5122

6 октября 2022 года Председатель Национального банка П. Каллаур подписал указ № 377 «Об утверждении инструкции о требованиях к защите информации и обеспечению кибербезопасности при оказании платежных услуг»:

 




На основании подпункта 3.15 пункта 3 статьи 4 Закона Республики Беларусь от 19 апреля 2022 г. № 164-З «О платежных системах и платежных услугах» и части первой статьи 39 Банковского кодекса Республики Беларусь Беларусь Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ:



1. Утвердить Инструкцию о требованиях к защите информации и обеспечению кибербезопасности при оказании платежных услуг (прилагается).


2. Настоящее постановление вступает в силу после официального опубликования.


Председатель П.В.Каллаур



А 16 ноября в банки было направлено письмо с требованием использовать это постановление в своей работе.


Давайте посмотрим на это руководство.



Основные моменты изложены в разделах 7 и 8.


7. Провайдеры платежных услуг обеспечивают:


– сохранность защищаемой информации на всех этапах сбора, получения, систематизации, накопления, хранения, поиска, изменения, использования, обезличивания, блокирования, разблокировки, удаления и доставки, в том числе персональных данных пользователей платежных сервисов и платежных инструментов (далее как пользователи);


– разграничение прав доступа сотрудников при работе с защищенной информацией в информационных системах, включая среду разработки, тестирования и рабочую систему;


– разграничение прав доступа сотрудников и третьих лиц при работе с защищенной информацией;


– защита автоматизированных систем, информационных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, используемых для обработки защищаемой информации, от возможных компьютерных атак;


– контроль доступа к защищаемой информации и автоматизированным системам, информационным системам, программному обеспечению, вычислительной технике, телекоммуникационному оборудованию, используемому для обработки защищаемой информации;


– применение организационных и технических мер защиты информации, направленных на выявление инцидентов защиты информации в платежах;


– принимать меры по реагированию на выявленные инциденты информационной безопасности;


– анализ инцидентов ИБ, оценка принимаемых мер по реагированию на инциденты ИБ;


– защищенное сетевое соединение в случаях, установленных приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации указа Президента Республики Беларусь от 9 декабря , 2019 № 449», с использованием протокола передачи данных, который поддерживает расширение для шифрования с использованием открытых каналов передачи данных;


– ведение и анализ журналов событий по информационной безопасности.


8. При оказании платежных услуг операторы платежных услуг защищают:

 

  • информация, предоставленная пользователями для создания платежного поручения (платежного поручения);


 

  • данные аутентификации пользователя;


 

  • ключевая информация для криптографической защиты информации, используемой поставщиками платежных услуг и пользователями при совершении платежных операций.



Что касается пользователей, то это коснется и их — пароли должны быть более сложными и их также нужно чаще менять:


14. При формировании аутентификационных данных используются методы, обеспечивающие их уникальность, конфиденциальность, случайность. При оценке этих методов применяются следующие ограничения:

 

  • по использованию суженных преобразований аутентификационных данных в алгоритмах аутентификации, в т.ч. устранение приведения букв в идентификаторе пользователя или пароле к одному и тому же регистру, устранение ограничения на количество значащих символов в пароле;


 

  • на минимальную сложность паролей, в том числе ограничение минимальной длины пароля, наличие символов разных классов, несовпадение пароля с идентификатором пользователя, несовпадение нового пароля с одним из ранее использовавшихся.



15. Платежные инструменты ограничивают использование единого начального пароля при генерации паролей или формировании таких паролей по единому алгоритму, смену пароля пользователем без предварительной аутентификации, а также содержат механизм принудительной смены начального пароля при первом авторизация пользователя.


В платежных инструментах реализован механизм смены пароля через определенный период или сообщение о неопределенности его использования и необходимости его изменения




Жизнь пользователей тоже станет сложнее — это ввод капчи, ограниченное количество попыток ввода пароля и т. д.:


Платежные инструменты реализуют механизм защиты от перебора аутентификационных данных, включая временные задержки после определенного количества неудачных попыток ввода, проверьте, является ли пользователь человеком, а не компьютерным ботом.


