Неофициальный перевод. (с) СоюзПравоИнформ

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА УКРАИНЫ

от 19 мая 2021 года №43

Об утверждении Положения о защите информации и киберзащите в платежных системах

Согласно статьям 7, 15, 56 Закона Украины "О Национальном банке Украины", статьям 14, 17, 18, 19, 22, 38 Закона Украины "О платежных системах и переводе средств в Украине", статьям 6, 8 Закона Украины "Об основных принципах обеспечения кибербезопасности Украины", с целью установления требований по обеспечению защиты информации и киберзащиты в платежных системах Правление Национального банка Украины ПОСТАНОВЛЯЕТ:

1. Утвердить Положение о защите информации и киберзащите в платежных системах (далее - Положение), которое прилагается.

2. Платежным организациям платежных систем, участникам/членам платежных систем и операторам услуг платежной инфраструктуры в течение 12 месяцев со дня вступления в силу этого постановления:

1) разработать/доработать с учетом требований Положения и утвердить внутренние документы по информационной безопасности и киберзащите;

2) привести свою деятельность в соответствие с требованиями Положения.

3. Департаменту безопасности (Игорь Коновалов) после официального опубликования довести до сведения платежных организаций платежных систем, участников/членов платежных систем, операторов услуг платежной инфраструктуры информацию о принятии этого постановления.

4. Контроль за выполнением настоящего постановления возложить на Председателя Национального банка Кирилла Шевченко.

5. Постановление вступает в силу со дня, следующего за днем его официального опубликования.

Утверждено Постановлением Правления Национального банка Украины от 19 мая 2021 года №43

Положение о защите информации и киберзащите в платежных системах

I. Общие положения

1. Это Положение разработано в соответствии с Законами Украины "О Национальном банке Украины", "О платежных системах и переводе средств в Украине", "Об основных принципах обеспечения кибербезопасности Украины", "Об электронных доверительных услугах".

2. Это Положение определяет требования и мероприятия по обеспечению защиты информации, киберзащиты и информационной безопасности в сфере перевода средств и контроль за их выполнением.

3. Термины, используемые в настоящем Положении, употребляются в таком значении:

1) администратор - назначенное руководителем, его заместителем или руководящим органом субъекта информационной защиты (далее - руководство) ответственное лицо, которое обеспечивает сопровождение и управление программными и/или аппаратными средствами или ресурсами;

2) многофакторная аутентификация - аутентификация с использованием двух (или более) различных типов электронных идентификационных данных;

3) виртуальная машина - эмуляция компьютерной системы, которая обеспечивает функциональность физического компьютера и работает под управлением гипервизора;

4) гипервизор - совокупность программных и аппаратных средств, обеспечивающих параллельное функционирование нескольких виртуальных машин на одном компьютере, изолируя эти виртуальные машины и возможность управления имеющимися ресурсами, возможность распределения ресурсов между виртуальными машинами, которые используются;

5) средство защиты сети - программное или аппаратное средство, которое защищает информационную систему, используемую для перевода средств (далее - IC), от несанкционированного доступа к ее сетевым составляющим, случайного или преднамеренного вмешательства в работу сети;

6) информационная безопасность - сохранение конфиденциальности, целостности и доступности информации;

7) инцидент информационной безопасности - событие или серия событий нарушения информационной безопасности, которые могут привести к убыткам и потерям для субъекта информационной защиты или пользователей платежных систем;

8) руководитель субъекта информационной защиты - назначенное собственником субъекта информационной защиты должностное лицо, действующее от имени субъекта информационной защиты, которое представляет его интересы в органах государственной власти и органах местного самоуправления, других организациях, в отношениях с юридическими лицами и гражданами, формирует администрацию субъекта информационной защиты и решает вопросы деятельности субъекта информационной защиты в пределах и порядке, определенных учредительными документами;

9) киберинцидент - событие или совокупность неблагоприятных событий случайного характера или имеющих признаки возможной кибератаки, которые представляют угрозу безопасности информационной инфраструктуры, создают вероятность нарушения штатного режима ее функционирования, а также ставят под угрозу защищенность информационных ресурсов;

10) ключевой субъект информационной защиты - субъект информационной защиты, который относится к одной категории или более:

