С 16.11.2022 вступает в силу постановление Нацбанка от 06.10.2022 N 377 «Об утверждении Инструкции о требованиях по защите информации и обеспечению кибербезопасности при оказании платежных услуг» (далее — Инструкция N 377), положения которого должны учитываться поставщиками платежных услуг для обеспечения уровня безопасности оказываемых платежных услуг.

Поставщики платежных услуг должны обеспечить исполнение мер, направленных на реагирование на риск информационной безопасности при выполнении требований по защите информации и обеспечению кибербезопасности, путем (п. 6 Инструкции N 377):

— разработки, внедрения, обеспечения эффективного функционирования, своевременной верификации и актуализации процедур по обеспечению информационной безопасности;

— проведения непрерывного мониторинга инцидентов информационной безопасности.

Требования по защите информации и обеспечению кибербезопасности при оказании платежных услуг, установленные Инструкцией N 377, распространяются на используемые при оказании платежных услуг и применяемые для обработки защищаемой информации (п. 4 Инструкции N 377):

— автоматизированные системы;

— информационные системы;

— программное обеспечение;

— средства вычислительной техники;

— телекоммуникационное оборудование.

При оказании платежных услуг поставщики платежных услуг осуществляют защиту (п. 8 Инструкции N 377):

информации, представляемой пользователями для формирования платежного указания (платежной инструкции);

аутентификационных данных пользователей;

ключевой информации средств криптографической защиты информации, используемой поставщиками платежных услуг и пользователями при осуществлении платежных операций.

Состав и порядок применения мер защиты информации поставщики платежных услуг определяют в ЛПА, предусмотрев в них в том числе (п. 12 Инструкции N 377):

— обеспечение защиты информации при управлении доступом;

— обеспечение защиты вычислительных сетей;

— защиту от вредоносного программного обеспечения;

— предотвращение утечек информации;

— защиту информации при осуществлении удаленного доступа, в том числе с использованием мобильных (переносных) устройств.

Кроме того, в ЛПА должно быть предусмотрено предоставление уполномоченным работникам поставщика платежных услуг права на восстановление или смену необратимо утраченных аутентификационных данных пользователей в платежных инструментах (п. 20 Инструкции N 377).

В отношении защиты информации требованиями определено, что в платежных инструментах должны быть предусмотрены, в частности (п. 18 — 19, 22 Инструкции N 377):

— контроль и ограничение количества неуспешных попыток аутентификации (не более трех в течение 5 минут);

— процедура восстановления доступа пользователя в результате неуспешных попыток аутентификации;

— разрыв активной сессии пользователя, если он не проявляет активности при работе с платежным инструментом в течение установленного времени (не менее 10 минут).

Также определены правила установления паролей при использовании платежных инструментов, в том числе (п. 14 — 15, Инструкции N 377):

— использование ограничений на минимальную сложность пароля, его минимальную длину и содержание;

— несовпадение нового пароля с одним из ранее использовавшихся;

— применение механизма принудительной смены первоначального пароля при первой авторизации пользователя, после определенного срока либо уведомление о небезопасности его использования и необходимости его смены.

Согласно установленным требованиям программы платежных инструментов должны быть защищены средствами антивирусной защиты. При этом (п. 27 — 29 Инструкции N 377):

об использовании средств антивирусной защиты пользователь должен быть проинформирован;

проверка наличия средства антивирусной защиты проверяется автоматически и в случае его отсутствия пользователю выдается соответствующее предупреждение и рекомендации;

проводится автоматическая проверка состояния и действия установленного средства антивирусной защиты: настроек, обновления, отсутствия его принудительной остановки.

Поставщики платежных услуг должны рекомендовать пользователям (п. 30 Инструкции N 377):

— не препятствовать регулярному обновлению средств антивирусной защиты;

— регулярно производить полную проверку своего устройства с установленным платежным инструментом с использованием средств антивирусной защиты (раз в неделю, раз в месяц) для выявления вредоносных программ;

— при обнаружении вредоносных программ прекратить использование платежного инструмента до устранения инцидента информационной безопасности и при необходимости сообщить поставщику платежных услуг о возникшем инциденте.

Банки при оказании платежных услуг посредством систем дистанционного банковского обслуживания (далее — ДБО) (п. 11 Инструкции N 377):

доводят до пользователей рекомендации по защите информации от воздействия вредоносных программ на их платежные инструменты путем включения этих рекомендаций в договор ДБО;

информируют пользователей о возможных рисках при несанкционированном доступе к защищаемой информации и мерах по предотвращению такого доступа, а также о мерах по своевременному обнаружению воздействия вредоносных программ.

Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex