Нацбанк урегулирует надлежащий уровень киберзащиты в сфере денежных переводов.
Соответствующий проект постановления НБУ «Об утверждении Положения о киберзащита и информационной безопасности в платежных системах и системах расчетов» прошел общественное обсуждение.
Проектом определены требования к субъектам платежного рынка по построению системы защиты информации и кибербезопасности и порядок действий при обнаружении кибератак.
В частности, субъект платежного рынка обязан будет:
- разработать/доработать внутренние документы по информационной безопасности и киберзащите в сфере перевода средств и утвердить их;
- поддерживать документы по информационной безопасности и защите от киберугроз в актуальном состоянии;
- разместить серверы, используемые для приема, обработки, передачи электронных документов на перевод, сохранение архивов, и сетевое оборудование, обеспечивающее защиту их внутренней сети, в серверных помещениях на территории Украины;
- определить и ввести усиленные требования к парольной политике для привилегированных учетных записей (длина и сложность паролей, частота изменения) и/или применять многофакторную аутентификацию для таких учетных записей;
- обеспечить соблюдение требований к логинам и паролям;
- принять меры по ограничению использования программного обеспечения и технических устройств, разработчиком которых является юридическое или физическое лицо-резидент государства-агрессора;
- хранить защищенными от несанкционированного доступа учетные данные и пароли доступа к серверному и сетевому оборудованию ключевых субъектов платежного рынка;
- обеспечить невозможность создания HTML страницы со встроенным кодом, полученным из других веб-ресурсов, на своем сайте;
- информировать посетителей своего веб-сайта о переходе по внешним ссылкам в случае необходимости в переправке (редиректе) на другой сайт и т.д.
Субъект платежного рынка также обязан определить перечень ответственных лиц, имеющих физический доступ к средствам защиты информации.