платежная организация значимой платежной системы, если она выполняет функции оператора услуг платежной инфраструктуры в этой платежной системе;

значимый оператор услуг платежной инфраструктуры;

оператор услуг платежной инфраструктуры, который обслуживает платежную систему, созданную нерезидентом, и которая получила разрешение Национального банка Украины (далее - Национальный банк) предоставлять свои услуги в Украине;

оператор услуг платежной инфраструктуры, который обслуживает более чем одну платежную систему;

11) пользователь IC - уполномоченный работник субъекта информационной защиты, который имеет возможность осуществлять создание, просмотр, обработку, модификацию, хранение и удаление информации в IC;

12) криптографический алгоритм - алгоритм, который определяет правила преобразования информации с целью ее криптографической защиты;

13) критическое помещение - центр обработки данных, серверная комната или другое помещение, в котором размещены системы, которые осуществляют обработку, хранение или передачу электронных документов на перевод, архивов и/или других критических данных;

14) критические данные - данные, несанкционированное использование которых приводит к нарушению информационной безопасности или нарушению прав пользователей платежной системы;

15) несанкционированный доступ (далее - НСД) - получение доступа к компьютерной системе или совершение действий, приводящих к получению доступа к информации лицом, которое не имеет прав на просмотр и/или изменение этой информации без разрешения руководства или уполномоченных им лиц;

16) субъект информационной защиты - платежная организация платежной системы, созданной в Украине резидентом Украины, участник платежной системы (резидент/нерезидент), который предоставляет услуги по переводу средств в Украине на законных основаниях (далее - участник платежной системы, оператор услуг платежной инфраструктуры (в случае предоставления других видов услуг, кроме обработки информации по операциям в международных карточных платежных системах).

Другие термины в этом Положении употребляются в значениях, приведенных в законах Украины и нормативно-правовых актах Национального банка.

4. Требования настоящего Положения распространяются на субъектов информационной защиты, кроме участников международных платежных систем, созданных нерезидентами, которые на законных основаниях оказывают услуги в Украине и использует средства защиты информации в соответствии с правилами этих платежных систем и с учетом требований юрисдикций, где их правила были согласованы, на банки, которые являются платежными организациями и/или участниками платежных систем, созданных резидентами, в части вопросов, которые не урегулированы другими нормативно-правовыми актами Национального банка в сфере киберзащиты и информационной безопасности в банковской системе.

5. Требования настоящего Положения не распространяются на платежные системы, созданные Национальным банком.

6. Требования настоящего Положения распространяются на:

1) электронные документы на перевод;

2) информационные сообщения между субъектами информационной защиты, связанные с переводом денежных средств;

3) базы данных, содержащие информацию, связанную с переводом денежных средств;

4) серверы и сетевое оборудование, которые используются для перевода средств;

5) средства защиты информации (технические и криптографические);

6) криптографические ключи.

7. Контроль за выполнением требований настоящего Положения осуществляет Национальный банк.

II. Требования к организационному обеспечению деятельности по защите информации и киберзащите

8. Субъект информационной защиты обеспечивает выполнение требований настоящего Положения в отношении программных, аппаратных средств и комплексов, сетевого оборудования, которые используются для перевода средств, а также документов, предусмотренных настоящим Положением.

9. Руководитель субъекта информационной защиты осуществляет общую организацию деятельности по вопросам обеспечения защиты информации, киберзащиты и информационной безопасности.

Руководитель субъекта информационной защиты с этой целью:

1) назначает ответственных лиц за обеспечение защиты информации, киберзащиты и информационной безопасности и осуществляет контроль за их деятельностью;

2) утверждает политику информационной безопасности и документы, указанные в пунктах 11, 13 раздела III настоящего Положения.

