|
|
Приложение к постановлению Правления Национального банка Кыргызской Республики от 31 марта 2023 года № 2023-П-14/21-1-(ПС) |
ПОЛОЖЕНИЕ
о требованиях по обеспечению информационной безопасности операторов платежных систем и платежных организаций
(В редакции постановления Правления Нацбанка КР от 22 мая 2024 года № 2024-П-14/23-2-(ПС))
Глава 1. Общие положения
1. Целью настоящего Положения является установление единых требований для операторов платежных систем и платежных организаций (далее - ОПС/ПО), направленных на повышение уровня информационной безопасности в ОПС/ПО, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала.
2. В целях настоящего Положения применяются определения, используемые в нормативных актах Национального банка Кыргызской Республики (далее - Национальный банк) по платежной системе, а также следующие определения:
Автоматизированная система - система, состоящая из аппаратно-программного комплекса средств автоматизации деятельности организации, методов и мероприятий, реализующих информационную технологию выполнения установленных функций.
Авторизация - процесс предоставления определенному объекту/субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.
Аутентификация - проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности.
Доступность информационного актива - свойство информационной безопасности ОПС/ПО, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.
Жизненный цикл информационной системы - период, который начинается с момента принятия решения о необходимости создания информационной системы и заканчивается в момент ее полного изъятия из эксплуатации.
Идентификатор - уникальный признак субъекта или объекта доступа.
Идентификация - процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов.
Информационная система - система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы, с помощью которых обеспечивается и распространяется информация.
Информационные активы - информация, имеющая ценность для ОПС/ПО с точки зрения достижения ее целей и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передаче форме.
Конфиденциальность информационного актива - состояние ресурсов ОПС/ПО, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.
Объект - процесс, выполняющийся в информационной системе, запрашивающий разрешение на получение доступа к информации.
Пароль - секретный набор символов, предназначенный для подтверждения полномочий пользователя.
Пользователь автоматизированной системы - субъект или объект, зарегистрированный в автоматизированной системе и использующий ее ресурсы (сотрудники, участники платежной системы).
Санкционирование - действие по предоставлению пользователю возможности выполнения (предоставления разрешения) конкретных действий в системе на основе его должностных обязанностей. Без специальной санкции ни одному пользователю не разрешается доступ к какой-либо информации или приложению.
Субъект - пользователь, запрашивающий разрешение на получение доступа к информации.
Токен ("ключ") - компактное устройство в виде USB-брелока или ключ в облаке (специальный защищенный сервер), которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных.
Целостность информационного актива - свойство информационной безопасности ОПС/ПО сохранять неизменность или обнаруживать факт изменения в своих информационных активах.
3. Система управления информационной безопасностью является частью общей системы управления, основанной на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности ОПС/ПО.
4. Национальный банк вправе осуществлять проверку ОПС/ПО на соблюдение требований, установленных настоящим Положением, а также другими нормативными правовыми актами Национального банка в части соблюдения информационной безопасности ОПС/ПО.
5. Руководство ОПС/ПО несет полную ответственность за использование и функционирование всей его информационной системы, в том числе за действия агентов и субагентов, связанных с ее использованием.
6. В управлении системой обеспечения информационной безопасностью ОПС/ПО должны непрерывно использовать такие процессы, как планирование, реализация, проверка и совершенствование.
7. Требования по информационной безопасности должны быть комплексно взаимосвязаны и непрерывны по всем стадиям жизненного цикла информационных систем.
Глава 2. Требования к документам по информационной безопасности
8. В целях обеспечения информационной безопасности в ОПС/ПО должны быть разработаны два уровня документации:
- политика информационной безопасности (документ, регламентирующий практику обеспечения информационной безопасности);
- операционные процедуры по обеспечению информационной безопасности.
9. Политика информационной безопасности, регламентирующая практику обеспечения информационной безопасности (далее - политика ИБ), должна отражать поддержку целей, установленных руководством, и дальнейшую детализацию общих принципов, определяющая подробные меры, необходимые для выполнения требований политики информационной безопасности.
