Согласно проекту, система «Дистанционный банкинг» должна соответствовать требованиям по обеспечению безопасности информационных систем на уровне 3 и выше в соответствии с положениями закона об обеспечении безопасности информационных систем на уровне 3 и нормативными актами Государственного банка по обеспечению безопасности информационных систем в банковской деятельности.
Обеспечивать конфиденциальность и целостность информации о клиентах; Обеспечить доступность системы интернет-банкинга для бесперебойного предоставления услуг.
Транзакции клиентов оцениваются на минимальный уровень риска в соответствии с каждой группой клиентов, типом транзакции, лимитом транзакции (если таковой имеется) и на этой основе предоставляются соответствующие методы аутентификации транзакций, которые клиенты могут выбрать, соблюдая правила: применять многофакторную аутентификацию при изменении идентификационной информации клиента; Применять методы аутентификации для каждой группы клиентов, типа транзакции и лимита транзакций в соответствии с правилами; Для многоэтапных транзакций на последнем этапе утверждения должна быть применена как минимум одна мера аутентификации.
Проводите ежегодные проверки безопасности и оценки системы интернет-банкинга.
Регулярно выявлять риски, потенциальные риски и определять причины возникновения рисков, оперативно принимать меры по предупреждению, контролю и управлению рисками при предоставлении банковских услуг в сети Интернет.
Оборудование инфраструктуры информационных технологий, предоставляющее услуги онлайн-банкинга, должно иметь авторские права, четкое происхождение и источник. Для оборудования, жизненный цикл которого подходит к концу и которое больше не будет поддерживаться производителем, необходимо иметь план модернизации и замены в соответствии с заявлением производителя, гарантирующий, что инфраструктурное оборудование сможет установить новую версию программного обеспечения.
Имеет брандмауэр, систему мониторинга, предупреждение о ненормальном поведении
Подразделение должно создать сеть, систему связи и безопасности, отвечающую следующим минимальным требованиям:
Существуют минимальные решения по обеспечению безопасности, в том числе: брандмауэр приложений; брандмауэр базы данных; централизованная система мониторинга и оповещения об атаках или необычном поведении.
Информация о клиентах не хранится в разделе интернет-подключения и разделе DMZ (промежуточный раздел между внутренней сетью и интернетом).
Установите политику ограничения услуг и шлюзов, подключающихся к системе онлайн-банкинга.
Подключение извне внутренней сети к системе онлайн-банкинга в целях администрирования должно осуществляться только в тех случаях, когда подключение из внутренней сети невозможно, и должно обеспечивать безопасность и соответствовать как минимум следующим правилам: Должно быть одобрено уполномоченным лицом после проверки цели и способа подключения; Должен быть предусмотрен безопасный план удаленного доступа и администрирования системы, например, с использованием виртуальной частной сети или ее эквивалента; На подключаемых устройствах должно быть установлено программное обеспечение безопасности; необходимо использовать многофакторную аутентификацию при входе в систему; Используйте безопасные зашифрованные протоколы связи и не храните секретные ключи в служебном программном обеспечении.
Сетевое соединение, предоставляющее услугу, должно обеспечивать высокую доступность и непрерывность предоставления услуг.
Создать механизм обнаружения и предотвращения вторжений и сетевых атак на систему
В проекте также четко указано, что подразделение должно управлять уязвимостями и недостатками системы онлайн-банкинга с использованием следующего основного содержания:
Принять меры по предотвращению, обнаружению и выявлению изменений в программном обеспечении веб-сайта и приложения онлайн-банкинга.
Создать механизм обнаружения и предотвращения вторжений и сетевых атак на систему онлайн-банкинга.
Координировать действия с государственными органами управления и партнерами в области информационных технологий для оперативного реагирования на инциденты и ситуации, связанные с информационной безопасностью и утратой защищенности, с целью принятия своевременных превентивных мер.
Обновлять информацию об опубликованных уязвимостях безопасности, связанных с системным программным обеспечением, системами управления базами данных и прикладным программным обеспечением, в соответствии с информацией из Общей системы оценки уязвимостей.
Проводить сканирование на предмет уязвимостей и слабых мест системы интернет-банкинга не реже одного раза в год или при получении информации, связанной с новыми уязвимостями и слабыми местами. Оцените влияние и риск каждой обнаруженной уязвимости и технического недостатка системы и предложите решения и планы по их устранению.
Внедряйте обновления безопасности или своевременные превентивные меры на основе оценки воздействия и риска.
Источник
Комментарий (0)