وبحسب المشروع، يجب أن يتوافق نظام الخدمات المصرفية عبر الإنترنت مع اللوائح المتعلقة بضمان أمن نظام المعلومات على المستوى 3 أو أعلى وفقًا لأحكام القانون بشأن ضمان أمن نظام المعلومات على المستوى ولوائح بنك الدولة بشأن أمن نظام المعلومات في الأنشطة المصرفية.
ضمان سرية وسلامة معلومات العملاء؛ ضمان توافر نظام الخدمات المصرفية عبر الإنترنت لتقديم الخدمات بشكل مستمر.
يتم تقييم معاملات العملاء لتحديد مستوى الحد الأدنى للمخاطر وفقًا لكل مجموعة عملاء ونوع المعاملة وحد المعاملة (إن وجد) وعلى هذا الأساس، يتم توفير طرق مصادقة المعاملات المناسبة للعملاء للاختيار من بينها، والامتثال للوائح: تطبيق المصادقة متعددة العوامل عند تغيير معلومات هوية العميل؛ تطبيق أساليب المصادقة لكل مجموعة من العملاء، ونوع المعاملة، وحد المعاملة وفقا للوائح؛ بالنسبة للمعاملات متعددة الخطوات، يجب تطبيق مقياس مصادقة واحد على الأقل في خطوة الموافقة النهائية.
إجراء فحوصات وتقييمات أمنية سنوية لنظام الخدمات المصرفية عبر الإنترنت.
تحديد المخاطر والمخاطر المحتملة بشكل منتظم وتحديد أسباب المخاطر واتخاذ التدابير اللازمة على الفور للوقاية من المخاطر والسيطرة عليها ومعالجتها في تقديم الخدمات المصرفية على الإنترنت.
يجب أن تتمتع معدات البنية التحتية لتكنولوجيا المعلومات التي توفر الخدمات المصرفية عبر الإنترنت بحقوق الطبع والنشر، وأن يكون لها أصل ومصدر واضح. بالنسبة للمعدات التي تقترب من نهاية دورة حياة منتجها ولن تدعمها الشركة المصنعة بعد الآن، يجب أن يكون لدى الوحدة خطة ترقية واستبدال وفقًا لإعلان الشركة المصنعة، مما يضمن أن معدات البنية الأساسية قادرة على تثبيت إصدار البرنامج الجديد.
يحتوي على جدار حماية ونظام مراقبة وتحذير من السلوك غير الطبيعي
يجب على الوحدة إنشاء شبكة ونظام اتصالات وأمن يلبي الحد الأدنى من المتطلبات التالية:
هناك حلول أمنية بسيطة تشمل: جدار حماية التطبيق؛ جدار حماية قاعدة البيانات؛ نظام مراقبة وتنبيه مركزي للهجمات أو السلوكيات غير المعتادة.
لا يتم تخزين معلومات العميل في قسم اتصال الإنترنت وقسم DMZ (القسم الوسيط بين الشبكة الداخلية والإنترنت).
إعداد سياسة للحد من الخدمات والبوابات المتصلة بنظام الخدمات المصرفية عبر الإنترنت.
يجب أن يتم الاتصال من خارج الشبكة الداخلية بنظام الخدمات المصرفية عبر الإنترنت لأغراض الإدارة فقط في الحالات التي لا يمكن فيها الاتصال من الشبكة الداخلية ويجب ضمان السلامة والامتثال للوائح التالية على الأقل: يجب الموافقة عليها من قبل شخص مخول بعد مراجعة غرض وطريقة الاتصال؛ يجب أن تكون هناك خطة آمنة للوصول عن بعد وإدارة النظام مثل استخدام شبكة خاصة افتراضية أو ما يعادلها؛ يجب أن يكون لدى الأجهزة المتصلة برنامج أمان مثبتًا؛ يجب استخدام المصادقة متعددة العوامل عند تسجيل الدخول إلى النظام؛ استخدم بروتوكولات اتصال مشفرة آمنة ولا تقم بتخزين المفاتيح السرية في برامج المرافق.
يجب أن يضمن اتصال الشبكة الذي يوفر الخدمة توفرًا عاليًا وتوفيرًا مستمرًا للخدمة.
إنشاء آلية للكشف عن الاختراقات والهجمات على الشبكة على النظام ومنعها
وينص المشروع أيضًا بشكل واضح على أن الوحدة يجب أن تدير نقاط الضعف والثغرات في نظام الخدمات المصرفية عبر الإنترنت بالمحتويات الأساسية التالية:
إتخاذ التدابير اللازمة لمنع واكتشاف ورصد التغييرات التي تطرأ على الموقع الإلكتروني وبرامج تطبيق الخدمات المصرفية عبر الإنترنت.
إنشاء آلية لكشف ومنع الاختراقات والهجمات الشبكية على نظام الخدمات المصرفية عبر الإنترنت.
التنسيق مع وحدات إدارة الدولة وشركاء تكنولوجيا المعلومات لفهم الحوادث ومواقف فقدان أمن المعلومات والسلامة على الفور لاتخاذ التدابير الوقائية في الوقت المناسب.
تحديث المعلومات المتعلقة بالثغرات الأمنية المنشورة المتعلقة ببرامج النظام وأنظمة إدارة قواعد البيانات وبرامج التطبيقات وفقًا للمعلومات الواردة في نظام تسجيل الثغرات الأمنية المشترك.
قم بالبحث عن الثغرات الأمنية ونقاط الضعف في نظام الخدمات المصرفية عبر الإنترنت مرة واحدة على الأقل سنويًا أو عند تلقي معلومات تتعلق بثغرات أمنية ونقاط ضعف جديدة. تقييم تأثير ومخاطر كل ثغرة أمنية وضعف فني تم اكتشافه في النظام واقتراح الحلول والخطط للتعامل معها.
تنفيذ تحديثات تصحيح الأمان أو التدابير الوقائية في الوقت المناسب بناءً على تقييم التأثير والمخاطر.
مصدر
تعليق (0)