10. Ответственные лица за обеспечение защиты информации, киберзащиты и информационной безопасности субъекта информационной защиты:

1) организуют выполнение требований настоящего Положения;

2) осуществляют контроль за выполнением мероприятий по обеспечению киберзащиты и информационной безопасности на всех стадиях жизненного цикла (проектирования, внедрения, эксплуатации и вывода из эксплуатации) IC субъекта информационной защиты;

3) разрабатывают политику информационной безопасности и документы, указанные в пунктах 11, 13 раздела III настоящего Положения;

4) осуществляют мониторинг и расследование инцидентов информационной безопасности и киберинцидентов, которые касаются перевода средств;

5) организуют контроль за работоспособностью средств защиты информации и восстановление их работоспособности в случае нарушения функционирования;

6) осуществляют контроль за составом и целостностью программных и аппаратных средств IC, предпринимают меры по недопущению установки и использования в составе IC программных и аппаратных средств, не предусмотренных документами по вопросам защиты информации, киберзащиты и информационной безопасности;

7) согласовывают изменение программных и аппаратных средств IC с учетом требований законодательства Украины и правил платежных систем по защите информации, киберзащите и информационной безопасности;

8) организуют подготовку и повышение квалификации специалистов, участвующих в реализации мероприятий по защите информации, киберзащите и информационной безопасности.

III. Требования к нормативному обеспечению деятельности по защите информации, киберзащите и информационной безопасности

11. Субъект информационной защиты должен до начала своей деятельности разработать следующие внутренние документы по вопросам защиты информации, киберзащиты и информационной безопасности в платежных системах:

1) политику информационной безопасности, которая включает цель, задачи и общие принципы обеспечения защиты информации, киберзащиты и информационной безопасности, перечень объектов, подлежащих защите, модели угроз и модели нарушителей, основные положения по обеспечению защиты информации, киберзащиты и информационной безопасности, ответственность за соблюдение положений политики и контроль за ее соблюдением;

2) документы, определяющие полномочия и ответственность персонала по вопросам обеспечения защиты информации, киберзащиты и информационной безопасности;

3) требования по защите личных ключей подписантов от НСД;

4) методику восстановления и защиты важных данных в случае утери, компрометации или повреждения криптографических ключей или носителей критических данных.

К критическим данным относятся:

электронные документы на перевод;

пароли;

персональные данные;

архивы всех этих данных;

5) требования к паролям, которые не противоречат требованиям, определенным в пункте 12 раздела III настоящего Положения.

12. Пароли, которые использует субъект информационной защиты, должны отвечать следующим требованиям:

1) пароли пользователей платежных систем и пользователей IC создаются во время регистрации;

2) хранение и передача паролей осуществляется в защищенном от НСД виде;

3) пароль действителен для одноразового использования не более 10 минут и может передаваться через сети общего пользования (электронная почта, электронные уведомления) в случае использования как одного из факторов многофакторной проверки подлинности;

4) пароли доступа должны иметь длину не менее восьми символов, среди которых должны использоваться малые и большие латинские буквы (по крайней мере, одна большая и одна строчная буква), арабские цифры (по крайней мере, одна) и специальные символы (по крайней мере, один);

5) пароли ответственных лиц за обеспечение защиты информации, киберзащиты и информационной безопасности должны меняться не реже, чем один раз в 120 суток;

6) пароли доступа к учетным записям для администрирования гипервизоров и серверов должны меняться не реже, чем один раз в 90 суток.

13. Ключевой субъект информационной защиты обязан разработать дополнительно к предусмотренным в пункте 11 раздела III настоящего Положения такие внутренние документы по вопросам защиты информации, киберзащиты и информационной безопасности в платежных системах:

1) политику резервного копирования, которая должна содержать порядок выполнения процедур резервного копирования электронных документов на перевод, регламент проверки целостности и работоспособности резервных копий;

2) политику ограничения использования сменных носителей информации;

3) политику защиты от вредоносного программного обеспечения (далее - ПО), вредоносного кода и вирусов.

14. Внутренние документы, указанные в пунктах 11, 13 раздела III настоящего Положения, могут быть одним документом. Внутренние документы по вопросам защиты информации, киберзащиты и информационной безопасности пересматриваются по мере необходимости, но не реже, чем один раз в два года, а также в связи с изменениями в законодательстве Украины или нормативно-правовых актах Национального банка.

IV. Управление системой защиты

15. Субъект информационной защиты обязан принимать меры для обеспечения защиты информации, киберзащиты и информационной безопасности на всех стадиях жизненного цикла системы защиты, которая используется для перевода средств: во время подготовки к эксплуатации, во время ввода в эксплуатацию, во время эксплуатации и во время снятия с эксплуатации.