10. Требования по обеспечению информационной безопасности, отображаемые в политике информационной безопасности ОПС/ПО, должны быть определены для следующих наиболее важных областей:
- требования к персоналу;
- назначение, распределение ролей и регистрация в информационной системе;
- процесс управления рисками информационной безопасности;
- обеспечение непрерывности деятельности;
- обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем;
- регистрация всех действий в автоматизированных системах;
- антивирусная защита;
- использование ресурсов сети интернет;
- резервное копирование и восстановление;
- управление инцидентами информационной безопасности и т.д.
11. Документы по операционным процедурам для обеспечения безопасности должны содержать описание практических приемов на техническом уровне, обеспечивающие внедрение необходимых практик. Процедуры должны соответствовать политикам ОПС/ПО.
12. ОПС/ПО должны обеспечить наличие и сохранность документов, которые содержат свидетельства выполненной деятельности и действий по обеспечению информационной безопасности (отчеты, акты, журналы), и отражать достигнутые результаты (промежуточные и окончательные) при реализации требований документов, относящихся к обеспечению информационной безопасности ОПС/ПО.
Глава 3. Требования к персоналу ОПС/ПО
13. ОПС/ПО должны иметь персонал в соответствии с требованиями, установленными в Положении "О регулировании деятельности платежных организаций и операторов платежных систем", утвержденном постановлением Правления Национального банка от 30 сентября 2019 года № 2019-П-14/50-2-(ПС) (далее - Положение о регулировании).
14. В ОПС/ПО должны быть разработаны процедуры приема на работу, включающие:
- проверку подлинности представленных документов, заявляемой квалификации, точности и полноты биографических фактов;
- проверку профессиональных навыков и оценку профессиональной пригодности.
15. Все сотрудники ОПС/ПО должны быть письменно ознакомлены с требованиями по обеспечению информационной безопасности.
16. Подразделение или уполномоченное лицо, ответственное за обеспечение информационной безопасности, осуществляет и несет ответственность за организацию информационной безопасности в ОПС/ПО, а также должен на систематической основе актуализировать информацию об угрозах в сфере информационной безопасности, своевременно информировать руководство и сотрудников ОПС/ПО об угрозах, а также проводить мероприятия, направленные на повышение общего уровня осведомленности персонала в целях противодействия данным угрозам.
17. Функции подразделения или уполномоченного лица, ответственного за обеспечение информационной безопасности, не должны включать совмещение работ с функциями отдела информационных технологий (ИТ).
При этом ОПС/ПО, не являющиеся значимой платежной системой/системно-значимой платежной системой/провайдером критичных услуг, вправе возложить обязанности по обеспечению информационной безопасности в ОПС/ПО на иное должностное лицо с обязательным прохождением соответствующего обучения.
18. Должностные обязанности подразделения или уполномоченного лица, ответственного за обеспечение информационной безопасности, должны включать:
1) контроль за исполнением ОПС/ПО внутренних нормативных документов и нормативных правовых актов в области информационной безопасности;
2) анализ степени защищенности информационной безопасности;
3) разработку внутренних нормативных документов по информационной безопасности.
19. Обязанности и ответственность персонала по выполнению требований к обеспечению информационной безопасности должны быть включены в их должностные инструкции.
20. Неисполнение или ненадлежащее исполнение сотрудниками ОПС/ПО требований по обеспечению информационной безопасности приравнивается к невыполнению должностных обязанностей.
Глава 4. Назначение, распределение ролей и регистрация в автоматизированной системе
21. В ОПС/ПО должен быть разработан и принят документ, который содержит роли сотрудников, включая роли по обеспечению информационной безопасности.
22. В автоматизированной системе должны быть определены роли, обеспечивающие четкое разграничение полномочий сотрудников.
