Кібербезпека банківських та комерційних структур

11. Склад вимог до визначення і реалізації порядку забезпечення захисту інформації при здійсненні переказів грошових коштів

До складу вимог до визначення і реалізації порядку забезпечення захисту інформації при здійсненні переказів грошових коштів включаються такі вимоги.

а) Документи, що становлять порядок забезпечення захисту інформації при здійсненні переказів грошових коштів, визначають:

• склад і порядок застосування організаційних заходів захисту інформації;

• склад і порядок використання технічних засобів захисту інформації, включаючи інформацію про конфігурацію технічних засобів захисту інформації, що визначає параметри їх роботи;

• порядок реєстрації та зберігання інформації на паперових носіях і (або) в електронному вигляді, що містить підтвердження виконання порядку застосування організаційних заходів захисту інформації та використання технічних засобів захисту інформації.

б) Оператор встановлює розподіл обов´язків щодо визначення порядку забезпечення захисту інформації при здійсненні переказів грошових коштів шляхом:

• самостійного визначення Оператором порядку забезпечення захисту інформації при здійсненні переказів грошових коштів;

• розподілу обов´язків щодо визначення порядку забезпечення захисту інформації при здійсненні переказів грошових коштів між Оператором, Операторами Послуг Платіжної Інфраструктури і Учасниками;

в) Оператор, Учасник, Оператор Послуг Платіжної Інфраструктури забезпечують визначення порядку забезпечення захисту інформації при здійсненні переказів грошових коштів в рамках розподілу обов´язків, встановлених оператором платіжної системи.

г) Для визначення порядку забезпечення захисту інформації при здійсненні переказів грошових коштів Оператор, Учасник, Оператор Послуг Платіжної Інфраструктури в рамках обов´язків, встановлених Оператором, можуть використовувати:

• положення національних стандартів щодо захисту інформації, стандартів організацій, в тому числі стандартів НБУ, рекомендацій в галузі стандартизації, в тому числі рекомендацій НБУ, прийнятих відповідно до законодавства України про технічне регулювання;

• положення документів, визначених міжнародними платіжними системами;

• результати аналізу ризиків при забезпеченні захисту інформації при здійсненні переказів грошових коштів на основі моделей загроз і порушників безпеки інформації, визначених у національних стандартах щодо захисту інформації, стандартах організацій, в тому числі стандартах НБУ, прийнятих відповідно до законодавства України про технічне регулювання, або на основі моделей загроз і порушників безпеки інформації, визначених Оператором, Учасником, Оператором Послуг Платіжної Інфраструктури.

д) Учасник, Оператор Послуг Платіжної Інфраструктури забезпечують виконання порядку забезпечення захисту інформації при здійсненні переказів грошових коштів.

е) Учасник, Оператор Послуг Платіжної Інфраструктури забезпечують призначення осіб, відповідальних за виконання порядку забезпечення захисту інформації при здійсненні переказів грошових коштів.

ж) Служба інформаційної безпеки Учасника, Оператора Послуг Платіжної Інфраструктури здійснює контроль (моніторинг) виконання порядку забезпечення захисту інформації.