«Об утверждении Инструкции о требованиях по защите информации и обеспечению кибербезопасности при оказании платежных услуг»

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ

6 октября 2022 г. № 377

Об утверждении Инструкции о требованиях по защите информации и обеспечению кибербезопасности при оказании платежных услуг

На основании подпункта 3.15 пункта 3 статьи 4 Закона Республики Беларусь от 19 апреля 2022 г. № 164-З «О платежных системах и платежных услугах» и части первой статьи 39 Банковского кодекса Республики Беларусь Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ:

1. Утвердить Инструкцию о требованиях по защите информации и обеспечению кибербезопасности при оказании платежных услуг (прилагается).

2. Настоящее постановление вступает в силу после его официального опубликования.

Председатель Правления

П.В.Каллаур

УТВЕРЖДЕНО

Постановление
Правления Национального банка
Республики Беларусь
06.10.2022 № 377

ИНСТРУКЦИЯ
о требованиях по защите информации и обеспечению кибербезопасности при оказании платежных услуг

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая Инструкция определяет требования по защите информации и обеспечению кибербезопасности при оказании платежных услуг.

2. Для целей настоящей Инструкции нижеперечисленные термины используются в следующих значениях:

автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных для данной системы функций;

защищаемая информация – любая информация поставщика платежных услуг, распространение и (или) предоставление которой ограничено, в том числе определенная в пункте 8 настоящей Инструкции;

инцидент информационной безопасности – событие, которое фактически или потенциально угрожает конфиденциальности, целостности, подлинности, доступности и сохранности информации, а также представляет собой нарушение (угрозу нарушения) политики безопасности;

протокол передачи данных – набор правил, который определяет порядок и особенности передачи информации при обмене данными в компьютерной сети;

журнал регистрации инцидентов информационной безопасности – документ, в котором фиксируются все события, которые квалифицируются как инциденты информационной безопасности.

3. Термины «платеж», «платежная операция», «платежная услуга», «платежный инструмент», «пользователь платежной услуги» и «поставщик платежных услуг» используются в значениях, определенных соответственно в подпунктах 1.18, 1.19, 1.21, 1.23, 1.28 и 1.30 пункта 1 статьи 2 Закона Республики Беларусь «О платежных системах и платежных услугах».

Термины «многофакторная аутентификация» и «однофакторная аутентификация» используются в значениях, определенных соответственно абзацами восьмым и девятым части первой пункта 2 Инструкции об использовании программно-аппаратных средств и технологий, проведении процедур удаленной идентификации, удаленного обновления (актуализации), утвержденной постановлением Правления Национального банка Республики Беларусь от 19 сентября 2019 г. № 379.

Термин «информационная система» используется в значении, определенном абзацем четырнадцатым части первой статьи 1 Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации».

4. Требования по защите информации и обеспечению кибербезопасности при оказании платежных услуг, установленные настоящей Инструкцией, распространяются на автоматизированные системы, информационные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, используемые при оказании платежных услуг и применяемые для обработки защищаемой информации.

5. Поставщики платежных услуг, использующие системы, средства и оборудование, указанные в пункте 4 настоящей Инструкции, обеспечивают соблюдение своим персоналом требований законодательства о технической и криптографической защите информации и законодательства об информации, информатизации и защите информации.

ГЛАВА 2
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ И КИБЕРБЕЗОПАСНОСТИ ПРИ ОКАЗАНИИ ПЛАТЕЖНЫХ УСЛУГ

6. Поставщики платежных услуг обеспечивают исполнение мер, направленных на реагирование на риск информационной безопасности при выполнении требований по защите информации и обеспечению кибербезопасности путем разработки, внедрения, обеспечения эффективного функционирования, своевременной верификации и актуализации процедур по обеспечению информационной безопасности, а также путем проведения непрерывного мониторинга инцидентов информационной безопасности.

