ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ

от 29 декабря 2025 года №390

Об утверждении стандарта финансовых услуг и технологий

На основании абзаца пятьдесят седьмого статьи 26 и части первой статьи 39 Банковского кодекса Республики Беларусь Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ:

1. Утвердить стандарт финансовых услуг и технологий СФУТ 9.03-2025 "Банковская деятельность. Обеспечение информационной безопасности. Общие требования" (прилагается).

2. Настоящее постановление вступает в силу с 1 января 2027 г.

 

Утвержден Постановлением Правления Национального банка Республики Беларусь от 29 декабря 2025 года №390

Стандарт финансовых услуг и технологий СФУТ 9.03-2025 "Банковская деятельность. Обеспечение информационной безопасности. Общие требования"

Раздел I. Общие положения

1. Настоящий стандарт финансовых услуг и технологий (далее - стандарт) распространяется на банки, небанковские кредитно-финансовые организации и открытое акционерное общество "Банк развития Республики Беларусь" (далее - банки) и устанавливает общие требования по обеспечению информационной безопасности (далее - ИБ) в банках.

2. Настоящий стандарт предназначен для применения путем включения ссылок на него и (или) устанавливаемых в нем требований в локальные правовые акты банков, а также в договоры.

3. При применении настоящего стандарта необходимо соблюдать требования законодательства, в том числе нормативных правовых актов Национального банка и обязательных для соблюдения требований технических нормативных правовых актов (далее - ТНПА).

4. Настоящий стандарт применяется при проектировании, построении, аудите системы информационной безопасности (далее - СИБ) и системы менеджмента информационной безопасности (далее - СМИБ) банков.

5. В настоящем стандарте используются термины в значениях, установленных в нормативных правовых актах Национального банка, стандартах финансовых услуг и технологий СФУТ 9.01-2024 "Банковская деятельность. Обеспечение информационной безопасности. Общие положения и терминология" и СФУТ 9.02-2024 "Банковская деятельность. Обеспечение информационной безопасности. Требования к документации по обеспечению деятельности в области информационной безопасности", утвержденных постановлением Правления Национального банка Республики Беларусь от 20 июня 2024 г. №185.

Раздел II. Требования к системе информационной безопасности банков

Глава 1. Общие положения

6. Выполнение требований к СИБ банков является основой для обеспечения необходимого и достаточного уровня ИБ.

7. Формирование требований к СИБ банков проводится на основе положений настоящего стандарта. Требования к СИБ банков оформляются документально в соответствии со стандартом финансовых услуг и технологий СФУТ 9.02-2024 "Банковская деятельность. Обеспечение информационной безопасности. Требования к документации по обеспечению деятельности в области информационной безопасности".

8. В настоящем стандарте определены базовые требования к СИБ. В случае необходимости, а также с учетом особенностей деятельности отдельных банков данные требования могут быть уточнены в локальных правовых актах банков.

9. При технической невозможности или экономической нецелесообразности реализации отдельных требований к СИБ на этапе проектирования СИБ разрабатываются компенсирующие меры, направленные на нейтрализацию угроз ИБ. Банком обосновывается применение таких мер.

10. Использование средств криптографической защиты информации (далее - СКЗИ) осуществляется в соответствии с законодательством и (или) правилами платежных систем. Работы по обеспечению защиты информации с использованием средств технической и криптографической защиты информации проводятся в соответствии с требованиями законодательства, программной и эксплуатационной документацией на средства защиты информации.

Глава 2. Базовые требования к СИБ

11. Базовые требования к СИБ реализуются по следующим направлениям:

обеспечение антивирусной защиты;

обеспечение безопасной разработки программного обеспечения (далее - ПО);

обеспечение безопасности автоматизированных рабочих мест (далее - АРМ);

обеспечение безопасности при работе с глобальной компьютерной сетью Интернет (далее - сеть Интернет);

обеспечение безопасности серверного оборудования;

обеспечение безопасности среды виртуализации;

обеспечение ИБ автоматизированной банковской системы (далее - АБС) на стадиях ее жизненного цикла;

обеспечение криптографической защиты информации с применением СКЗИ;

обеспечение физической безопасности;

обучение и повышение осведомленности по вопросам ИБ;

предотвращение утечек конфиденциальной информации;

управление доступом;

управление событиями и инцидентами ИБ;

управление уязвимостями.

12. В случае выявления событий ИБ, при которых временно отсутствует техническая возможность применения базовых требований к СИБ, банком обеспечивается выполнение уполномоченным персоналом мероприятий по обеспечению непрерывной работы и восстановления работоспособности информационных систем (далее - ИС) в соответствии с планом обеспечения непрерывной работы и восстановления (далее - ПОНРВ).

13. Базовые требования к СИБ сформированы с учетом требований, установленных законодательством в области ИБ и международными стандартами.

14. При оценке СИБ банка используются только базовые требования к СИБ.

Глава 3. Требования по обеспечению антивирусной защиты

15. На всех АРМ и серверах АБС, если иное не предусмотрено банковским технологическим процессом, применяются средства антивирусной защиты. Банком определяются, выполняются, регистрируются и контролируются процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на АРМ и серверах АБС.

При обеспечении антивирусной защиты используются средства антивирусной защиты, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой Оперативно-аналитическим центром при Президенте Республики Беларусь.

16. Функционирование средств антивирусной защиты организовывается в автоматическом режиме на постоянной основе без возможности их отключения (за исключением лиц, осуществляющих администрирование средств антивирусной защиты). Установки обновлений антивирусного программного обеспечения и его баз данных осуществляются в автоматическом или ручном режиме.

Банком определяются, внедряются, выполняются, регистрируются и контролируются процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных), а также контроля за отключением антивирусных средств, на всех технических средствах АБС. При этом администрирование средств антивирусной защиты проводится от имени специальных учетных записей в соответствии с рекомендациями разработчика средств антивирусной защиты.

Контроль за установкой и функционированием средств антивирусной защиты возлагается на подразделение ИБ.

17. Полное сканирование АРМ и серверов (в случае технической возможности без нарушения технологических процессов) обеспечивается на регулярной (не менее 1 раза в месяц) основе в период их низкой загрузки и (или) в нерабочее время.

18. При подключении съемных машинных носителей информации (далее - МНИ) к средствам вычислительной техники (далее - СВТ) перед началом использования проводится их антивирусная проверка, как правило, на АРМ, не используемом в банковском технологическом процессе.

19. Документально определяются и выполняются процедуры предварительной проверки устанавливаемого или изменяемого ПО на отсутствие вирусов. После установки или изменения программного обеспечения выполняется антивирусная проверка. Данные о результатах установки, изменения программного обеспечения и антивирусной проверки хранятся не менее одного года.

20. Разрабатываются и вводятся в действие инструкции и рекомендации по защите от вредоносного программного обеспечения (далее - ВПО), учитывающие особенности банковских технологических процессов.

21. До клиентов банка доводятся рекомендации по защите информации от воздействия ВПО.

22. Реализуется защита от вредоносного кода на уровне контроля общедоступных объектов доступа (в том числе банкоматов, платежных терминалов).

23. Банком организуется проверка всего входящего трафика на наличие вредоносного кода потоковым антивирусом (за исключением зашифрованного трафика, а также трафика, передаваемого в специально организованных с платежными системами технологических каналах).