เลิกล่มรายเดือน ธนาคารแห่งประเทศไทยออกกฎกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ

By: lew

on 8 February 2018 - 14:39 Tags:

Topics:

Bank of Thailand

Security

ธนาคารแห่งประเทศไทยออกประกาศหลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (information technology risk) ของสถาบันการเงินที่อยู่ในกำกับดูแลของธนาคารแห่งประเทศไทย

ประกาศฉบับนี้เน้นความมั่นคงปลอดภัยทางไซเบอร์เป็นหลัก แต่เนื้อหาก็ครอบคลุมความเสี่ยงหลัก 3 ประการของความมั่นคงของระบบไอที คือ ความลับข้อมูล (confidentiality), ความถูกต้องข้อมูล (integrity), และความพร้อมใช้งาน (availability)

ช่วงสองปีที่ผ่านมามีรายงานระบบธนาคารออนไลน์ล่มช่วงสิ้นเดือนหลายครั้ง รวมไปถึงเหตุการณ์โดนแฮกเช่นเมื่อธนาคารออมสินถูกแฮกตู้เอทีเอ็มเมื่อปี 2016

ข้อกำหนดปลีกย่อยตามประกาศนี้มีหลายอย่าง เช่น กรรมการบริษัทจะต้องมีความรู้ด้านเทคโนโลยีสารสนเทศอย่างน้อยหนึ่งคน และคนอื่นๆ ต้องได้รับการอบรมความรู้ด้านไอทีและความเสี่ยง, บุคคลากรต้องมีความสามารถเพียงพอตามหน้าที่ เช่นมีใบรับรอง, ระบบมีการทดสอบ ตั้งแต่การทดสอบฟังก์ชั่นการใช้งาน ทดสอบความปลอดภัย และทดสอบประสิทธิภาพ

ในแง่ของเหตุการณ์พร้อมเพย์ดูดเงินลูกค้านานห้าชั่วโมงและล่มไปรวม 9 ชั่วโมง ประกาศฉบับนี้ระบุให้มีการกำหนด "ระยะเวลาสูงสุดที่ยอมให้ธุรกิจหยุดชะงัก" (maximum tolerance period of disruption - MTDP) แล้ว ในอนาคตเมื่อระบบมีปัญหาเราคงได้พิจารณาจากระยะเวลานี้แทนที่จะเป็นระยะเวลาคืนเงินเหมือนในปัจจุบัน

ประกาศมีผลบังคับ 1 เมษายนนี้

ที่มา - ราชกิจจานุเบกษา, เอกสารรับฟังความเห็น ธนาคารแห่งประเทศไทย

No Description

Hiring! บริษัทที่น่าสนใจ

ttb bank

“Transform the future of banking and unlock a new world of possibilities with us”

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

Comments

By: obtheair on 8 February 2018 - 15:15 #1032722

maximum tolerance peroid of disruption - MTDP
^
maximum tolerance "period" of disruption - "MTPD" ครับ

By: topty

on 10 February 2018 - 18:54 #1032938 Reply to:1032722

บุคคลากร --> บุคลากร

By: tanapon000 on 8 February 2018 - 15:15 #1032723

ดูเป็นหน่วยงานที่มีการปรับตัวเข้ากับเทคโนโลยีมากว่าหน่วยงานอื่น

By: itpcc

on 8 February 2018 - 17:43 #1032739

อืม...ผมยังไม่เห็นข้อกำหนดลงโทษในระเบียบนะครับ เลยยังไม่เชื่อเท่าไหร่ว่าการแค่รายงานไปยัง ธปท. จะช่วยอะไรได้

บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: Holy

on 9 February 2018 - 18:18 #1032853 Reply to:1032739

ประกาศธปท. ไม่ได้เขียนบทกำหนดโทษไว้ครับ เพราะใช้การอ้างถึง พรบ. ธุรกิจสถาบันการเงิน วิธีคือดูว่าในประกาศอ้างถึงมาตราไหนใน พรบ. แล้วไปดูบทกำหนดโทษในพรบ. ว่ากำหนดไว้ยังไงครับ