23. При предоставлении доступа сотрудникам к автоматизированной системе должны быть выполнены процедуры санкционирования, идентификации, аутентификации и авторизации пользователей. Перед выдачей идентификатора пользователю должна осуществляться проверка подтверждения его личности. Система должна фиксировать исполнителя, выдавшего идентификатор пользователю.
24. Работа всех пользователей автоматизированной системы должна осуществляться под уникальными учетными записями.
25. При распределении прав доступа сотрудников и участников платежной системы к информационным активам ОПС/ПО должны руководствоваться принципами:
- "знать своего служащего" (Know your Employee) - принцип, демонстрирующий озабоченность ОПС/ПО по поводу отношения сотрудников ОПС/ПО к таким своим обязанностям и возможным проблемам, как злоупотребление имуществом, финансовые трудности, которые могут приводить к проблемам с безопасностью;
- "необходимо знать" (Need to Know) - принцип безопасности, который ограничивает доступ к информации и ресурсам по обработке информации тем, кому требуется выполнять определенные обязанности;
- "наименьших привилегий" - принцип, означающий, что для выполнения определенной операции пользователь должен получать или предоставлять минимально необходимые привилегии.
26. В ОПС/ПО должен быть документально определен перечень информационных активов (автоматизированной системы и их типов) и права доступа сотрудников и участников к данным активам.
27. Формирование ролей должно осуществляться на основании существующих бизнес-процессов ОПС/ПО и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов информационной безопасности, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.
28. В ОПС/ПО должен осуществляться контроль за "привилегированным доступом", а именно: учетными записями с повышенным правом доступа к автоматизированным системам (учетные записи с правом администратора) в целях минимизации рисков и обеспечения безопасности критически важных автоматизированных систем.
29. Для каждой роли должны быть назначены лица, ответственные за их выполнение. Ответственность сотрудников должна быть зафиксирована в их должностных инструкциях.
30. Аутентификация пользователей в автоматизированной системе должна соответствовать критичности получаемой информации и осуществляться на основе одного или нескольких механизмов аутентификации:
- по знанию "что-то знать" (пароль, ПИН-код);
- по владению "что-то иметь" (смарт-карта, токен);
- по физическим характеристикам пользователя "кем-то быть" (отпечатки пальцев или другие биометрические данные).
Двухфакторная аутентификация включает в себя любые два из этих трех механизмов: человек "что-то знает" и "что-то имеет" или "кем-то является".
31. События по регистрации и изменению прав доступа пользователей должны фиксироваться в журнале событий автоматизированной системы.
32. В ОПС/ПО должны применяться защитные меры, направленные на обеспечение защиты от несанкционированного доступа, неразрешенных действий, нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации участников платежной системы и сотрудников ОПС/ПО. Все попытки неразрешенных действий и несанкционированного доступа к такой информации должны регистрироваться в журнале событий.
33. ОПС/ПО при предоставлении сотрудникам удаленного доступа к автоматизированной системе и корпоративным сервисам должны внедрить технологию многофакторной аутентификации.
34. При увольнении сотрудников или изменении должностных обязанностей сотрудников ОПС/ПО, имеющих доступ к информации автоматизированной системы, их права доступа к автоматизированной системе должны быть заблокированы или изменены.
35. В ОПС/ПО должна быть разработана и внедрена политика паролей. Политика паролей должна включать в себя как минимум такие основные правила и компоненты, как:
- требования к степени сложности и длине пароля;
- требования по недопустимости записи и хранения паролей на материальных носителях;
- ответственность пользователей за нарушение политики.
36. Сотрудники ОПС/ПО должны быть ознакомлены с политикой паролей и строго соблюдать ее требования в процессе работы.
37. ОПС/ПО должны разработать рекомендации по соблюдению требований политики информационной безопасности для:
- участников платежной системы (агенты, субагенты), имеющих доступ к платежной системе;
- держателей электронных кошельков (при наличии системы расчетов электронными деньгами);
- пользователей мобильных приложений, в том числе мобильных приложений агентов (при наличии мобильных приложений);
- и проводить работу по информированию пользователей о соблюдении данных требований в процессе работы с ними.
