Постановление Правления ЦБ Республики Узбекистан № 19/1 от 18.08.2025

3. В целях обеспечения информационной безопасности и кибербезопасности в банках и их филиалах (отделениях, операционных отделениях, офисах (центрах) банковских услуг и иных обособленных подразделениях) создается служба информационной безопасности и кибербезопасности (далее – Служба).

4. Служба несет ответственность за обеспечение информационной безопасности и кибербезопасности информационных активов банка, а также за предупреждение и устранение ситуаций временного сбоя работы систем, несанкционированного изменения платежных данных, причинения ущерба банку или его клиенту.

организовать систему управления информационной безопасностью и кибербезопасностью, организовать и контролировать выполнение требований информационной безопасности и кибербезопасности подразделениями и сотрудниками банка;

организация контроля за обеспечением сохранности информации;

оказание методической и практической помощи подразделениям и сотрудникам банка по вопросам защиты информации;

участвовать в процессах проектирования, тестирования, принятия и внедрения систем защиты информации об информационных активах, а также принимать меры по предотвращению утечки банковской тайны и иной конфиденциальной информации в этих процессах;

осуществлять выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности и кибербезопасности банка в пределах его полномочий;

принятие мер по защите информации в данной системе при выявлении фактов попыток несанкционированного использования информации в информационных активах, иного вмешательства в нее, а также при нарушении правил эксплуатации данной системы;

выявлять и анализировать киберугрозы и атаки на информационные активы и принимать меры по их устранению;

осуществлять сбор, обработку, анализ и хранение информации об инциденте информационной безопасности (далее – инцидент);

выполнять работы по расследованию нежелательных явлений;

анализ состояния и эффективности мер защиты информации;

контролировать и обеспечивать надлежащую работу программного и аппаратного обеспечения информационной безопасности и кибербезопасности;

проведение мониторинга в области информационной безопасности и кибербезопасности;

подготовка предложений по вопросам информационной безопасности и кибербезопасности;

определяет требования к реализации мер по обеспечению информационной безопасности и кибербезопасности информационных активов;

разработка планов по обеспечению и контролю информационной безопасности и кибербезопасности информационных активов банка;

контролировать хранение конфиденциальной, в том числе банковской тайны и персональных данных;

участвует в процессе восстановления информационных систем в случае остановки, аварии, инцидента кибербезопасности и непредвиденных обстоятельств, а также контролирует возвращение информационных систем в полностью работоспособное состояние;

обязан выполнять иные функции в соответствии с документами банка.

6. Задачи, полномочия и ответственность службы могут определяться внутренними документами банка с учетом требований настоящего Положения. Служба должна быть обеспечена техническими ресурсами, необходимыми для выполнения возложенных на нее задач и обязанностей.

7. Численность работников службы определяется исходя из возложенных на них задач, количества информационных ресурсов и информационных систем, уровня автоматизации систем обеспечения информационной безопасности и кибербезопасности.

8. Служба и службы информационных технологий должны подчиняться разным членам органов управления банка, при этом Служба подчиняется непосредственно председателю правления банка.
Запрещается привлекать работников службы к работам, не связанным с их основной деятельностью.

9. Банкам следует систематически обеспечивать прохождение работниками Службы специализированного обучения в области информационной безопасности и кибербезопасности не реже двух раз в год, учитывая при этом необходимость обучения и повышения квалификации всех ответственных работников Службы в данной области.

10. Обеспечение информационной безопасности и кибербезопасности регламентируется требованиями, установленными законодательными актами и внутренними документами банка по обеспечению информационной безопасности и кибербезопасности.

11. Банк должен разработать и принять внутреннюю политику по обеспечению информационной безопасности.
Политика информационной безопасности определяет требования по обеспечению информационной безопасности и кибербезопасности во всех информационных системах и информационных ресурсах банка.

12. С внутренними документами по информационной безопасности и кибербезопасности, а также с требованиями, изложенными в них, должен быть ознакомлен каждый работник банка. Работники банка обязаны неукоснительно соблюдать требования, изложенные в указанных документах.

13. Реализация всех установленных настоящим Положением мер по обеспечению информационной безопасности и кибербезопасности в информационных системах и информационных ресурсах должна быть подтверждена в письменной форме или в электронном виде.

14. При наличии у банка филиальной сети в каждом филиале должен быть утвержден комплект документов банка по информационной безопасности и кибербезопасности. При необходимости учета специфики деятельности отдельных филиалов банк обеспечивает разработку внутренних документов банка с учетом этой специфики.