16. Субъект информационной защиты во время формирования требований к системе защиты должен учитывать требования к защите информации и киберзащите законодательства Украины и данного Положения.

Субъект информационной защиты обязан формировать требования к системе защиты информации по результатам:

1) выявления источников угроз информационной безопасности и кибербезопасности, оценки возможностей потенциальных внешних и внутренних нарушителей;

2) анализа возможных уязвимостей всех составляющих IC;

3) оценки возможных последствий возникновения угроз информационной безопасности и нарушения свойств системы защиты информации в целом.

17. Ключевой субъект информационной защиты должен:

1) обеспечивать непрерывную техническую поддержку системы защиты информации, используемой им;

2) проводить функциональные испытания вновь созданного или доработанного ключевым субъектом информационной защиты ПО, которое обеспечивает защиту информации, перед его внедрением в опытную или промышленную эксплуатацию;

3) во время разработки, внедрения и эксплуатации собственного ПО, которое используется для защиты информации, обеспечивать устранение всех известных уязвимостей, влияющих на достижение цели разработки.

V. Физическая защита

18. Субъект информационной защиты обязан обеспечить размещение серверов, используемых для хранения и обработки электронных документов на перевод, персональных данных пользователей платежных систем и архивов этих данных, в критических помещениях. Перечень работников субъекта информационной защиты, которым предоставляется право постоянного доступа к серверам, определяется ответственным лицом и утверждается руководителем субъекта или его заместителем. Доступ других лиц к этим серверам предоставляется по согласованию с ответственным лицом и в сопровождении работников, которые имеют право постоянного доступа к серверам.

Субъект информационной защиты в случае использования серверного и сетевого оборудования на условиях аренды определяет порядок доступа к этому оборудованию на договорных началах с учетом требований настоящего Положения.

19. Критические помещения должны соответствовать следующим требованиям:

1) оборудованы техническими средствами охраны и средствами видеонаблюдения для мониторинга посещений;

2) не содержат оборудованных постоянных рабочих мест;

3) используются резервные источники питания для защиты серверного и сетевого оборудования, которые способны обеспечивать поставку электроэнергии на период, необходимый для хранения результатов работы и осуществления штатного отключения всего оборудования;

4) сетевая инфраструктура, которая содержится в критических помещениях, не использует беспроводные технологии;

5) фиксируются действия относительно установки, удаления или замены носителей информации на серверах.

VI. Идентификация и аутентификация

20. Субъекту информационной защиты запрещается во время промышленной эксплуатации программных и аппаратных средств осуществлять любую идентификацию и аутентификацию с использованием данных, установленных по умолчанию производителем оборудования.

21. Субъект информационной защиты должен обеспечить выполнение следующих требований при аутентификации пользователей платежных систем и пользователей IC в случае удаленного подключения к таким IC:

1) пароль, используемый для аутентификации, не должен передаваться через незащищенные сети и храниться в базах данных в открытом виде;

2) должна применяться многофакторная аутентификация;

3) запрещено использовать для проверки подлинности социальные сети и другие вебсервисы общего пользования.

VII. Управление доступом

22. Субъект информационной защиты обязан обеспечить разработку, документирование, согласование с платежной организацией платежной системы и периодическое обновление политики управления доступом в платежной системе, а также мероприятий, связанных с реализацией этой политики.

23. Политика управления доступом должна определять:

1) порядок создания, активации, модификации, просмотра, блокировки, отключения, удаления, контроля за использованием учетных записей пользователей IC, типы учетных записей в зависимости от их категории;

2) методы управления доступом, типы доступа пользователей IC к средствам защиты сети и программно-аппаратным комплексам, подлежащим защите;

3) правила разграничения доступа пользователей IC.