Глава 5. Требования к процессу управления рисками информационной безопасности
38. В ОПС/ПО должна быть разработана политика по управлению рисками информационной безопасности, интегрированная с общей политикой управления рисками в платежной системе.
39. ОПС/ПО должны определить ценность активов, выявить уязвимости, угрозы и риски. Выявленные риски должны быть количественно или качественно оценены. ОПС/ПО должны определить соответствующие меры и средства контроля для обработки рисков.
40. Организация процесса оценки рисков может быть основана на международном стандарте по информационной безопасности ISO 27005 или аналогичных стандартах.
Глава 5-1. Требования к процессу обслуживания платежных карт
(В редакции постановления Правления Нацбанка КР от 22 мая 2024 года № 2024-П-14/23-2-(ПС))
40-1. При обслуживании платежных карт ОПС/ПО должен/должна обеспечить выполнение требований настоящего Положения.
40-2. При обслуживании платежных карт ОПС/ПО или их процессинговый центр должен/должна иметь действующий сертификат соответствия требованиям безопасности стандарта PCI DSS, и, соответственно, выполнять требования безопасности PCI DSS.
Глава 6. Непрерывность деятельности ОПС/ПО
41. В целях обеспечения непрерывности деятельности в ОПС/ПО должны быть разработаны:
- политика непрерывности деятельности, которая должна содержать необходимые руководящие принципы для обеспечения непрерывности деятельности и необходимые ролям полномочия для выполнения возложенных на них задач;
- план восстановления деятельности, где необходимо описать процедуры, обеспечивающие оперативное восстановление работоспособности критичных систем и функций. План должен тестироваться на периодической основе не реже 1 раза в год.
Глава 7. Безопасность жизненного цикла автоматизированных систем ОПС/ПО
42. ОПС/ПО должны обеспечить комплексную защиту автоматизированных систем на всех стадиях жизненного цикла автоматизированной системы (проектирование, реализация, тестирование, приемка, эксплуатация, сопровождение, модернизация, снятие с эксплуатации должны быть документированы и утверждены руководством). При этом тестирование необходимо проводить в тестовой среде, идентичной с промышленной средой.
43. ОПС/ПО должны использовать только лицензионное программное обеспечение, допускается программное обеспечение с открытым исходным кодом либо собственной разработки при наличии полного комплекта документации, утвержденного руководителем (техническое задание, программа и методика испытаний, акт и журнал испытаний, акт ввода в промышленную эксплуатацию).
Глава 8. Ведение журнала регистрации событий
44. В ОПС/ПО должно быть обеспечено ведение журнала регистрации событий (логирование) осуществленной деятельности в автоматизированной системе, персональном компьютере, серверном и сетевом оборудовании, баз данных как средство для проведения аудита информационной безопасности и восстановления хода событий и ведения подотчетности. Журнал регистрации событий должен включать в себя действия всех пользователей, в том числе высокопривилегированных учетных записей (root, administrator, sysdba, dba).
45. Мониторинг и анализ информации журнала регистрации событий должен проводиться ежедневно администраторами автоматизированной системы (персонал технической поддержки), в том числе с применением автоматизированных систем, и все нестандартные ситуации, связанные с безопасностью, должны расследоваться.
46. Информация журнала регистрации событий должна храниться в электронном виде в течение периода времени, равного сроку хранения обрабатываемых данных соответствующей автоматизированной системы, но не менее 2 (двух) лет.
47. Информация журналов регистрации событий должна быть защищена от случайного или преднамеренного удаления, модификации или фальсификации. Отключение журналирования, удаление, модификация или фальсификация информации журналов регистрации должно рассматриваться как инцидент.
