Война — это способ разбивать вдребезги, распылять в стратосфере, топить в морской пучине материалы, которые могли бы улучшить народу жизнь и тем самым в конечном счете сделать его разумнее...   Оруэлл Джордж 

Отзывы о банках


InfoBank.by – Все банки Беларуси  >  Смартфоны клиентов банков под прицелом

Смартфоны клиентов банков под прицелом

Размер шрифта:    Уменьшить шрифт  Восстановить исходный рзмер  Увеличить шрифт 
2547

Председатель нацбанка П. Каллаур подписал 6 октября 2022 г.  постановление № 377 "Об утверждении Инструкции о требованиях по защите информации и обеспечению кибербезопасности при оказании платежных услуг":
 

 
На основании подпункта 3.15 пункта 3 статьи 4 Закона Республики Беларусь от 19 апреля 2022 г. № 164-З ”О платежных системах и платежных услугах“ и части первой статьи 39 Банковского кодекса Республики Беларусь Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ:
 
1. Утвердить Инструкцию о требованиях по защите информации и обеспечению кибербезопасности при оказании платежных услуг (прилагается).
 
2. Настоящее постановление вступает в силу после его официального опубликования.
 
Председатель Правления П.В.Каллаур

 
А 16 ноября в банки разослали письмо с требованием использовать это постановление в работе.
 
Давайте посмотрим эту инструкцию.

 
Основные моменты прописаны в пункте 7 и 8
 
7. Поставщики платежных услуг обеспечивают:
 
-безопасность защищаемой информации на всех этапах ее сбора, получения, систематизации, накопления, хранения, поиска, изменения, использования, обезличивания, блокирования, разблокирования, удаления и предоставления, в том числе персональных данных пользователей платежных услуг и платежных инструментов (далее – пользователи);
 
- разграничение прав доступа работников при работе с защищаемой информацией в информационных системах, включая среду разработки, тестирования и рабочую систему;
 
- разграничение прав доступа своих работников и третьих лиц при работе с защищаемой информацией;
 
- защиту автоматизированных систем, информационных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, применяемых для обработки защищаемой информации, от возможных компьютерных атак;
 
- мониторинг доступа к защищаемой информации и автоматизированным системам, информационным системам, программному обеспечению, средствам вычислительной техники, телекоммуникационному оборудованию, применяемым для обработки защищаемой информации;
 
- применение организационных и технических мер защиты информации, направленных на выявление инцидентов информационной безопасности при осуществлении платежей;
 
- принятие мер реагирования на выявленные инциденты информационной безопасности;
 
- анализ инцидентов информационной безопасности, оценку принятых мер реагирования на инциденты информационной безопасности;
 
- защищенное сетевое соединение в случаях, установленных приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 ”О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449“, путем применения протокола передачи данных, поддерживающего расширение для шифрования при использовании открытых каналов передачи данных;
 
- ведение и анализ журналов регистрации инцидентов информационной безопасности.
 
8. При оказании платежных услуг поставщики платежных услуг осуществляют защиту:
 
  • информации, предоставляемой пользователями для формирования платежного указания (платежной инструкции);
 
  • аутентификационных данных пользователей;
 
  • ключевой информации средств криптографической защиты информации, используемой поставщиками платежных услуг и пользователями при осуществлении платежных операций.
 
Что касается пользователей, то на них это тоже отразиться - пароли придется придумывать более сложные и менять их так же придется чаще:
 
14. При генерации аутентификационных данных применяются методы, обеспечивающие их уникальность, конфиденциальность, случайность. При оценке указанных методов используются следующие ограничения:
 
  • на использование в алгоритмах аутентификации сужающих преобразований аутентификационных данных, в том числе исключение приведения букв идентификатора пользователя или пароля к одному регистру, исключение ограничения количества значащих символов пароля;
 
  • на минимальную сложность паролей, в том числе ограничение минимальной длины пароля, наличие символов различных классов, несовпадение пароля с идентификатором пользователя, несовпадение нового пароля с одним из ранее использовавшихся.
 
15. Платежные инструменты ограничивают использование при генерации паролей единого первоначального пароля или формирование таких паролей по единому алгоритму, смену пароля пользователем без предварительной аутентификации, а также содержат механизм принудительной смены первоначального пароля при первой авторизации пользователя.
 
В платежных инструментах реализуется механизм смены пароля после определенного срока либо уведомление о небезопасности его использования и необходимости его смен
 
 
Так же будет усложняться жизнь пользователей - это вводы капчи, ограниченное количество попыток ввода пароля и т.д.:
 
В платежных инструментах реализуется механизм защиты от перебора данных аутентификации, в том числе временные задержки после определеного количества неуспешных попыток ввода, проверка, является ли пользователь человеком, а не компьютерной бот-программой.
 
