Кібербезпека банківських та комерційних структур

6. Склад вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів, що застосовуються для захисту інформації при здійсненні доступу до об`єктів інформаційної інфраструктури

До складу вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів, що застосовуються для захисту інформації при здійсненні доступу до об´єктів інформаційної інфраструктури, включаються такі вимоги.

а) Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури забезпечують облік об´єктів інформаційної інфраструктури, які використовуються для обробки, зберігання та (або) передачі інформації, що захищається, в тому числі банкоматів і платіжних терміналів.

б) Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури забезпечують застосування некриптографічних засобів захисту інформації від несанкціонованого доступу, в тому числі пройшли в установленому порядку процедуру оцінки відповідності. Допускається застосування некриптографічних засобів захисту інформації від несанкціонованого доступу іноземного виробництва.

в) При здійсненні доступу до інформації, що захищається, що знаходиться на об´єктах інформаційної інфраструктури, зазначених вище, Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури забезпечують:

• виконання процедур ідентифікації, аутентифікації, авторизації своїх працівників під час здійснення доступу до інформації, що захищається;

• ідентифікацію, аутентифікацію, авторизацію учасників платіжної системи при здійсненні переказів грошових коштів;

• визначення порядку використання інформації, необхідної для виконання аутентифікації;

• реєстрацію дій при здійсненні доступу своїх працівників до інформації, що захищається;

• реєстрацію дій, пов´язаних з призначенням та розподілом прав доступу до інформації, що захищається.

г) При здійсненні доступу до інформації, що захищається, яка знаходиться на об´єктах інформаційної інфраструктури, зазначених вище, Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури забезпечують:

• виконання процедур ідентифікації, аутентифікації, авторизації осіб, які здійснюють доступ до програмного забезпечення банкоматів і платіжних терміналів;

• виконання процедур ідентифікації та контроль діяльності осіб, які здійснюють технічне обслуговування банкоматів та платіжних терміналів;

• реєстрацію дій клієнтів, які виконуються з використанням програмного забезпечення, що входить до складу об´єктів інформаційної інфраструктури та використовуваного для здійснення переказів грошових коштів (далі - програмне забезпечення), і автоматизованих систем, що входять до складу об´єктів інформаційної інфраструктури і використовуваних для здійснення переказів грошових коштів (далі - автоматизовані системи), при наявності технічної можливості;

• реєстрацію дій, пов´язаних з призначенням та розподілом прав клієнтів, наданих їм в автоматизованих системах і програмному забезпеченні, при наявності технічної можливості.

д) При здійсненні доступу до інформації, що захищається, яка знаходиться на об´єктах інформаційної інфраструктури, зазначених вище, Учасник забезпечує реєстрацію дій з інформацією про банківські рахунки, включаючи операції відкриття і закриття банківських рахунків.

е) Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури забезпечують:

• реалізацію заборони несанкціонованого розширення прав доступу до інформації, що захищається;

• призначення своїм працівникам мінімально необхідних для виконання їх функціональних обов´язків прав доступу до інформації, що захищається.

ж) Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури приймають і фіксують у внутрішніх документах рішення про необхідність застосування організаційних заходів захисту інформації та (або) використання технічних засобів захисту інформації, призначених для:

• контролю фізичного доступу до об´єктів інформаційної інфраструктури (за винятком банкоматів і платіжних терміналів), збої і (або) відмови в роботі яких призводять до неможливості надання послуг з переказу грошових коштів або до несвоєчасності здійснення переказів грошових коштів, а також доступу до будівлі та приміщення, в яких вони розміщуються;

• запобігання фізичного впливу на засоби обчислювальної техніки, експлуатація яких забезпечуються Учасником, Агентом (субагентів), Оператором Послуг Платіжної Інфраструктури і які використовуються для здійснення переказів грошових коштів (далі - засоби обчислювальної техніки), і телекомунікаційне обладнання, експлуатація якого забезпечується Учасником, Агентом (субагентами ), Оператором Послуг Платіжної Інфраструктури і яке використовується для здійснення переказів грошових коштів

• комунікаційне обладнання), збої і (або) відмови в роботі яких призводять до неможливості надання послуг з переказу грошових коштів або до несвоєчасності здійснення переказів грошових коштів, за винятком банкоматів і платіжних терміналів;

• реєстрації доступу до банкоматів, в тому числі з використанням систем відеоспостереження.

з) У разі прийняття Учасником, Агентом (субагентів), Оператором Послуг Платіжної Інфраструктури рішення про необхідність застосування організаційних заходів захисту інформації та (або) використання технічних засобів захисту інформації, зазначених вище, Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури забезпечують застосування зазначених організаційних заходів захисту інформації та (або) використання технічних засобів захисту інформації, призначених для запобігання несанкціонованому доступу до інформації, що захищається шляхом використання вразливостей програмного забезпечення;

• зниження тяжкості наслідків від впливів на об´єкти інформаційної інфраструктури з метою створення умов для неможливості надання послуг з переказу грошових коштів або несвоєчасність здійснення переказів грошових коштів;

• фільтрацію мережевих пакетів при обміні інформацією між обчислювальними мережами, в яких розташовуються об´єкти інформаційної інфраструктури, і мережею Інтернет.

б) Учасник забезпечує формування для клієнтів рекомендацій щодо захисту інформації від несанкціонованого доступу шляхом використання неправдивих (фальсифікованих) ресурсів мережі Інтернет.