Согласно проекту, система интернет-банкинга должна соответствовать требованиям по обеспечению безопасности информационных систем на уровне 3 и выше в соответствии с положениями закона об обеспечении безопасности информационных систем на уровне и нормативными актами Государственного банка по обеспечению безопасности информационных систем в банковской деятельности.
Обеспечить конфиденциальность и целостность информации о клиентах, обеспечить доступность системы интернет-банкинга для предоставления бесперебойных услуг.
Транзакции клиентов оцениваются на предмет минимального уровня риска в соответствии с каждой группой клиентов, типом транзакции, лимитом транзакции (если таковой имеется), и на этой основе клиентам предоставляются соответствующие методы аутентификации транзакций на выбор в соответствии с нормативными актами: Применяйте многофакторную аутентификацию при изменении идентификационной информации клиента; применяйте методы аутентификации для каждой группы клиентов, типа транзакции, лимита транзакции в соответствии с нормативными актами; для многоэтапных транзакций на последнем этапе утверждения должна быть применена как минимум одна мера аутентификации.
Проводите ежегодные проверки безопасности и оценки системы интернет-банкинга.
Регулярно выявлять риски, потенциальные риски и определять причины возникновения рисков, оперативно принимать меры по предупреждению, контролю и управлению рисками при предоставлении банковских услуг в сети Интернет.
Оборудование инфраструктуры информационных технологий, предоставляющее услуги онлайн-банкинга, должно быть защищено авторским правом, иметь четкое происхождение и быть источником информации. Для оборудования, срок службы которого подходит к концу и которое больше не будет поддерживаться производителем, необходимо разработать план модернизации и замены оборудования в соответствии с заявлением производителя, гарантирующий возможность установки новых версий программного обеспечения.
Имеет брандмауэры, системы мониторинга и оповещения о ненормальном поведении
Подразделение должно создать сеть, систему связи и безопасности, отвечающую следующим минимальным требованиям:
Существуют минимальные решения по безопасности, в том числе: брандмауэр приложений, брандмауэр баз данных, централизованная система мониторинга и оповещения об атаках или необычном поведении.
Информация о клиентах не хранится в разделе Интернет-подключения и разделе DMZ (промежуточный раздел между внутренней сетью и Интернетом).
Настройте политику ограничения услуг и шлюзов, подключающихся к системе онлайн-банкинга.
Подключения извне внутренней сети к системе интернет-банкинга для администрирования могут осуществляться только в тех случаях, когда подключение из внутренней сети невозможно, и должны быть безопасными, с соблюдением как минимум следующих правил: должны быть одобрены уполномоченным лицом после проверки цели и способа подключения; должны иметь план управления доступом, безопасное удаленное администрирование системы, например, с использованием виртуальной частной сети или эквивалента; на подключаемом устройстве должно быть установлено программное обеспечение безопасности; при входе в систему необходимо использовать меры многофакторной аутентификации; использовать безопасные зашифрованные протоколы связи и не хранить секретные ключи в служебном программном обеспечении.
Сетевое соединение, предоставляющее услугу, должно обеспечивать высокую доступность и непрерывность предоставления услуг.
Создать механизм обнаружения и предотвращения вторжений и сетевых атак на систему
В проекте также четко указано, что подразделение должно управлять уязвимостями и недостатками системы онлайн-банкинга с учетом следующего основного содержания:
Принять меры по предотвращению, обнаружению и выявлению изменений в программном обеспечении веб-сайта и приложения онлайн-банкинга.
Создать механизм обнаружения и предотвращения вторжений и сетевых атак на систему онлайн-банкинга.
Осуществлять координацию действий с государственными органами управления и партнерами в области информационных технологий для оперативного реагирования на инциденты и ситуации, связанные с информационной безопасностью и утратой надежности, с целью принятия своевременных превентивных мер.
Обновлять информацию об опубликованных уязвимостях безопасности, связанных с системным программным обеспечением, системами управления базами данных и прикладным программным обеспечением, в соответствии с информацией из Common Vulnerability Scoring System.
Проводить сканирование системы интернет-банкинга на наличие уязвимостей и недостатков не реже одного раза в год или при получении информации о новых уязвимостях и недостатках. Оценивать степень воздействия и риск каждой обнаруженной уязвимости и технического недостатка системы и предлагать решения и планы по их устранению.
Внедряйте обновления безопасности или своевременные превентивные меры на основе оценки воздействия и рисков.
Источник
Комментарий (0)