Selon le projet, le système bancaire en ligne doit être conforme aux réglementations visant à garantir la sécurité du système d'information au niveau 3 ou supérieur conformément aux dispositions de la loi sur la garantie de la sécurité du système d'information au niveau et aux réglementations de la Banque d'État sur la sécurité du système d'information dans les activités bancaires.
Assurer la confidentialité et l’intégrité des informations clients ; Assurer la disponibilité du système de Banque en Ligne pour fournir des services en continu.
Les transactions des clients sont évaluées en fonction du niveau de risque minimum en fonction de chaque groupe de clients, du type de transaction, de la limite de transaction (le cas échéant) et, sur cette base, fournissent des méthodes d'authentification de transaction appropriées que les clients peuvent choisir, conformément aux réglementations : Appliquer l'authentification multifacteur lors de la modification des informations d'identification du client ; Appliquer des méthodes d’authentification pour chaque groupe de clients, type de transaction et limite de transaction conformément à la réglementation ; Pour les transactions en plusieurs étapes, au moins une mesure d’authentification doit être appliquée à l’étape d’approbation finale.
Effectuer des contrôles de sécurité et des évaluations annuelles du système bancaire en ligne.
Identifier régulièrement les risques, les risques potentiels et déterminer les causes des risques, prendre rapidement des mesures pour prévenir, contrôler et gérer les risques lors de la fourniture de services bancaires sur Internet.
Les équipements d'infrastructure informatique fournissant des services bancaires en ligne doivent être protégés par des droits d'auteur, une origine et une source claires. Pour les équipements qui approchent de la fin de leur cycle de vie et qui ne seront plus pris en charge par le fabricant, l'unité doit disposer d'un plan de mise à niveau et de remplacement conformément à l'annonce du fabricant, garantissant que l'équipement d'infrastructure est capable d'installer la nouvelle version du logiciel.
Dispose de pare-feu, de systèmes de surveillance et d'alertes de comportement anormal
L'unité doit établir un réseau, un système de communication et de sécurité qui répond aux exigences minimales suivantes :
Il existe des solutions de sécurité minimales parmi lesquelles : Un pare-feu applicatif ; pare-feu de base de données; système centralisé de surveillance et d'alerte en cas d'attaques ou de comportements inhabituels.
Les informations client ne sont pas stockées dans la partition de connexion Internet et la partition DMZ (partition intermédiaire entre le réseau interne et Internet).
Mettre en place une politique pour limiter les services et les passerelles se connectant au système bancaire en ligne.
La connexion depuis l'extérieur du réseau interne au système de banque en ligne à des fins administratives ne doit être effectuée que dans les cas où il n'est pas possible de se connecter depuis le réseau interne et doit garantir la sécurité et respecter au moins les réglementations suivantes : Doit être approuvée par une personne autorisée après examen de l'objectif et du mode de connexion ; Il doit y avoir un plan d’accès à distance sécurisé et d’administration du système, comme l’utilisation d’un réseau privé virtuel ou équivalent ; Les appareils connectés doivent avoir un logiciel de sécurité installé ; doit utiliser l’authentification multifacteur lors de la connexion au système ; Utilisez des protocoles de communication cryptés sécurisés et ne stockez pas de clés secrètes dans des logiciels utilitaires.
La connexion réseau fournissant le service doit garantir une haute disponibilité et une fourniture continue du service.
Mettre en place un mécanisme pour détecter et prévenir les intrusions et les attaques réseau sur le système
Le projet stipule également clairement que l'unité doit gérer les vulnérabilités et les faiblesses du système de banque en ligne avec le contenu de base suivant :
Disposer de mesures pour prévenir, détecter et détecter les modifications apportées au site Web et au logiciel d'application de banque en ligne.
Mettre en place un mécanisme de détection et de prévention des intrusions et des attaques réseau sur le système de Banque en Ligne.
Coordonner avec les unités de gestion de l’État et les partenaires en technologies de l’information pour saisir rapidement les incidents et les situations de perte de sécurité et de sûreté de l’information afin de prendre des mesures préventives en temps opportun.
Mettre à jour les informations sur les vulnérabilités de sécurité publiées liées aux logiciels système, aux systèmes de gestion de bases de données et aux logiciels d'application conformément aux informations du Common Vulnerability Scoring System.
Recherchez les vulnérabilités et les faiblesses du système bancaire en ligne au moins une fois par an ou lorsque vous recevez des informations relatives à de nouvelles vulnérabilités et faiblesses. Évaluer l’impact et le risque de chaque vulnérabilité découverte et faiblesse technique du système et proposer des solutions et des plans pour y faire face.
Mettre en œuvre des mises à jour de correctifs de sécurité ou des mesures préventives opportunes en fonction de l’évaluation de l’impact et des risques.
Source
Comment (0)