18. В платежных инструментах осуществляется контроль количества неуспешных попыток аутентификации, а также устанавливается ограничение на количество неуспешных попыток аутентификации (не более трех в течение 5 минут).
 
При превышении установленного числа неуспешных попыток аутентификации платежный инструмент блокирует доступ пользователя или требует ввод пользователем дополнительного фактора аутентификации, не допуская при этом ввода информации в  автоматическом режиме.
 
19. В платежных инструментах предусматривается процедура восстановления доступа пользователя. По истечении установленного времени (не менее 15 минут) с момента блокирования доступа пользователя вследствие неуспешных попыток аутентификации в платежных инструментах выполняется автоматическое разблокирование доступа пользователя.
 
...21. При вводе информации для аутентификации вводимые символы не отображаются либо отображаются после выполнения пользователем соответствующей разрешающей команды. Вводимые символы пароля могут отображаться условными знаками ”*“ (”звездочка“), ”“ (”жирная точка“) или иными знаками.
 
22. Если пользователь не проявляет активности при работе с платежным инструментом (не осуществляет действий) в течение установленного времени (не менее 10 минут), активная сессия разрывается и пользователь для дальнейшей работы проходит аутентификацию повторно
 
Так же будет идти проверка устройств пользователя на наличие антивирусных программ  и их актуальность (!). Наверное представители антивируса касперского продавили данные пункты, не зря же он был золотым партнером БанкИТ:
 

 
Платежные инструменты эксплуатируются в программной среде (среде эксплуатации), защищенной от вредоносного программного обеспечения. Защита программной среды осуществляется с использованием средств антивирусной защиты, о чем информируется пользователь платежных инструментов.
 
28. Платежные инструменты автоматически осуществляют проверку наличия в программной среде средства антивирусной защиты. В случае отсутствия такого средства платежный инструмент выдает пользователю соответствующее предупреждение и рекомендации.
 
29. Платежные инструменты автоматически осуществляют проверку состояния установленного средства антивирусной защиты (настройки, обновления), а также проверку работоспособности (проверку на отсутствие принудительной остановки) средства антивирусной защиты.
 
30. Поставщик платежных услуг дает следующие рекомендации для пользователя:
 
  • не препятствовать регулярному обновлению средств антивирусной защиты;
 
  • регулярно производить полную проверку своего устройства с установленным платежным инструментом с использованием средств антивирусной защиты (раз в неделю, раз в месяц) с целью выявления вредоносного программного обеспечения;
 
  • в случае обнаружения вредоносного программного обеспечения прекратить использование платежного инструмента до устранения инцидента информационной безопасности и при необходимости сообщить поставщику платежных услуг об инциденте информационной безопасности.
 
 
Банкам придется сейчас еще больше внимания уделять кибербезопасности, ведь кроме этой инструкции, сейчас будет создана еще и прямая связь с милицией для оповещения её о всех возникающих инцидентах.
 
В рамках совместной инициативы Министерства внутренних дел Республики Беларусь, Следственного комитета Республики Беларусь, Комитета по информационной безопасности Ассоциации белорусских банков и Комитета по информационной безопасности Научно-технологической ассоциации «Инфопарк» создана рабочая группа по координации действий и повышения эффективности сотрудничества в области информационной безопасности организаций финансово-кредитной сферы...
 
Согласно письму Министерства внутренних дел Республики Беларусь в целях организации взаимодействия правоохранительных органов с банковскими учреждениями и своевременного реагирования на возникающие инциденты, связанные с проведением мошеннических операций по карт- счетам клиентов, а также несанкционированным использованием системы дистанционного банковского обслуживания,
 
 на основании статьи 7 Закона Республики Беларусь «Об органах внутренних дел» от 17.07.2007 № 263-3, просим в срок до 25 ноября 2022 г. представить в Ассоциацию белорусских банков контактные данные лиц из числа сотрудников банков (подразделения безопасности (кибербезопасности), процессингового центра (при наличии), подразделений по обслуживанию счетов и карт-счетов, систем дистанционного банковского обслуживания, систем видеонаблюдения) по форме согласно приложению для их аккумулирования и передачи указанному государственному органу
 
Вот такие изменения будут у банков и их клиентов в Беларуси. Сейчас уже рекомендуют добровольно-принудительно ставить антивирус, а так же проверяют устройство на работу антивируса и его обновление.
 
В следующем постановлении можно уже рекомендовать специальную программу против экстремистов от белорусского мвд и губопик...\(°o°)/
 
 

Источник: www.infobank.pt

Понравилось? Отправь друзьям!


Оставить комментарий
  
Комментариев нет
Другие новости