24. Субъект информационной защиты обязан обеспечить защиту информации относительно перевода средств, которая передается в его внутренней сети от НСД путем выполнения следующих требований:

1) доступ пользователей платежных систем и доступ пользователей IC в случае удаленного подключения к этим системам должен осуществляться через единую точку сетевого входа с использованием средства защиты сети;

2) средство защиты сети должно контролировать и фильтровать IP-адреса и порты удаленных соединений и IP-адреса во внутренней сети;

3) удаленные соединения со средством защиты сети должны протоколироваться;

4) доступ к внутренним IP-адресам из сетей общего пользования должен быть невозможным;

5) серверы, обеспечивающие функционирование сервисов, открытых для доступа из сетей общего пользования, должны размещаться в демилитаризованной зоне;

6) ограничение доступа между демилитаризованной зоной и другими сегментами сети должно осуществляться с использованием средств защиты сети;

7) шифрование канала обмена информацией между серверами, размещенными в различных критических помещениях и объединенными с помощью сетей общего пользования, должно обеспечиваться с использованием защищенных от НСД криптографических ключей;

8) должна обеспечиваться защита от НСД учетных данных и паролей доступа к серверам и сетевому оборудованию.

VIII. Защита от вредоносного ПО, вредоносного кода и вирусов

25. Субъект информационной защиты обязан обеспечить защиту IC от вредоносного ПО, вредоносного кода и вирусов путем:

1) использования специализированных средств защиты от вредоносного кода, вредоносного ПО и вирусов, их своевременного обновления;

2) определения перечня ПО и перечня составляющих этого ПО, разрешенных к использованию в IC;

3) использования на серверах только тех системных утилит, которые необходимы для функционирования серверного ПО;

4) своевременной установки пакетов обновлений ПО, выпускаемые разработчиками ПО;

5) ограничения перечня составляющих ПО, автоматически запускаемых во время загрузки операционных систем;

6) мониторинга и ведения учета попыток несанкционированного изменения ПО и блокирования таких попыток.

26. Субъект информационной защиты обязан предупредить своих сотрудников о недопустимости использования вредоносного ПО и ПО с нарушением авторского права.

IX. Обеспечение сетевой защиты

27. Администратор средств защиты сети субъекта информационной защиты осуществляет администрирование одним из следующих способов:

1) путем непосредственного физического доступа к консоли устройства;

2) через защищенный от НСД канал доступа с рабочего места администратора.

28. Субъект информационной защиты во время эксплуатации средства защиты сети должен:

1) обеспечить отключение всех сервисов, которые не являются необходимыми для эксплуатации средства защиты сети;

2) обеспечить возможность отмены изменений, внесенных в систему конфигурации средства защиты сети, и восстановление предыдущей версии внутреннего ПО;

3) размещать средство защиты сети, реализованное программными средствами, на отдельном сервере (физическом или виртуальном).

29. Ключевой субъект информационной защиты во время эксплуатации средства защиты сети обязан обеспечить своевременную установку актуальных обновлений программного средства защиты сети от производителя.

30. Субъект информационной защиты в случае создания виртуальной частной сети для обмена критическими данными должен использовать лишь те криптографические алгоритмы шифрования, которые являются национальными стандартами, или те, на которые по результатам государственной экспертизы Государственной службы специальной связи и защиты информации Украины (далее - Администрация Госспецсвязи) выдано положительное экспертное заключение.

X. Требования к использованию IC

31. Доступ пользователей к составляющим IC, находящимся во внутренней сети, допускается только через средство защиты сети.

32. Субъекту информационной защиты во время проектирования и использования своих IC запрещается использование ПО и технических устройств, разработчиком и/или изготовителем которых является юридическое или физическое лицо, в отношении которого действуют специальные экономические и другие ограничительные меры (санкции), принятые на национальном или международном уровне в результате агрессии в отношении Украины.

33. Субъект информационной защиты обязан обеспечить блокировку учетной записи администратора или пользователя IC в случае более пяти неудачных попыток проверки подлинности подряд (автоматическая блокировка).

XI. Требования к криптографическим средствам защиты информации и среды виртуализации

34. Субъект информационной защиты обязан применять средства криптографической защиты информации, имеющие действующий сертификат соответствия или выданное по результатам государственной экспертизы Администрацией Госспецсвязи положительное экспертное заключение, в случае:

1) создания и проверки электронных подписей;

2) шифрования криптографических ключей, а также информационных сообщений между субъектами информационной защиты, связанных с переводом средств, при их передаче через сети общего пользования;

3) подтверждения целостности, подлинности и авторства данных на электронных носителях, содержащих архивы электронных документов.

