В связи с комплексом мер, направленных на предотвращение распространения на территории Российской Федерации новой коронавирусной инфекции (COVID-19), и распространением практики дистанционной работы, Банк России рекомендовал кредитным организациям реализовать определенные меры для обеспечения киберустойчивости и информационной безопасности кредитных организаций и некредитных финансовых организаций.
1.В случае организации финансовыми организациями удаленного доступа в отношении тех операций, которые технически возможно организовать и осуществлять в условиях удаленного доступа, и перевода части работников, осуществляющих указанные операции, на дистанционную работу Банк России считает необходимым рекомендовать следующее.
В целях реализации удаленного логического доступа с использованием мобильных устройств (далее — удаленный мобильный доступ) финансовым организациям рекомендуется обеспечить:
- применение технологий виртуальных частных сетей;
применение многофакторной аутентификации;
применение терминального доступа (по возможности);
мониторинг и контроль действий пользователей удаленного мобильного
доступа.
Организационные и технические меры, необходимые для реализации указанных рекомендаций при осуществлении удаленного мобильного доступа, содержатся в национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и
технических мер», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст.
2. Кредитным организациям рекомендуется обеспечить бесперебойное осуществление, в первую очередь, следующих операций:
перевод денежных средств, в том числе через платежную систему Банка России, открытие и ведение банковских счетов физических и юридических лиц, а также наличие денежных средств в банкоматах.
В этой связи кредитным организациям рекомендуется идентифицировать работников (включая администраторов систем), задействованных в обеспечении осуществления и осуществлении
вышеуказанных операций, и организовать режим работы, обеспечивающий минимизацию рисков нарушения бесперебойности осуществления указанных операций.
В случае если для обеспечения бесперебойного осуществления указанных выше операций перевод работников на дистанционную работу невозможен, рекомендуется выделить группы работников:
- поддерживающих бесперебойное обеспечение осуществления
указанных операций на объектах информационной инфраструктуры
кредитных организаций;
ожидающих привлечения к бесперебойному обеспечению
осуществления указанных операций на объектах информационной инфраструктуры кредитных организаций.
3. В связи с рисками нарушения информационной безопасности при осуществлении финансовыми организациями операций при организации дистанционной работы своих работников обращаем внимание на необходимость оперативного информационного взаимодействия с Банком России посредством автоматизированной системы обработки инцидентов Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России (АСОИ ФинЦЕРТ) в соответствии с требованиями, предусмотренными нормативными актами Банка России.
4. В условиях сохранения опасности распространения новой коронавирусной инфекции (COVID-19) Банк России считает целесообразным воздержаться от применения мер, предусмотренных статьями 74, 76.53 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в отношении финансовых организаций, допустивших нарушение требований нормативных актов Банка России в области обеспечения защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, обеспечения защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, при организации дистанционной работы работников финансовых организаций.
По материалам Банка России