อย่างในกรณีนี้ ประกาศ สนส. 19/2560 ข้อ 2 เขียนไว้ว่า

อํานาจตามกฎหมาย
อาศัยอํานาจตามความในมาตรา 41 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551
ธนาคารแห่งประเทศไทยออกหลักเกณฑ์การกํากับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ
(Information Technology Risk) ของสถาบันการเงิน ให้สถาบันการเงินถือปฏิบัติตามที่กําหนด
ในประกาศนี้

ส่วนพรบ. เขียนว่า

มาตรา ๔๑ ในการประกอบธุรกิจเกี่ยวกับการรับฝากเงิน รับเงินจากประชาชน ให้
สินเชื่อ กู้ยืมเงิน ลงทุน ก่อภาระผูกพัน ซื้อขายตั๋วแลกเงินหรือตราสารเปลี่ยนมืออื่นใด หรือซื้อขาย
เงินปริวรรตต่างประเทศ ให้สถาบันการเงินปฏิบัติตามหลักเกณฑ์ที่ธนาคารแห่งประเทศไทยประกาศ
กําหนด

มาตรา ๑๒๕ สถาบันการเงินใดฝ่าฝืนหรือไม่ปฏิบัติตามมาตรา ๒๐ มาตรา ๒๑
วรรคหนึ่ง มาตรา ๒๒ มาตรา ๓๘ มาตรา ๔๐ วรรคหนึ่ง มาตรา ๔๑ มาตรา ๔๔ มาตรา ๔๗ หรือ
มาตรา ๘๔ หรือฝ่าฝืนหรือไม่ปฏิบัติตามประกาศ ข้อกําหนด หรือหลักเกณฑ์ที่กําหนดตามมาตรา ๓๘
มาตรา ๓๙ มาตรา ๔๐ วรรคสอง มาตรา ๔๑ มาตรา ๔๖ มาตรา ๔๗ หรือมาตรา ๘๔ ต้องระวาง
โทษปรับไม่เกินห้าแสนบาท และปรับอีกไม่เกินวันละห้าพันบาทตลอดเวลาที่ยังฝ่าฝืนอยู่หรือจนกว่า
จะได้ปฏิบัติให้ถูกต้อง

จากนั้นก็ตีความอีกทีว่า "ฝ่าฝืน" นับไปกี่วัน สมมติว่าล่ม 2 วัน จะนับตั้งแต่วันที่เริ่มล่ม (2 วัน) หรือนับตั้งแต่ตอนที่ไม่จัดให้มีระบบการกู้คืนการบริการที่ดีพอ etc. ซึ่งอาจจะคิดย้อนกลับไปนับตั้งแต่วันที่ Deploy Service นั้นวันแรกเลยก็ได้ครับ ขึ้นกับหลักฐานที่มี

By: Kittichok

on 9 February 2018 - 20:27 #1032867 Reply to:1032853

ขอบคุณ คุณ Holy ที่ช่วยชี้แจง ตอนเห็นข่าวนี้ระหว่างกลับบ้าน ผมก็คิดจะมาเขียนตอบแบบยกข้อความใน พรบ.ธุรกิจสถาบันการเงิน ด้วย

By: lew

on 9 February 2018 - 21:50 #1032872 Reply to:1032853

อันนี้มีประเป็นคือประกาศนี้ส่วนมากบอกให้ธนาคาร "มี" แนวทางหรือเงื่อนไขต่างไป เช่น นโยบายไอที หรือ ค่าเวลากู้ระบบ

แต่น่าสงสัยว่าธนาคารประกาศแล้วทำไม่ได้หรือไม่ทำตาม ตั้ง backup site ไม่ห่างกันเท่าแนวทางตัวเอง หรือระบบล่มนานเกินกำหนด ก็ดูจะไม่ได้มีโทษจริงๆ

lewcpe.com, @wasonliw

By: Jirawat

on 8 February 2018 - 19:53 #1032748

เขียนเสือให้วัวกลัว

By: -Rookies-

on 8 February 2018 - 22:41 #1032756

April Fools สินะ แหม่ รีบเล่นแต่หัววันเชียว ๕๕๕

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

Main menu