเห็นข่าวนี้ระหว่างกลับบ้าน ผมก็คิดจะมาเขียนตอบแบบยกข้อความใน พรบ.ธุรกิจสถาบันการเงิน ด้วย

By: lew
FounderJusci's WriterMEconomicsAndroid
on 9 February 2018 - 21:50 #1032872 Reply to:1032853
lew's picture

อันนี้มีประเป็นคือประกาศนี้ส่วนมากบอกให้ธนาคาร "มี" แนวทางหรือเงื่อนไขต่างไป เช่น นโยบายไอที หรือ ค่าเวลากู้ระบบ

แต่น่าสงสัยว่าธนาคารประกาศแล้วทำไม่ได้หรือไม่ทำตาม ตั้ง backup site ไม่ห่างกันเท่าแนวทางตัวเอง หรือระบบล่มนานเกินกำหนด ก็ดูจะไม่ได้มีโทษจริงๆ


lewcpe.com, @wasonliw

By: Jirawat
Android
on 8 February 2018 - 19:53 #1032748
Jirawat's picture

เขียนเสือให้วัวกลัว

By: -Rookies-
ContributorAndroidWindowsIn Love
on 8 February 2018 - 22:41 #1032756

April Fools สินะ แหม่ รีบเล่นแต่หัววันเชียว ๕๕๕


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!