Ця сторінка також доступна для перегляду українською мовою

Перейти до української версії сайту

НБУ повышает уровень киберзащиты в сфере перевода средств На правах спонсорства

Реклама

НБУ установил четкие требования к участникам платежного рынка относительно:

  • построения системы защиты информации и обеспечения кибербезопасности;

  • порядка действий во время выявления кибератак, которые снижают надежность функционирования платежных систем.

Соответствующие новации изложены в постановлении НБУ от 19 мая 2021 года № 43 "Об утверждении Положения о защите информации и киберзащите в платежных системах".

Постановление вступает в силу с 29 мая 2021 года, но участники платежного рынка будут иметь переходный период 12 месяцев, чтобы привести свою деятельность в соответствие с требованиями этого постановления.

В частности, они должны разработать такие внутренние документы:

1) политику информационной безопасности, которая включает цель, задание и общие принципы обеспечения защиты информации, киберзащиты и информационной безопасности, перечень объектов, которые подлежат защите, модели угроз и модели нарушителей, основные положения относительно обеспечения защиты информации, киберзащиты и информационной безопасности, ответственность за соблюдение положений политики и контроль за ее соблюдением;

2) документы, которые определяют полномочия и ответственность персонала по вопросам обеспечения защиты информации, киберзащиты и информационной безопасности;

3) требования относительно защиты личных ключей подписывателей от НСД;

4) методику возобновления и защиты критических данных в случае потери, компрометации или повреждения криптографических ключей или носителей критических данных.

К критическим данным относятся:

  • электронные документы на перевод;

  • пароли;

  • персональные данные;

  • архивы всех этих данных;

5) требования к паролям.

Субъект информационной защиты обязан обеспечить размещение серверов, которые используются для хранения и обработки электронных документов на перевод, персональных данных пользователей платежных систем и архивов этих данных, в критических помещениях. Перечень работников субъекта информационной защиты, которым предоставляется право постоянного доступа к этим серверам, определяется ответственным лицом и утверждается руководителем субъекта или его заместителем. Доступ других лиц к этим серверам предоставляется по согласованию с ответственным лицом и в сопровождении работников, которые имеют право постоянного доступа к этим серверам.

Также определены требования к криптографическим средствам защиты информации, сетевой защиты, фиксации киберинцидентов и т.д.

Контролируйте репутацию бизнеса в период кризиса. Автоизвещение об упоминаниях в медиа есть в LIGA360: Руководитель. Узнавайте обо всех преимуществах системы по ссылке.

Оставьте комментарий
Войдите, чтобы оставить комментарий
Войти
Подпишитесь на рассылку
Главные новости и аналитика для вас по будням
Похожие новости