НБУ установил четкие требования к участникам платежного рынка относительно:
построения системы защиты информации и обеспечения кибербезопасности;
порядка действий во время выявления кибератак, которые снижают надежность функционирования платежных систем.
Соответствующие новации изложены в постановлении НБУ от 19 мая 2021 года № 43 "Об утверждении Положения о защите информации и киберзащите в платежных системах".
Постановление вступает в силу с 29 мая 2021 года, но участники платежного рынка будут иметь переходный период 12 месяцев, чтобы привести свою деятельность в соответствие с требованиями этого постановления.
В частности, они должны разработать такие внутренние документы:
1) политику информационной безопасности, которая включает цель, задание и общие принципы обеспечения защиты информации, киберзащиты и информационной безопасности, перечень объектов, которые подлежат защите, модели угроз и модели нарушителей, основные положения относительно обеспечения защиты информации, киберзащиты и информационной безопасности, ответственность за соблюдение положений политики и контроль за ее соблюдением;
2) документы, которые определяют полномочия и ответственность персонала по вопросам обеспечения защиты информации, киберзащиты и информационной безопасности;
3) требования относительно защиты личных ключей подписывателей от НСД;
4) методику возобновления и защиты критических данных в случае потери, компрометации или повреждения криптографических ключей или носителей критических данных.
К критическим данным относятся:
электронные документы на перевод;
пароли;
персональные данные;
архивы всех этих данных;
5) требования к паролям.
Субъект информационной защиты обязан обеспечить размещение серверов, которые используются для хранения и обработки электронных документов на перевод, персональных данных пользователей платежных систем и архивов этих данных, в критических помещениях. Перечень работников субъекта информационной защиты, которым предоставляется право постоянного доступа к этим серверам, определяется ответственным лицом и утверждается руководителем субъекта или его заместителем. Доступ других лиц к этим серверам предоставляется по согласованию с ответственным лицом и в сопровождении работников, которые имеют право постоянного доступа к этим серверам.
Также определены требования к криптографическим средствам защиты информации, сетевой защиты, фиксации киберинцидентов и т.д.
Контролируйте репутацию бизнеса в период кризиса. Автоизвещение об упоминаниях в медиа есть в LIGA360: Руководитель. Узнавайте обо всех преимуществах системы по ссылке.
