Информационная безопасность

Банком России рекомендованы меры по обеспечению киберустойчивости и информационной безопасности кредитных организаций и НФО при организации работы в условиях распространения коронавирусной инфекции

Текст документа

В связи с комплексом мер, направленных на предотвращение распространения на территории Российской Федерации новой коронавирусной инфекции (COVID-19), и распространением практики дистанционной работы Банк России рекомендует реализовать следующие меры в части обеспечения киберустойчивости и информационной безопасности кредитных организаций, некредитных финансовых организаций (далее при совместном упоминании – финансовые организации).

1. В случае организации финансовыми организациями удаленного доступа в отношении тех операций, которые технически возможно организовать и осуществлять в условиях удаленного доступа, и перевода части работников, осуществляющих указанные операции, на дистанционную работу Банк России считает необходимым рекомендовать следующее.

В целях реализации удаленного логического доступа с использованием мобильных устройств (далее - удаленный мобильный доступ) финансовым организациям рекомендуется обеспечить:
- применение технологий виртуальных частных сетей;
- применение многофакторной аутентификации; применение терминального доступа (по возможности);
- мониторинг и контроль действий пользователей удаленного мобильного доступа.

Организационные и технические меры, необходимые для реализации указанных рекомендаций при осуществлении удаленного мобильного доступа, содержатся в национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций.
Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст.

2. Кредитным организациям рекомендуется обеспечить бесперебойное осуществление, в первую очередь, следующих операций: перевод денежных средств, в том числе через платежную систему Банка России, открытие и ведение банковских счетов физических и юридических лиц, а также наличие денежных средств в банкоматах.

В этой связи кредитным организациям рекомендуется идентифицировать работников (включая администраторов систем), задействованных в обеспечении осуществления и осуществлении вышеуказанных операций, и организовать режим работы, обеспечивающий минимизацию рисков нарушения бесперебойности осуществления указанных операций.

В случае если для обеспечения бесперебойного осуществления указанных выше операций перевод работников на дистанционную работу невозможен, рекомендуется выделить группы работников:
- поддерживающих бесперебойное обеспечение осуществления указанных операций на объектах информационной инфраструктуры кредитных организаций;
- ожидающих привлечения к бесперебойному обеспечению осуществления указанных операций на объектах информационной инфраструктуры кредитных организаций.

3. В связи с рисками нарушения информационной безопасности при осуществлении финансовыми организациями операций при организации дистанционной работы своих работников обращаем внимание на необходимость оперативного информационного взаимодействия с Банком России посредством автоматизированной системы обработки инцидентов Центра мониторинга и реагирования на компьютерные атаки в кредитнофинансовой сфере Департамента информационной безопасности Банка России (АСОИ ФинЦЕРТ) в соответствии с требованиями, предусмотренными нормативными актами Банка России.

4. В условиях сохранения опасности распространения новой коронавирусной инфекции (COVID-19) Банк России считает целесообразным воздержаться от применения мер, предусмотренных статьями 74, 76.5 3 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в отношении финансовых организаций, допустивших нарушение требований нормативных актов Банка России в области обеспечения защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, обеспечения защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, при организации дистанционной работы работников финансовых организаций.