Национальный банк намерен впервые урегулировать вопрос обеспечения надлежащего уровня киберзащиты и информационной безопасности в сфере денежных переводов. Об этом говорится в сообщении регулятора.
28 сентября 2018, 10:56
Читати українською
НБУ урегулирует вопросы защиты денежных переводов
Что это даст
Документ разработан во исполнение требований закона «Об основных принципах обеспечения кибербезопасности Украины», согласно которому Нацбанк должен определить порядок, требования и меры по обеспечению киберзащиты и информационной безопасности для субъектов перевода средств, а также осуществлять контроль за их выполнением.
Проектом постановления предусмотрено определить:
- требования к субъектам платежного рынка по построению системы защиты информации и кибербезопасности;
- порядок действий при обнаружении кибератак, которые снижают надежность функционирования платежных систем и систем расчетов;
- требования к организационным и техническим мерам с целью обеспечения защиты информации и кибербезопасности субъектами платежного рынка
В основу этого документа положены требования и рекомендации национальных и международных стандартов по вопросам информационной безопасности, а также общепринятые в международной практике современные подходы к обеспечению информационной безопасности и киберзащиты.
Источник:
Минфин
Комментарии - 4
обеспечения надлежащего уровня киберзащиты
и информационной безопасности в сфере денежных переводов.»
И для этого он вынес на публичное обсуждение проект
«Положення про кіберзахист та інформаційну безпеку в платіжних системах та системах розрахунків»
Все желающие очередной раз плюнуть в сторону НБУ
должны предварительно ознакомиться с проектом
на 27 листах формата А4, который можно
лицезреть по вышеприведенной ссылке.
Всем привет и интересного чтива.
Из того, что сразу запало в душу…
3) розмістити сервери, що використовуються для приймання, оброблення, передавання електронних документів на переказ, збереження архівів, та мережеве обладнання, що забезпечує захист їх внутрішньої мережі, у серверних приміщеннях на території України;
Привет облачному хранению данных за пределами Украины.
6) вжити заходів щодо обмеження використання програмного забезпечення (далі – ПЗ) та технічних пристроїв, розробником яких є юридична чи фізична особа-резидентдержави-агресора;
Привет российскому софту.
16. Суб’єкт платіжного ринку зобов’язаний визначити перелік відповідальних осіб, що мають фізичний доступ до засобів захисту інформації. Обов’язки адміністратора засобів захисту інформації повинні бути відокремлені від обов’язків адміністратора серверів баз даних та інших серверів захищеного сегмента.
А вот и новые рабочие места организовал НБУ.
Продолжение следует…
2) доступ до серверів заборонено без присутності відповідальних осіб ключового суб’єкта платіжного ринку;
3) приміщення обладнані охоронною сигналізацією;
4) ведеться реєстрація відвідувачів на вході до критичних приміщень шляхом занесення у журнал реєстрації інформації про осіб, що відвідували приміщення, дату і час входу та виходу, мету відвідування приміщення, установу, яку він представляє;
5) застосовуються засоби відеоспостереження для моніторингу відвідувань, сигналізація та автоматизовані засоби для розпізнавання порушень та ініціювання реагування на них;
6) заборонено розташування робочих місць працівників ключового суб’єкта платіжного ринку та сторонніх осіб у критичних приміщеннях;
7) використовуються безперебійні та резервні джерела живлення для захисту серверного та мережевого обладнання від збоїв в електроживленні;
8) приміщення обладнані системами протипожежного захисту;
Почти как в банках…
1) забезпечити наявність не менше одного резервного програмноапаратного комплексу для забезпечення безперервної діяльності платіжної системи або системи розрахунків. Вимоги до розміщення такого комплексу повинні відповідати вимогам до розміщення основного комплексу, водночас основний та резервний комплекси повинні бути територіально рознесені;
Не во всех банках до сих пор есть резервные серверные комнаты с полным набором железа.
Передавання резервної копії повинно здійснюватися через захищені лінії зв’язку зі створенням VPN-каналу
або шляхом транспортування носія інформації відповідальною особою;
Слава богу разрешили админу носить резервные копии от одной серверной к другой, а то всё VPN да VPN…