Національний банк має намір уперше врегулювати питання щодо забезпечення належного рівня кіберзахисту та інформаційної безпеки у сфері переказу коштів. Про це йдеться у повідомленні регулятора.
28 вересня 2018, 10:56
НБУ врегулює питання захисту переказу коштів
Що це дасть
Документ розроблено на виконання вимог закону «Про основні засади забезпечення кібербезпеки України», згідно з яким Нацбанк має визначити порядок, вимоги та заходи із забезпечення кіберзахисту та інформаційної безпеки для суб’єктів переказу коштів, а також здійснювати контроль за їх виконанням.
Проектом постанови передбачено визначити:
- вимоги до суб’єктів платіжного ринку щодо побудови системи захисту інформації та кібербезпеки;
- порядок дій при виявленні кібератак, що знижують надійність функціонування платіжних систем та систем розрахунків;
- вимоги до організаційних та технічних заходів з метою забезпечення захисту інформації та кібербезпеки суб’єктами платіжного ринку тощо.
В основу цього документу покладено вимоги і рекомендації національних та міжнародних стандартів з питань інформаційної безпеки, а також загальноприйняті у міжнародній практиці сучасні підходи до забезпечення інформаційної безпеки та кіберзахисту.
Джерело:
Мінфін
Коментарі - 4
обеспечения надлежащего уровня киберзащиты
и информационной безопасности в сфере денежных переводов.»
И для этого он вынес на публичное обсуждение проект
«Положення про кіберзахист та інформаційну безпеку в платіжних системах та системах розрахунків»
Все желающие очередной раз плюнуть в сторону НБУ
должны предварительно ознакомиться с проектом
на 27 листах формата А4, который можно
лицезреть по вышеприведенной ссылке.
Всем привет и интересного чтива.
Из того, что сразу запало в душу…
3) розмістити сервери, що використовуються для приймання, оброблення, передавання електронних документів на переказ, збереження архівів, та мережеве обладнання, що забезпечує захист їх внутрішньої мережі, у серверних приміщеннях на території України;
Привет облачному хранению данных за пределами Украины.
6) вжити заходів щодо обмеження використання програмного забезпечення (далі – ПЗ) та технічних пристроїв, розробником яких є юридична чи фізична особа-резидентдержави-агресора;
Привет российскому софту.
16. Суб’єкт платіжного ринку зобов’язаний визначити перелік відповідальних осіб, що мають фізичний доступ до засобів захисту інформації. Обов’язки адміністратора засобів захисту інформації повинні бути відокремлені від обов’язків адміністратора серверів баз даних та інших серверів захищеного сегмента.
А вот и новые рабочие места организовал НБУ.
Продолжение следует…
2) доступ до серверів заборонено без присутності відповідальних осіб ключового суб’єкта платіжного ринку;
3) приміщення обладнані охоронною сигналізацією;
4) ведеться реєстрація відвідувачів на вході до критичних приміщень шляхом занесення у журнал реєстрації інформації про осіб, що відвідували приміщення, дату і час входу та виходу, мету відвідування приміщення, установу, яку він представляє;
5) застосовуються засоби відеоспостереження для моніторингу відвідувань, сигналізація та автоматизовані засоби для розпізнавання порушень та ініціювання реагування на них;
6) заборонено розташування робочих місць працівників ключового суб’єкта платіжного ринку та сторонніх осіб у критичних приміщеннях;
7) використовуються безперебійні та резервні джерела живлення для захисту серверного та мережевого обладнання від збоїв в електроживленні;
8) приміщення обладнані системами протипожежного захисту;
Почти как в банках…
1) забезпечити наявність не менше одного резервного програмноапаратного комплексу для забезпечення безперервної діяльності платіжної системи або системи розрахунків. Вимоги до розміщення такого комплексу повинні відповідати вимогам до розміщення основного комплексу, водночас основний та резервний комплекси повинні бути територіально рознесені;
Не во всех банках до сих пор есть резервные серверные комнаты с полным набором железа.
Передавання резервної копії повинно здійснюватися через захищені лінії зв’язку зі створенням VPN-каналу
або шляхом транспортування носія інформації відповідальною особою;
Слава богу разрешили админу носить резервные копии от одной серверной к другой, а то всё VPN да VPN…