35. Субъект информационной защиты имеет право использовать для перевода средств виртуальные серверы под управлением гипервизора с обязательным соблюдением следующих требований:

1) должны регистрироваться все действия администраторов виртуальных серверов и гипервизоров;

2) должен осуществляться контроль за целостностью настроек гипервизора;

3) обновление ПО гипервизора должно выполняться исключительно администратором гипервизора;

4) гипервизор, на котором работает одна или несколько виртуальных машин, должен быть защищенным от внешнего НСД с помощью отдельного средства защиты сети;

5) файлы образов виртуальных машин должны храниться в нешифрованном виде только в критических помещениях, а их передача должна осуществляться исключительно с обеспечением конфиденциальности и целостности;

6) данные гипервизора, необходимые для восстановления его трудоспособности, должны сохраняться.

XII. Условия использования электронной подписи

36. Участник международной платежной системы, созданной резидентом, или оператор услуг платежной инфраструктуры, который обеспечивает взаимодействие с международной платежной системой, платежной организацией которой является нерезидент, должен заключить договор с платежной организацией такой платежной системы о признании электронной подписи.

37. Субъект информационной защиты (участник международной платежной системы, созданной резидентом, или оператор услуг платежной инфраструктуры), если нет признанной электронной подписи в электронном документе на перевод, который получен от платежной организации международной платежной системы, созданной резидентом, обязан наложить свою электронную подпись на этот электронный документ в соответствии с законодательством Украины.

38. Субъект информационной защиты имеет право использовать усовершенствованную электронную подпись без сертификата открытого ключа или действие открытого ключа подписанта удостоверяется сертификатом открытого ключа на договорных началах.

XIII. Требования относительно фиксации киберинцидентов и инцидентов информационной безопасности и реагирования на них

39. Субъект информационной защиты обязан обеспечить разработку, документирование, согласование с платежной организацией платежной системы и периодическое обновление политики управления инцидентами в платежной системе, а также мероприятий, связанных с реализацией этой политики.

40. Политика управления инцидентами должна содержать:

1) перечень и классификацию событий, относящихся к нарушению требований информационной безопасности, инцидентов информационной безопасности и киберинцидентов (далее - события);

2) процедуры обнаружения и регистрации событий, сбора информации о событиях;

3) порядок реагирования на события в случае их возникновения;

4) порядок составления отчетов и информирования о событиях;

5) роли и ответственность работников и администраторов за реализацию политики управления инцидентами.

41. Минимальные требования к IC субъекта информационной защиты предусматривают, что IC должна обеспечивать автоматическую регистрацию следующих событий:

1) результатов идентификации и аутентификации пользователей IC (удачные и неудачные попытки);

2) фактов создания, удаления, блокирования учетных записей пользователей IC;

3) фактов предоставления и лишения пользователей IC права доступа к информации;

4) результатов выполнения пользователем IC операций по обработке информации и попыток несанкционированной модификации информации.

42. Средства регистрации событий должны фиксировать дату, время, место, тип, успешность или неуспешность каждого зарегистрированного события. Записи о событиях информационной безопасности должны содержать достаточно информации для определения события, которое произошло, ее источники.

43. Ответственные лица за обеспечение защиты информации, киберзащиты и информационной безопасности должны регулярно пересматривать и анализировать зарегистрированные происшествия с целью выявления необычной или подозрительной активности, составлять отчеты и действовать согласно документам субъекта информационной защиты.

44. Средства регистрации событий и записи о зарегистрированных событиях должны быть защищены от модификации и уничтожения пользователями IC, которые не имеют полномочий администратора.

45. Субъект информационной защиты обязан безотлагательно уведомить Национальный банк, если выявлены:

1) события, содержащие признаки преступлений, предусмотренных в разделе XVI Уголовного кодекса Украины;

2) события, которые классифицируются в соответствии с Законом Украины "Об основных принципах обеспечения кибербезопасности Украины" как киберинциденты;

3) события, которые привели к утечке или незаконному разглашению информации с ограниченным доступом, которая обрабатывается в IC.

46. Сообщения о событиях, указанных в пункте 45 раздела XIII настоящего Положения, следует передавать одним из следующих способов:

1) электронным письмом средствами системы электронной почты Национального банка;

2) электронным письмом на официальный электронный почтовый ящик Национального банка;

3) посредством почтовой связи на бумажном носителе (в случае невозможности использования вышеуказанных средств электронной связи).