Enligt utkastet måste internetbanksystemet följa föreskrifter om säkerställande av informationssystemsäkerhet på nivå 3 eller högre enligt lagen om säkerställande av informationssystemsäkerhet på varje nivå och Statsbankens föreskrifter om informationssystemsäkerhet i bankverksamhet.
Säkerställa sekretessen och integriteten för kundinformation; säkerställa att internetbanksystemet är tillgängligt för att kontinuerligt tillhandahålla tjänster.
Kundtransaktioner bedöms med avseende på lägsta risknivåer enligt varje kundgrupp, transaktionstyp, transaktionsgräns (om någon) och utifrån detta tillhandahålls lämpliga transaktionsautentiseringsmetoder för kunderna att välja mellan, i enlighet med föreskrifter: Tillämpa flerfaktorsautentisering vid ändring av kundidentifieringsinformation; tillämpa autentiseringsmetoder för varje kundgrupp, transaktionstyp, transaktionsgräns i enlighet med föreskrifter; för transaktioner i flera steg måste minst en autentiseringsåtgärd tillämpas i det slutliga godkännandesteget.
Genomför årliga säkerhetskontroller och utvärderingar av internetbankssystemet.
Regelbundet identifiera risker, potentiella risker och fastställa orsakerna till risker, samt omedelbart vidta åtgärder för att förebygga, kontrollera och hantera risker vid tillhandahållande av banktjänster på internet.
IT-infrastrukturutrustning som tillhandahåller internetbanktjänster måste ha upphovsrätt, tydligt ursprung och källa. För utrustning som närmar sig slutet av sin produktlivscykel och inte längre kommer att stödjas av tillverkaren måste enheten ha en uppgraderings- och utbytesplan i enlighet med tillverkarens meddelande, vilket säkerställer att infrastrukturutrustningen kan installera nya programvaruversioner.
Har brandväggar, övervakningssystem och varningar för ovanligt beteende
Enheten måste etablera ett nätverks-, kommunikations- och säkerhetssystem som uppfyller följande minimikrav:
Det finns minimala säkerhetslösningar inklusive: applikationsbrandvägg; databasbrandvägg; centraliserat övervaknings- och varningssystem för attacker eller ovanligt beteende.
Kundinformation lagras inte i internetanslutningspartitionen och DMZ-partitionen (mellanpartitionen mellan det interna nätverket och internet).
Konfigurera en policy för att begränsa tjänster och gateways som ansluter till internetbanksystemet.
Anslutningar utanför det interna nätverket till internetbankssystemet för administrativa ändamål görs endast i de fall där det inte är möjligt att ansluta från det interna nätverket och säkerställa säkerheten, med beaktande av åtminstone följande bestämmelser: Måste godkännas av en behörig person efter att ha granskat syftet och metoden för anslutningen; måste ha en plan för åtkomsthantering, säker fjärrsystemadministration, såsom användning av ett virtuellt privat nätverk eller motsvarande; anslutna enheter måste ha säkerhetsprogramvara installerad; måste använda flerfaktorsautentisering vid inloggning i systemet; använd säkra krypterade kommunikationsprotokoll och lagra inte hemliga nycklar i verktygsprogramvara.
Anslutningen till tjänstenätet måste säkerställa hög tillgänglighet och kontinuerlig tjänsteleverans.
Upprätta en mekanism för att upptäcka och förhindra intrång och nätverksattacker på systemet
Utkastet anger också tydligt att enheten ska hantera sårbarheter och svagheter i internetbankssystemet med följande grundläggande innehåll:
Ha åtgärder för att förebygga, upptäcka och upptäcka ändringar i webbplatsen och programvaran för internetbanken.
Inför en mekanism för att upptäcka och förhindra intrång och nätverksattacker mot internetbanksystemet.
Samordna med statliga ledningsenheter och IT-partners för att snabbt fånga upp incidenter och situationer med informationssäkerhetsförluster och vidta förebyggande åtgärder i tid.
Uppdatera information om publicerade säkerhetsbrister relaterade till systemprogramvara, databashanteringssystem och applikationsprogramvara enligt information från Common Vulnerability Scoring System.
Sök efter sårbarheter och svagheter i internetbankssystemet minst en gång om året eller när information om nya sårbarheter och svagheter tas emot. Bedöm påverkan och risk för varje upptäckt sårbarhet och teknisk svaghet i systemet och föreslå lösningar och planer för hantering.
Implementera säkerhetsuppdateringar eller förebyggande åtgärder i rätt tid baserat på konsekvens- och riskbedömning.
Källa
Kommentar (0)