Selon le projet, le système bancaire en ligne doit être conforme aux réglementations visant à garantir la sécurité du système d'information au niveau 3 ou supérieur conformément aux dispositions de la loi sur la garantie de la sécurité du système d'information au niveau et aux réglementations de la Banque d'État sur la sécurité du système d'information dans les activités bancaires.
Assurer la confidentialité et l’intégrité des informations clients ; assurer la disponibilité du système bancaire en ligne pour fournir des services continus.
Les transactions des clients sont évaluées en fonction des niveaux de risque minimum en fonction de chaque groupe de clients, du type de transaction, de la limite de transaction (le cas échéant) et, sur cette base, des méthodes d'authentification de transaction appropriées sont fournies aux clients, conformément à la réglementation : appliquer l'authentification multifacteur lors de la modification des informations d'identification du client ; appliquer des méthodes d'authentification pour chaque groupe de clients, type de transaction, limite de transaction conformément à la réglementation ; pour les transactions en plusieurs étapes, au moins une mesure d'authentification doit être appliquée à l'étape d'approbation finale.
Effectuer des contrôles et des évaluations de sécurité annuels du système bancaire en ligne.
Identifier régulièrement les risques, les risques potentiels et déterminer les causes des risques, prendre rapidement des mesures pour prévenir, contrôler et gérer les risques lors de la fourniture de services bancaires sur Internet.
Les équipements d'infrastructure informatique fournissant des services bancaires en ligne doivent être protégés par des droits d'auteur, une origine et une source claires. Les équipements approchant la fin de leur cycle de vie et ne bénéficiant plus du support du fabricant doivent bénéficier d'un plan de mise à niveau et de remplacement conforme à l'annonce du fabricant, garantissant ainsi la capacité de l'équipement d'infrastructure à installer les nouvelles versions logicielles.
Dispose de pare-feu, de systèmes de surveillance et d'alertes de comportement anormal
L'unité doit mettre en place un réseau, un système de communication et de sécurité qui répond aux exigences minimales suivantes :
Il existe des solutions de sécurité minimales comprenant : un pare-feu d'application, un pare-feu de base de données, un système centralisé de surveillance et d'alerte en cas d'attaques ou de comportements inhabituels.
Les informations client ne sont pas stockées dans la partition de connexion Internet et la partition DMZ (partition intermédiaire entre le réseau interne et Internet).
Mettre en place une politique visant à limiter les services et les passerelles se connectant au système bancaire en ligne.
Les connexions depuis l'extérieur du réseau interne au système bancaire en ligne pour l'administration ne peuvent être effectuées que dans les cas où il n'est pas possible de se connecter depuis le réseau interne et doivent être sécurisées, conformes au moins aux réglementations suivantes : Doit être approuvé par une personne autorisée après avoir examiné l'objectif et la méthode de connexion ; doit avoir un plan de gestion des accès, une administration sécurisée du système à distance telle que l'utilisation d'un réseau privé virtuel ou équivalent ; le dispositif de connexion doit être installé avec un logiciel de sécurité ; doit utiliser des mesures d'authentification multifactorielle lors de la connexion au système ; utiliser des protocoles de communication cryptés sécurisés et ne pas stocker de clés secrètes dans un logiciel utilitaire.
La connexion au réseau de services doit garantir une haute disponibilité et une fourniture continue de services.
Mettre en place un mécanisme pour détecter et prévenir les intrusions et les attaques réseau sur le système
Le projet stipule également clairement que l'unité doit gérer les vulnérabilités et les faiblesses du système bancaire en ligne avec le contenu de base suivant :
Disposer de mesures pour prévenir, détecter et détecter les modifications apportées au site Web et au logiciel d'application bancaire en ligne.
Mettre en place un mécanisme de détection et de prévention des intrusions et des attaques réseau sur le système bancaire en ligne.
Coordonner avec les unités de gestion de l’État et les partenaires en technologies de l’information pour saisir rapidement les incidents et les situations de perte de sécurité et de sûreté de l’information afin de prendre des mesures préventives en temps opportun.
Mettre à jour les informations sur les vulnérabilités de sécurité publiées liées aux logiciels système, aux systèmes de gestion de bases de données et aux logiciels d'application conformément aux informations du Common Vulnerability Scoring System.
Analyser les vulnérabilités et les faiblesses du système de banque en ligne au moins une fois par an ou dès réception d'informations concernant de nouvelles vulnérabilités et faiblesses. Évaluer le niveau d'impact et de risque de chaque vulnérabilité et faiblesse technique découverte et proposer des solutions et des plans de gestion.
Mettre en œuvre des mises à jour de correctifs de sécurité ou des mesures préventives opportunes en fonction de l’évaluation de l’impact et des risques.
Source
Comment (0)