7. Поставщики платежных услуг обеспечивают:

безопасность защищаемой информации на всех этапах ее сбора, получения, систематизации, накопления, хранения, поиска, изменения, использования, обезличивания, блокирования, разблокирования, удаления и предоставления, в том числе персональных данных пользователей платежных услуг и платежных инструментов (далее – пользователи);

разграничение прав доступа работников при работе с защищаемой информацией в информационных системах, включая среду разработки, тестирования и рабочую систему;

разграничение прав доступа своих работников и третьих лиц при работе с защищаемой информацией;

защиту автоматизированных систем, информационных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, применяемых для обработки защищаемой информации, от возможных компьютерных атак;

мониторинг доступа к защищаемой информации и автоматизированным системам, информационным системам, программному обеспечению, средствам вычислительной техники, телекоммуникационному оборудованию, применяемым для обработки защищаемой информации;

применение организационных и технических мер защиты информации, направленных на выявление инцидентов информационной безопасности при осуществлении платежей;

принятие мер реагирования на выявленные инциденты информационной безопасности;

анализ инцидентов информационной безопасности, оценку принятых мер реагирования на инциденты информационной безопасности;

защищенное сетевое соединение в случаях, установленных приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449», путем применения протокола передачи данных, поддерживающего расширение для шифрования при использовании открытых каналов передачи данных;

ведение и анализ журналов регистрации инцидентов информационной безопасности.

8. При оказании платежных услуг поставщики платежных услуг осуществляют защиту:

информации, предоставляемой пользователями для формирования платежного указания (платежной инструкции);

аутентификационных данных пользователей;

ключевой информации средств криптографической защиты информации, используемой поставщиками платежных услуг и пользователями при осуществлении платежных операций.

9. Поставщики платежных услуг обеспечивают защиту информации с помощью средств криптографической защиты информации и технической документации на данные средства.

10. В случае если защищаемая информация содержит персональные данные пользователей, поставщики платежных услуг обеспечивают защиту персональных данных при их обработке в соответствии с законодательством о персональных данных.

11. Поставщики платежных услуг, являющиеся банками, при оказании платежных услуг посредством систем дистанционного банковского обслуживания доводят до пользователей рекомендации по защите информации от воздействия вредоносного программного обеспечения на платежные инструменты пользователей (далее – рекомендации по защите) путем включения данных рекомендаций в договор дистанционного банковского обслуживания. Поставщики платежных услуг, являющиеся банками, при оказании платежных услуг посредством систем дистанционного банковского обслуживания информируют своих пользователей:

о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления платежных операций лицами, не обладающими правом их осуществления;

о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) пользователем доступа к платежному инструменту, а также о мерах по своевременному обнаружению воздействия вредоносного программного обеспечения.

12. Поставщики платежных услуг в локальных правовых актах определяют состав и порядок применения следующих мер защиты информации:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности программно-технической инфраструктуры;

защита от вредоносного программного обеспечения;

предотвращение утечек информации;

управление инцидентами информационной безопасности;

защита среды виртуализации;

защита информации при осуществлении удаленного доступа, в том числе с использованием мобильных (переносных) устройств;

формирование (подготовка), обработка, передача и хранение защищаемой информации, используемой в программно-технической инфраструктуре;

контроль целостности и подтверждения подлинности защищаемой информации на этапах ее формирования (подготовки), обработки, передачи и хранения, в том числе порядка применения средств криптографической защиты информации.

ГЛАВА 3
ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ПЛАТЕЖНЫХ ИНСТРУМЕНТАХ

13. В зависимости от предоставляемых прав в платежных инструментах реализуется однофакторная или многофакторная аутентификация.

14. При генерации аутентификационных данных применяются методы, обеспечивающие их уникальность, конфиденциальность, случайность. При оценке указанных методов используются следующие ограничения:

на использование в алгоритмах аутентификации сужающих преобразований аутентификационных данных, в том числе исключение приведения букв идентификатора пользователя или пароля к одному регистру, исключение ограничения количества значащих символов пароля;

на минимальную сложность паролей, в том числе ограничение минимальной длины пароля, наличие символов различных классов, несовпадение пароля с идентификатором пользователя, несовпадение нового пароля с одним из ранее использовавшихся.

15. Платежные инструменты ограничивают использование при генерации паролей единого первоначального пароля или формирование таких паролей по единому алгоритму, смену пароля пользователем без предварительной аутентификации, а также содержат механизм принудительной смены первоначального пароля при первой авторизации пользователя. В платежных инструментах реализуется механизм смены пароля после определенного срока либо уведомление о небезопасности его использования и необходимости его смены.

