Dem Entwurf zufolge muss das Online-Banking-System den Vorschriften zur Gewährleistung der Informationssystemsicherheit der Stufe 3 oder höher gemäß den Bestimmungen des Gesetzes zur Gewährleistung der Informationssystemsicherheit auf dieser Stufe und den Vorschriften der Staatsbank zur Informationssystemsicherheit bei Bankaktivitäten entsprechen.

Gewährleistung der Vertraulichkeit und Integrität von Kundeninformationen; Stellen Sie die Verfügbarkeit des Online-Banking-Systems sicher, um kontinuierlich Dienste bereitzustellen.

Kundentransaktionen werden je nach Kundengruppe, Transaktionstyp und Transaktionslimit (sofern vorhanden) auf ein Mindestrisikoniveau geprüft. Auf dieser Grundlage werden den Kunden geeignete Methoden zur Transaktionsauthentifizierung zur Auswahl bereitgestellt, die den Vorschriften entsprechen: Wenden Sie beim Ändern der Kundenidentifikationsinformationen eine Multi-Faktor-Authentifizierung an. Wenden Sie gemäß den Vorschriften Authentifizierungsmethoden für jede Kundengruppe, jeden Transaktionstyp und jedes Transaktionslimit an. Bei mehrstufigen Transaktionen muss im letzten Genehmigungsschritt mindestens eine Authentifizierungsmaßnahme angewendet werden.

Führen Sie jährliche Sicherheitsüberprüfungen und -bewertungen des Online-Banking-Systems durch.

Identifizieren Sie regelmäßig Risiken und potenzielle Risiken und ermitteln Sie die Ursachen von Risiken. Ergreifen Sie umgehend Maßnahmen zur Vorbeugung, Kontrolle und Handhabung von Risiken bei der Bereitstellung von Bankdienstleistungen im Internet.

Bei der Informationstechnologie-Infrastrukturausrüstung, die Online-Banking-Dienste bereitstellt, müssen Urheberrechte und Herkunft eindeutig erkennbar sein. Bei Geräten, die sich dem Ende ihres Produktlebenszyklus nähern und vom Hersteller nicht mehr unterstützt werden, muss für die Einheit ein Upgrade- und Austauschplan gemäß der Ankündigung des Herstellers vorliegen, der sicherstellt, dass die Infrastrukturausrüstung in der Lage ist, die neue Softwareversion zu installieren.

Verfügt über Firewalls, Überwachungssysteme und Warnmeldungen bei abnormalem Verhalten

Die Einheit muss ein Netzwerk-, Kommunikations- und Sicherheitssystem einrichten, das die folgenden Mindestanforderungen erfüllt:

Es gibt Mindestsicherheitslösungen, darunter: Anwendungsfirewall; Datenbank-Firewall; Zentralisiertes Überwachungs- und Warnsystem für Angriffe oder ungewöhnliches Verhalten.

Kundeninformationen werden nicht in der Internetverbindungspartition und der DMZ-Partition (Zwischenpartition zwischen dem internen Netzwerk und dem Internet) gespeichert.

Richten Sie eine Richtlinie ein, um die Verbindung von Diensten und Gateways mit dem Online-Banking-System einzuschränken.

Eine Verbindung von außerhalb des internen Netzwerks zum Online-Banking-System zu Verwaltungszwecken darf nur in Fällen erfolgen, in denen eine Verbindung vom internen Netzwerk aus nicht möglich ist, muss die Sicherheit gewährleisten und mindestens die folgenden Vorschriften einhalten: Muss nach Überprüfung des Zwecks und der Methode der Verbindung von einer autorisierten Person genehmigt werden; Es muss ein sicherer Fernzugriffs- und Systemadministrationsplan vorhanden sein, beispielsweise die Verwendung eines virtuellen privaten Netzwerks oder Ähnlichem. Auf den Verbindungsgeräten muss Sicherheitssoftware installiert sein. muss beim Anmelden am System eine mehrstufige Authentifizierung verwenden; Verwenden Sie sichere, verschlüsselte Kommunikationsprotokolle und speichern Sie keine geheimen Schlüssel in Dienstprogrammsoftware.

Die den Dienst bereitstellende Netzwerkverbindung muss eine hohe Verfügbarkeit und kontinuierliche Dienstbereitstellung gewährleisten.

Richten Sie einen Mechanismus ein, um Eindringlinge und Netzwerkangriffe auf das System zu erkennen und zu verhindern

Der Entwurf besagt außerdem klar, dass die Einheit die Schwachstellen und Schwächen des Online-Banking-Systems mit den folgenden grundlegenden Inhalten bewältigen muss:

Ergreifen Sie Maßnahmen, um Änderungen an der Website und der Online-Banking-Anwendungssoftware zu verhindern, zu erkennen und aufzudecken.

Richten Sie einen Mechanismus zum Erkennen und Verhindern von Eindringversuchen und Netzwerkangriffen auf das Online-Banking-System ein.

Koordinieren Sie sich mit staatlichen Verwaltungseinheiten und IT-Partnern, um Vorfälle und Situationen im Zusammenhang mit Informationssicherheits- und Schutzverlusten umgehend zu erfassen und rechtzeitig Präventivmaßnahmen zu ergreifen.

Aktualisieren Sie Informationen zu veröffentlichten Sicherheitslücken in Bezug auf Systemsoftware, Datenbankverwaltungssysteme und Anwendungssoftware gemäß den Informationen aus dem Common Vulnerability Scoring System.

Führen Sie mindestens einmal jährlich oder bei Erhalt von Informationen zu neuen Schwachstellen und Sicherheitslücken eine Überprüfung des Online-Banking-Systems auf Sicherheitslücken und Sicherheitslücken durch. Bewerten Sie die Auswirkungen und Risiken jeder entdeckten Sicherheitslücke und technischen Schwäche des Systems und schlagen Sie Lösungen und Pläne zur Behebung vor.

Implementieren Sie Sicherheitspatch-Updates oder zeitnahe Präventivmaßnahmen basierend auf der Auswirkungs- und Risikobewertung.