草案によれば、オンライン バンキング システムは、レベル 3 以上の情報システム セキュリティの確保に関する法律の規定および銀行業務における情報システム セキュリティに関する国立銀行の規則に従って、レベル 3 以上の情報システム セキュリティの確保に関する規則に準拠する必要があります。
顧客情報の機密性と完全性を確保し、継続的なサービスを提供するためにオンライン バンキング システムの可用性を確保します。
顧客取引は、各顧客グループ、取引タイプ、取引限度額(ある場合)に応じて最小リスク レベルが評価され、その基準に基づいて、規制に準拠して顧客が選択できる適切な取引認証方法が提供されます。顧客識別情報を変更するときに多要素認証を適用します。規制に従って、各顧客グループ、取引タイプ、取引限度額に認証方法を適用します。複数ステップの取引の場合、最終承認ステップで少なくとも 1 つの認証手段を適用する必要があります。
オンライン バンキング システムのセキュリティ チェックと評価を毎年実施します。
インターネット上で銀行サービスを提供する際に、定期的にリスク、潜在的リスクを特定し、リスクの原因を判断し、リスクを防止、制御、処理するための措置を速やかに講じます。
オンラインバンキングサービスを提供する情報技術インフラ機器には、著作権、明確な出所、および出典がなければなりません。製品ライフサイクルの終了が近づき、メーカーによるサポートが終了する機器については、メーカーの発表に従ってアップグレードおよび交換プランを用意し、インフラ機器が新しいソフトウェアバージョンをインストールできるようにする必要があります。
ファイアウォール、監視システム、異常動作アラートを備えている
ユニットは、以下の最低要件を満たすネットワーク、通信、およびセキュリティ システムを確立する必要があります。
最低限のセキュリティ ソリューションとしては、アプリケーション ファイアウォール、データベース ファイアウォール、攻撃や異常な動作に対する集中監視および警告システムなどがあります。
インターネット接続パーティションおよびDMZパーティション(社内ネットワークとインターネット間の中間パーティション)には顧客情報は保存されません。
オンライン バンキング システムに接続するサービスとゲートウェイを制限するポリシーを設定します。
管理目的で内部ネットワークの外部からオンライン バンキング システムに接続する場合は、内部ネットワークから接続できない場合のみ接続できます。接続は安全でなければならず、少なくとも以下の規則に準拠する必要があります: 接続の目的と方法を確認した後、権限のある人物が承認する必要があります。アクセス管理の計画があり、仮想プライベート ネットワークなどを使用するなどしてリモート システム管理を安全に行う必要があります。接続デバイスにはセキュリティ ソフトウェアがインストールされている必要があります。システムにログインするときに多要素認証手段を使用する必要があります。安全な暗号化通信プロトコルを使用し、ユーティリティ ソフトウェアに秘密キーを保存しないでください。
サービスを提供するネットワーク接続は、高可用性と継続的なサービス提供を保証する必要があります。
システムへの侵入やネットワーク攻撃を検出し防止するメカニズムを確立する
草案では、以下の基本的な内容でオンライン バンキング システムの脆弱性と弱点を管理する必要があることも明記されています。
ウェブサイトおよびオンライン バンキング アプリケーション ソフトウェアの変更を防止、検出、および検知するための対策を講じます。
オンライン バンキング システムへの侵入やネットワーク攻撃を検出し、防止するためのメカニズムを確立します。
国家管理部門および情報技術パートナーと連携し、情報セキュリティおよび安全性損失の事件や状況を迅速に把握し、タイムリーな予防措置を講じます。
共通脆弱性評価システムの情報に従って、システム ソフトウェア、データベース管理システム、アプリケーション ソフトウェアに関連する公開されたセキュリティの脆弱性に関する情報を更新します。
オンラインバンキングシステムの脆弱性と弱点を少なくとも年に1回、または新たな脆弱性や弱点に関する情報を受け取った際にスキャンします。発見されたシステムの脆弱性と技術的弱点それぞれについて、影響度とリスクを評価し、解決策と対応計画を提案します。
影響とリスクの評価に基づいて、セキュリティ パッチの更新またはタイムリーな予防措置を実装します。
ソース
コメント (0)