18. В платежных инструментах проверяется количество неудачных попыток аутентификации и устанавливается лимит на количество неудачных попыток аутентификации (не более трех в течение 5 минут).


Если превышено указанное количество неудачных попыток аутентификации, платежный инструмент блокирует доступ пользователя или требует от пользователя предоставления дополнительного фактора аутентификации, не допуская при этом автоматического ввода информации.


19. Платежные инструменты предусматривают процедуру восстановления доступа пользователей. По истечении установленного времени (минимум 15 минут) с момента блокировки доступа пользователя из-за неудачных попыток аутентификации в платежных инструментах доступ пользователя автоматически аннулируется.


…21. При вводе информации для аутентификации указанные символы не отображаются или отображаются после того, как пользователь выполнит правильную команду разрешения. Введенные символы пароля могут отображаться символами «*» («звездочка»), «” (“жирная точка”) или другие символы.


22. Если пользователь не проявляет активности при работе с платежным инструментом (не совершает действий) в течение указанного времени (минимум 10 минут), активная сессия завершается, и пользователь повторно аутентифицируется для дальнейшей работы.


Устройства пользователя также будут проверены на наличие антивирусных программ и их актуальность (!). Наверное представители антивируса Касперского пропихнули эти пункты, не зря же он был золотым партнером BankIT:

 




Платежные инструменты работают в программной среде (операционной среде), защищенной от вредоносных программ. Программная среда защищена антивирусными средствамио чем уведомляется пользователь платежных инструментов.



28. Платежные инструменты автоматически проверяют наличие антивирусной защиты в программной среде. При отсутствии такого средства платежный инструмент выдает пользователю соответствующее предупреждение и рекомендации.


29. Платежные инструменты автоматически проверять состояние установленного средства антивирусной защиты (настройки, обновления), а также проверять работоспособность (проверка на отсутствие принудительной остановки) средства антивирусной защиты.


30. Провайдер платежных услуг дает пользователю следующие рекомендации:

 

  • не мешать регулярному обновлению антивирусных средств;


 

  • регулярно выполнять полную проверку своего устройства с установленным платежным инструментом с помощью антивирусной защиты (раз в неделю, раз в месяц) на наличие вредоносных программ;


 

  • при обнаружении вредоносного ПО прекратить использование платежного инструмента до устранения инцидента информационной безопасности и, при необходимости, сообщить об инциденте информационной безопасности платежной системе.





Банкам теперь придется уделять кибербезопасности еще больше внимания, ведь помимо этой инструкции теперь будет установлена ​​прямая связь с полицией для уведомления их обо всех происходящих происшествиях.


В рамках совместной инициативы МВД Республики Беларусь, Следственного комитета Республики Беларусь, Комитета по информационной безопасности Ассоциации белорусских банков и Комитета по информационной безопасности Научно-технической ассоциации «Инфопарк» создана рабочая группа для координации действий и повышения эффективности сотрудничества в области информационной безопасности для финансовых организаций. – кредитная зона…


Согласно письму МВД Республики Беларусь, в целях организации взаимодействия правоохранительных органов с банковскими учреждениями и своевременного реагирования на новые инциденты, связанные с мошенническими операциями по карт-счетам клиентов, а также несанкционированным использованием система внешнего банковского обслуживания,


на основании статьи 7 Закона Республики Беларусь «Об органе внутренних дел» от 17 июля 2007 г. № 263-3 просим Вас предоставить контактную информацию в Ассоциацию белорусских банков до 25 ноября 2022 г. лиц из числа сотрудников в банках (подразделениях безопасности (кибербезопасности), процессинговом центре (при наличии), подразделениях по обслуживанию счетов и картсчетов, внешних банковских системах, системах видеонаблюдения) в форме согласно заявлению об их накоплении и перечислении в указанный государственный орган


Именно таких изменений хотят банки и их клиенты в Беларуси. Сейчас уже рекомендуется добровольно-принудительно установить антивирус, а также проверить устройство на работу антивируса и его обновление.


В следующем постановлении уже можно рекомендовать спецпрограмму против экстремистов от белорусского МВД и Губопика…\(°о°)/


Источник: www.infobank.pt

Source

XBNFNM   Россияне с рекордной скоростью начали продавать дома по доверенности

от admin