Кібербезпека банківських та комерційних структур

8. Склад вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів, що застосовуються для захисту інформації з вико- ристанням технологічних заходів захисту інформації

До складу вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів, що застосовуються для захисту інформації з використанням технологічних заходів захисту інформації, включаються такі вимоги.

а) Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури забезпечують облік і контроль Оператор визначає порядок застосування організаційних заходів захисту інформації та (або) використання технічних засобів захисту інформації, що використовуються при проведенні операцій обміну електронними повідомленнями та іншою інформацією при здійсненні переказів грошових коштів. Учасник і Оператор Послуг Платіжної Інфраструктури забезпечують виконання зазначеного порядку.

в) Розпорядження клієнта, розпорядження Учасника та розпорядження ЦПКК в електронному вигляді може бути посвідчений електронним підписом, а також відповідно до пункту 3 статті 847 Цивільного кодексу України (Відомості Верховної Ради України, 1996, N 5, ст. 410) аналогами власноручного підпису, кодами, паролями та іншими засобами, що дозволяють підтвердити складання розпорядження уповноваженою на це особою.

г) При експлуатації об´єктів інформаційної інфраструктури Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури забезпечують:

• захист електронних повідомлень від спотворення, фальсифікації, переад- ресації, несанкціонованого ознайомлення та (або) знищення, помилкової авторизації;

• контроль (моніторинг) дотримання встановленої технології підготовки, обробки, передачі та зберігання електронних повідомлень і інформації, що захищається на об´єктах інформаційної інфраструктури;

• аутентифікацію вхідних електронних повідомлень;

• взаємну (двосторонню) аутентифікацію учасників обміну електронними повідомленнями;

• відновлення інформації про залишки коштів на банківських рахунках і даних власників платіжних карт в разі умисного (випадкового) руйнування (спотворення) або виходу з ладу засобів обчислювальної техніки;

• звірку вихідних електронних повідомлень з відповідними вхідними і обробленими електронними повідомленнями при здійсненні розрахунків в платіжній системі Вестерн Юніон;

• виявлення фальсифікованих електронних повідомлень, в тому числі здійснення операцій, пов´язаних із здійсненням переказів грошових коштів, зловмисником від імені авторизованого клієнта (підміна авторизованого клієнта) після виконання процедури авторизації.