Глава 9. Антивирусная защита
48. В ОПС/ПО должны применяться только официально приобретенные (лицензионные) средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах автоматизированной системы должны осуществляться ответственными администраторами.
49. При обеспечении антивирусной защиты в ОПС/ПО должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности информационных процессов. Ответственность за выполнение требований процедур по антивирусной защите должна быть возложена на каждого сотрудника ОПС/ПО, имеющего доступ к персональному компьютеру и/или автоматизированной системе.
50. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. При обнаружении компьютерного вируса должны быть приняты меры по его обезвреживанию и восстановлению работоспособности рабочих мест.
51. Отключение или необновление антивирусных средств не допускается. Установка и обновление средств антивирусной защиты должны контролироваться ответственными сотрудниками.
Глава 10. Использование ресурсов сети интернет
52. В ОПС/ПО должны применяться меры по сегментации и межсетевому экранированию внутренних вычислительных сетей, а также по защите внутренних вычислительных сетей при взаимодействии с сетью интернет.
53. ОПС/ПО обязаны применять меры по регистрации изменений параметров настроек средств и систем защиты информации, межсетевого экранирования и защиты вычислительных сетей ОПС/ПО.
54. В ОПС/ПО должны быть определены и утверждены руководством ОПС/ПО цели использования сети интернет. Использование сети интернет в неустановленных целях должно быть запрещено.
55. ОПС/ПО необходимо определить порядок подключения и использования ресурсов сети интернет, включающий в том числе контроль со стороны подразделения, ответственного за обеспечение информационной безопасности.
56. В ОПС/ПО, осуществляющем дистанционное обслуживание клиентов посредством мобильных приложений в связи с повышенными рисками нарушения информационной безопасности при взаимодействии с сетью интернет, должны применяться средства защиты информации, обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.
57. При осуществлении дистанционного обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в течение сеанса работы.
58. Все операции клиентов в течение всего сеанса работы с мобильными приложениями должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях истечения времени сеанса работы (нарушения или разрыва соединения) необходимо обеспечить повторное выполнение указанных процедур.
59. Почтовый обмен через сеть интернет должен осуществляться с использованием защитных мер и противодействия распространению спама.
60. При взаимодействии с сетью интернет должны использоваться защитные меры противодействия атакам злоумышленников.
Глава 11. Резервное копирование и восстановление
61. В ОПС/ПО должны создаваться резервные копии по обработанным и проведенным платежам.
62. В качестве носителей данных должны использоваться внешние носители информации: жесткие диски, магнитные ленты, записываемые оптические цифровые диски и др.
63. Все резервные копии должны быть промаркированы с указанием хранимой информации, учетного номера и даты создания копии.
64. Резервные копии (или их дубликаты) должны храниться в удаленных помещениях, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, тепловых воздействий, механических воздействий, а также при поддержании внутренней температуры и влажности воздуха на заданном уровне.
65. В ОПС/ПО должны осуществляться процедуры периодического тестирования и восстановления данных архива резервных копий согласно внутренним документам не реже 1 раза в год.
Глава 12. Требования к процессу управления инцидентами и уязвимостью информационной безопасности
66. Управление инцидентами и уязвимостью информационной безопасности осуществляется на основе разработанных и четко используемых процессов, с учетом требований к операторам платежных систем и участникам платежных систем, установленных в Положении "О нештатных ситуациях в платежной системе", утвержденном постановлением Правления Национального банка от 2 сентября 2019 года № 2019-П-14/46-2-(ПС), а также других нормативных актов Национального банка.
67. ОПС/ПО должны идентифицировать инциденты и уязвимость, они должны быть оценены, и к ним должны быть приняты меры по предотвращению возникновения подобных инцидентов информационной безопасности. Уязвимость должна быть устранена.
68. Результаты анализа инцидентов информационной безопасности, а также рекомендации по минимизации вероятности возникновения инцидентов информационной безопасности и их возможного ущерба должны в дальнейшем использоваться для оценки рисков информационной безопасности.