Методичка для платіжних систем. В НБУ розповіли, як захиститися від кібератак

Методичка для платіжних систем. В НБУ розповіли, як захиститися від кібератак

Нацбанк України оприлюднив методичні рекомендації щодо управління операційним ризиком, зокрема, кіберризиком та забезпеченню зберігання інформації про клієнтів платіжними системами. Мета створення документа — підвищити надійність українських платіжних систем та оперативно виявляти кіберзагрози та кібератаки, визначити їхній вплив та мінімізувати його.

«Процес» скорочено розповідає про те, що містять ці методички.

Які ключові принципи функціонування платіжної інфраструктури:

  • чіткі та прозорі механізми управління;
  • надійна структура управління ризиками;
  • остаточність розрахунків;
  • регламентованість процедур, спрямованих на виявлення загроз, зменшення їх впливу та оперативне відновлення діяльності;
  • виявлення, моніторинг та управління ризиками в екосистемі платіжної інфраструктури.

Як платіжній системи забезпечити ключові безперервну діяльність:

  • Розробити стратегію безперервності діяльності;
  • визначити кіберінциденти (природні катастрофи, припинення подання електроенергії, терористичні акти тощо), які впливають на безперервність діяльності платіжної інфраструктури;
  • створити робочі групи з управління процесами у разі настання кіберзагроз, кіберінцидентів та кібератак;
  • мати можливість швидко забезпечити відновлення діяльності на базі обладнання, розміщеного в іншому місці;
  • створити детальну схему комплексу програмно-апаратних засобів із описом функціонального призначення та взаємозв’язку його компонентів;
  • визначити критично важливі компоненти комплексу програмно-апаратних засобів та особливо важливих даних, необхідних для надання послуг, та запровадження політики їх резервування й відновлення;
  • зробити резервне копіювання баз даних та інших особливо важливих даних;
  • моніторити усі компоненти комплексу програмноапаратних засобів, реєстрації та аналізу інцидентів, пов’язаних із порушенням безперервності діяльності;
  • дотримуватися вимог законодавства України у сфері інтелектуальної власності під час використання програмного забезпечення на всіх компонентах комплексу програмно-апаратних засобів;
  • зберігати електронні архіви та програмні засоби, необхідні для відновлення змісту баз даних, на
    зовнішніх носіях щонайменше в одному примірнику в приміщенні за основним місцезнаходженням та додаткового примірника в окремому приміщенні;
  • розробити інструкцій дій обслуговуючого персоналу щодо попередження порушень у разі настання надзвичайної ситуації забезпечити обслуговування та технічну підтримку.

Як зберегти дані у платіжній інфраструктурі:

  • Приміщення для зберігання даних рекомендується обладнати згідно з вимогами Національного банку до серверних приміщень і приміщень електронних архівів банків;
  • Забезпечити зберігання кількох копій даних, що створюються в платіжній інфраструктурі;
  • Обрати електронні носії з урахуванням терміну зберігання даних, надійного строку зберігання даних на електронному носії, можливості переміщення носіїв до спеціально обладнаних місць зберігання.
  • Надавати працівникам об’єкта платіжної інфраструктури доступу до даних клієнтів на підставі документально оформлених запитів згідно з погодженням керівника підрозділу інформаційних технологій.

Як забезпечити кіберстійкість платіжної інфраструктури:

  • Визначити того, хто буде відповідальним за управління кіберризиком;
  • Відповідальна особа має консультувати керівників, брати участь у розробленні планів дій у випадку надзвичайних ситуацій, розслідувати кіберінциденти, здійснювати аналіз кіберзагроз;
  • Платіжній системі рекомендується залучати експертів з кіберризиків або незалежні організації.

Нацбанк рекомендує дотримуватися методички всім об’єктам платіжної інфраструктури та Центральному депозитарію цінних паперів, системам розрахунків цінними паперами, центральним контрагентам та торговим репозиторіям. Як зазначили в НБУ, при розробці рекомендацій було враховано сучасні підходи міжнародних фінансових інституцій із забезпечення кіберстійкості фінансових інфраструктур.

Content Protection by DMCA.com