Dem Entwurf zufolge muss das Online-Banking-System den Vorschriften zur Gewährleistung der Informationssystemsicherheit der Stufe 3 oder höher gemäß den Bestimmungen des Gesetzes zur Gewährleistung der Informationssystemsicherheit der Stufe und den Vorschriften der Staatsbank zur Informationssystemsicherheit bei Bankgeschäften entsprechen.
Gewährleisten Sie die Vertraulichkeit und Integrität der Kundeninformationen; stellen Sie die Verfügbarkeit des Online-Banking-Systems sicher, um kontinuierliche Dienste bereitzustellen.
Kundentransaktionen werden je nach Kundengruppe, Transaktionstyp und Transaktionslimit (sofern vorhanden) auf Mindestrisikostufen geprüft. Auf dieser Grundlage werden den Kunden geeignete Methoden zur Transaktionsauthentifizierung zur Auswahl bereitgestellt, die den Vorschriften entsprechen: Wenden Sie beim Ändern der Kundenidentifikationsinformationen eine Multi-Faktor-Authentifizierung an. Wenden Sie für jede Kundengruppe, jeden Transaktionstyp und jedes Transaktionslimit Authentifizierungsmethoden gemäß den Vorschriften an. Bei mehrstufigen Transaktionen muss im letzten Genehmigungsschritt mindestens eine Authentifizierungsmaßnahme angewendet werden.
Führen Sie jährliche Sicherheitsüberprüfungen und -bewertungen des Online-Banking-Systems durch.
Identifizieren Sie regelmäßig Risiken und potenzielle Risiken und ermitteln Sie die Ursachen von Risiken. Ergreifen Sie umgehend Maßnahmen zur Vorbeugung, Kontrolle und Handhabung von Risiken bei der Bereitstellung von Bankdienstleistungen im Internet.
IT-Infrastrukturgeräte für Online-Banking-Dienste müssen urheberrechtlich geschützt sein und über eine eindeutige Herkunft und Quelle verfügen. Für Geräte, die sich dem Ende ihres Produktlebenszyklus nähern und vom Hersteller nicht mehr unterstützt werden, muss gemäß Herstellerankündigung ein Upgrade- und Austauschplan vorhanden sein, der sicherstellt, dass die Infrastrukturgeräte neue Softwareversionen installieren können.
Verfügt über Firewalls, Überwachungssysteme und Warnmeldungen bei abnormalem Verhalten
Die Einheit muss ein Netzwerk-, Kommunikations- und Sicherheitssystem einrichten, das die folgenden Mindestanforderungen erfüllt:
Es gibt Mindestsicherheitslösungen, darunter: Anwendungsfirewall, Datenbankfirewall, zentrales Überwachungs- und Warnsystem für Angriffe oder ungewöhnliches Verhalten.
Kundeninformationen werden nicht in der Internetverbindungspartition und der DMZ-Partition (Zwischenpartition zwischen dem internen Netzwerk und dem Internet) gespeichert.
Richten Sie eine Richtlinie ein, um die Verbindung von Diensten und Gateways mit dem Online-Banking-System einzuschränken.
Verbindungen von außerhalb des internen Netzwerks zum Online-Banking-System für die Verwaltung können nur in Fällen hergestellt werden, in denen eine Verbindung vom internen Netzwerk aus nicht möglich ist. Sie müssen sicher sein und mindestens die folgenden Bestimmungen erfüllen: Sie müssen von einer autorisierten Person nach Überprüfung des Zwecks und der Methode der Verbindung genehmigt werden. Es muss ein Plan für die Zugriffsverwaltung und sichere Remote-Systemverwaltung vorhanden sein, beispielsweise durch die Verwendung eines virtuellen privaten Netzwerks oder Ähnlichem. Auf dem Verbindungsgerät muss Sicherheitssoftware installiert sein. Beim Anmelden am System müssen Maßnahmen zur mehrstufigen Authentifizierung verwendet werden. Es müssen sichere, verschlüsselte Kommunikationsprotokolle verwendet werden und es dürfen keine geheimen Schlüssel in Dienstprogrammen gespeichert werden.
Die Service-Netzwerkverbindung muss eine hohe Verfügbarkeit und kontinuierliche Bereitstellung der Dienste gewährleisten.
Richten Sie einen Mechanismus ein, um Eindringlinge und Netzwerkangriffe auf das System zu erkennen und zu verhindern
Der Entwurf besagt außerdem klar, dass die Einheit die Schwachstellen und Schwächen des Online-Banking-Systems mit den folgenden grundlegenden Inhalten bewältigen muss:
Ergreifen Sie Maßnahmen, um Änderungen an der Website und der Online-Banking-Anwendungssoftware zu verhindern, zu erkennen und aufzudecken.
Richten Sie einen Mechanismus zum Erkennen und Verhindern von Eindringversuchen und Netzwerkangriffen auf das Online-Banking-System ein.
Koordinieren Sie sich mit staatlichen Verwaltungseinheiten und IT-Partnern, um Vorfälle und Situationen im Zusammenhang mit Informationssicherheits- und Schutzverlusten umgehend zu erfassen und rechtzeitig Präventivmaßnahmen zu ergreifen.
Aktualisieren Sie Informationen zu veröffentlichten Sicherheitslücken in Bezug auf Systemsoftware, Datenbankverwaltungssysteme und Anwendungssoftware gemäß den Informationen aus dem Common Vulnerability Scoring System.
Suchen Sie mindestens einmal jährlich oder bei Erhalt von Informationen zu neuen Schwachstellen und Sicherheitslücken im Online-Banking-System nach Schwachstellen und Sicherheitsrisiken. Bewerten Sie die Auswirkungen und das Risiko jeder entdeckten Schwachstelle und technischen Schwäche des Systems und schlagen Sie Lösungen und Pläne zur Behebung vor.
Implementieren Sie Sicherheitspatch-Updates oder zeitnahe Präventivmaßnahmen basierend auf der Auswirkungs- und Risikobewertung.
Quelle
Kommentar (0)