16. В рекомендациях по защите для пользователя платежных инструментов содержится информация о необходимости исключения использования предсказуемой информации в ключевых данных для аутентификации, в том числе производные от имени и фамилии пользователя, совпадающие с идентификаторами в адресах электронной почты, а также числовые значения, совпадающие с датой рождения.

17. В платежных инструментах реализуется механизм защиты от перебора данных аутентификации, в том числе временные задержки после определенного количества неуспешных попыток ввода, проверка, является ли пользователь человеком, а не компьютерной бот-программой.

18. В платежных инструментах осуществляется контроль количества неуспешных попыток аутентификации, а также устанавливается ограничение на количество неуспешных попыток аутентификации (не более трех в течение 5 минут). При превышении установленного числа неуспешных попыток аутентификации платежный инструмент блокирует доступ пользователя или требует ввод пользователем дополнительного фактора аутентификации, не допуская при этом ввода информации в автоматическом режиме.

19. В платежных инструментах предусматривается процедура восстановления доступа пользователя. По истечении установленного времени (не менее 15 минут) с момента блокирования доступа пользователя вследствие неуспешных попыток аутентификации в платежных инструментах выполняется автоматическое разблокирование доступа пользователя.

20. В локальных правовых актах поставщика платежных услуг уполномоченным работникам поставщика платежных услуг предоставляются права на восстановление или смену необратимо утраченных аутентификационных данных пользователей в платежных инструментах.

21. При вводе информации для аутентификации вводимые символы не отображаются либо отображаются после выполнения пользователем соответствующей разрешающей команды. Вводимые символы пароля могут отображаться условными знаками «*» («звездочка»), «•» («жирная точка») или иными знаками.

22. Если пользователь не проявляет активности при работе с платежным инструментом (не осуществляет действий) в течение установленного времени (не менее 10 минут), активная сессия разрывается и пользователь для дальнейшей работы проходит аутентификацию повторно.

23. Платежные инструменты реализуют авторизацию пользователей после успешной аутентификации и обеспечивают выполнение действий от имени пользователя только после его авторизации.

24. При идентификации веб-сессий платежные инструменты:

используют идентификаторы сессий длиной не менее 8 символов;

исключают использование предсказуемых идентификаторов сессий;

исключают возможность повторного использования идентификатора сессии, в том числе использование одинаковых идентификаторов в нескольких сессиях одного пользователя, неизменность идентификатора сессии после повторной аутентификации пользователя;

исключают возможность использования идентификатора сессии после ее завершения.

25. При передаче защищаемой информации посредством сетей электросвязи общего пользования между пользовательской частью платежного инструмента и информационной системой поставщика платежных услуг конфиденциальность информации в платежных инструментах обеспечивается путем применения протокола передачи данных, поддерживающего расширение для шифрования. Для защиты аутентификационных данных пользователей в платежных инструментах могут применяться криптографические методы шифрования.

26. В платежных инструментах подлинность и контроль целостности обмениваемой информации могут обеспечиваться с помощью применения средств криптографической защиты информации (средства выработки, проверки электронной цифровой подписи, средства выработки личного ключа или открытого ключа электронной цифровой подписи).

27. Платежные инструменты эксплуатируются в программной среде (среде эксплуатации), защищенной от вредоносного программного обеспечения. Защита программной среды осуществляется с использованием средств антивирусной защиты, о чем информируется пользователь платежных инструментов.

28. Платежные инструменты автоматически осуществляют проверку наличия в программной среде средства антивирусной защиты. В случае отсутствия такого средства платежный инструмент выдает пользователю соответствующее предупреждение и рекомендации.

29. Платежные инструменты автоматически осуществляют проверку состояния установленного средства антивирусной защиты (настройки, обновления), а также проверку работоспособности (проверку на отсутствие принудительной остановки) средства антивирусной защиты.

30. Поставщик платежных услуг дает следующие рекомендации для пользователя:

не препятствовать регулярному обновлению средств антивирусной защиты;

регулярно производить полную проверку своего устройства с установленным платежным инструментом с использованием средств антивирусной защиты (раз в неделю, раз в месяц) с целью выявления вредоносного программного обеспечения;

в случае обнаружения вредоносного программного обеспечения прекратить использование платежного инструмента до устранения инцидента информационной безопасности и при необходимости сообщить поставщику платежных услуг об инциденте информационной безопасности.