Нацбанк Украины опубликовал методические рекомендации по управлению операционным риском, в частности, киберрисками, и обеспечению хранения информации о клиентах платежными системами. Цель создания документа — повысить надежность украинских платежных систем и оперативно выявлять киберугрозы и кибератаки, определить их влияние и минимизировать его.
«Процесс» сокращенно рассказывает о том, что содержат эти методички.
Какие ключевые принципы функционирования платежной инфраструктуры:
- четкие и прозрачные механизмы управления;
- надежная структура управления рисками;
- окончательность расчетов;
- регламентированность процедур, направленных на выявление угроз, уменьшения их влияния и оперативное восстановление деятельности;
- выявление, мониторинг и управление рисками в экосистеме платежной инфраструктуры.
Как платежной системе обеспечить ключевую непрерывную деятельность:
- Разработать стратегию непрерывности деятельности;
- определить киберинциденты (природные катастрофы, прекращение подачи электроэнергии, террористические акты и т. д.), которые влияют на непрерывность деятельности платежной инфраструктуры;
- создать рабочие группы по управлению процессами в случае наступления киберугроз, киберинцидентов и кибератак;
- иметь возможность быстро обеспечить возобновление деятельности на базе оборудования, размещенного в другом месте;
- создать подробную схему комплекса программно-аппаратных средств с описанием функционального назначения и взаимосвязи его компонентов;
- определить критически важные компоненты комплекса программно-аппаратных средств и особо важных данных, необходимых для оказания услуг, и внедрение политики их резервирования и восстановления;
сделать резервное копирование баз данных и других особо важных данных; - мониторить все компоненты комплекса программно-аппаратных средств, регистрации и анализа инцидентов, связанных с нарушением непрерывности деятельности;
- соблюдать требования законодательства Украины в сфере интеллектуальной собственности при использовании программного обеспечения на всех компонентах комплекса программно-аппаратных средств;
- хранить электронные архивы и программные средства, необходимые для обновления содержания баз данных, на внешних носителях по меньшей мере в одном экземпляре в помещении по основному месту нахождения и дополнительного экземпляра в отдельном помещении;
- разработать инструкций действий обслуживающего персонала по предупреждению нарушений в случае наступления чрезвычайной ситуации обеспечить обслуживание и техническую поддержку.
Как сохранить данные в платежной инфраструктуре:
Помещение для хранения данных рекомендуется оборудовать в соответствии с требованиями Национального банка в серверных помещениях и помещениях электронных архивов банков;
Обеспечить хранение нескольких копий данных, создаваемых в платежной инфраструктуре;
Выбрать электронные носители с учетом срока хранения данных, надежного срока хранения данных на электронном носителе, возможности перемещения носителей в специально оборудованные места хранения;
Предоставлять работникам объекта платежной инфраструктуры доступ к данным клиентов на основании документально оформленных запросов согласно согласованию руководителя подразделения информационных технологий.
Как обеспечить киберустойчивость платежной инфраструктуры:
Определить того, кто будет ответственным за управление киберрисками;
Ответственное лицо должно консультировать руководителей, участвовать в разработке планов действий в случае чрезвычайных ситуаций, расследовать киберинциденты, осуществлять анализ киберугроз;
Платежной системе рекомендуется привлекать экспертов по киберрискам или независимые организации.
Нацбанк рекомендует следовать методичке всем объектам платежной инфраструктуры и Центральному депозитарию ценных бумаг, системам расчетов ценными бумагами, центральным контрагентам и торговым репозиториям. Как отметили в НБУ, при разработке рекомендаций были учтены современные подходы международных финансовых институтов по обеспечению киберустойчивости финансовых инфраструктур.