15. Любые изменения программного обеспечения информационных активов Банка или внедрение новых информационных ресурсов и систем должны осуществляться по согласованию со Службой.

16. Банкам запрещается передавать на аутсорсинг хозяйствующим субъектам, оказывающим услуги на основе договора, задачи по управлению, контролю и обеспечению бесперебойной работы своих информационно-коммуникационных инфраструктур, систем информационной безопасности и кибербезопасности.

определение и ведение перечня конфиденциальной информации, касающейся банка или его подразделения, включая банковскую тайну и персональные данные;

подписать с каждым сотрудником соглашение о конфиденциальности с целью возмещения причиненного ущерба;

обеспечить, чтобы сотрудники, не имеющие разрешения на использование конфиденциальной информации, не использовали эту информацию;

обеспечение безопасного хранения компьютеров и документов, содержащих конфиденциальную информацию;

принять меры по предотвращению несанкционированного использования конфиденциальной информации.

18. Передача сведений, составляющих государственную тайну, по сетям электросвязи запрещается.

19. В банке будет создана система обеспечения информационной безопасности и кибербезопасности, состоящая из правовых, организационных, технических мер и комплексов систем (средств) защиты информации.

20. Программное обеспечение и аппаратные средства, используемые для обеспечения информационной безопасности и кибербезопасности, должны быть лицензированы и сертифицированы в соответствии с требованиями информационной безопасности и кибербезопасности. При этом все работы по технической поддержке программного обеспечения осуществляются владельцем или поставщиком программного обеспечения.

23. Банкам следует создать систему управления рисками информационной безопасности и кибербезопасности, которые могут возникнуть в результате сбоев системы и внешнего неблагоприятного воздействия.

24. Система управления рисками информационной безопасности и кибербезопасности должна включать следующие функции:

25. Служба осуществляет надзор за системой информационной безопасности и кибербезопасности и обеспечивает ее бесперебойное функционирование.
Перечень известных рисков, а также используемых средств и методов управления для обеспечения информационной безопасности и кибербезопасности в банке должен быть сформирован службой и утвержден председателем правления банка.
Банк должен обеспечить актуальность перечня рисков информационной безопасности и кибербезопасности.

26. Службой осуществляется постоянная оценка и анализ рисков информационной безопасности и кибербезопасности.

Служба должна предоставлять председателю правления банка актуальную информацию о повышении рисков.

27. Меры, принимаемые для управления рисками информационной безопасности и кибербезопасности, должны документироваться и пересматриваться не реже одного раза в год председателем правления банка, а также должны быть приняты соответствующие меры для снижения рисков.

28. Рейтинговая информационная система оценки уровня информационной безопасности и кибербезопасности деятельности банков ведется Центральным банком Республики Узбекистан (далее – Центральный банк).

Банки должны своевременно вносить в рейтинговую информационную систему корректную (достоверную) информацию.

30. В банке будут внедрены системы мониторинга для получения информации о неблагоприятных событиях. Для контроля функционирования этих систем и устранения возможных неблагоприятных событий будет создана рабочая группа.

31. Для устранения неблагоприятных событий могут привлекаться внешние эксперты или специалисты организаций технического обслуживания. При привлечении внешних экспертов или специалистов организаций технического обслуживания для устранения неблагоприятных событий банк обязан заключить с ними соглашение о неразглашении конфиденциальной информации.

32. Информация о выявленных нежелательных явлениях должна быть документирована Службой.

В случае обнаружения инцидента служба обязана использовать информацию системы мониторинга информационной безопасности и вести электронные журналы информационных систем на момент инцидента, а также резервные копии (резервные копии, снимки и т.п.) серверов системы, на которых произошел инцидент, и обеспечивать их целостность.

33. В целях предотвращения инцидентов при использовании технических средств банкам необходимо обеспечить:

34. При обнаружении любого нештатного инцидента в процессе работы сотрудники банка обязаны немедленно сообщить об этом в Службу.
Действия Службы при возникновении неприятных событий определены во внутренних документах банка.

35. Банк обязан незамедлительно уведомить Центральный банк и уполномоченный государственный орган о любом неблагоприятном событии в письменной форме или в электронном виде.

учет программ и устройств, используемых для обработки, хранения и передачи информации по сетям информационной инфраструктуры;

внедрение SIEM (Security Information and Event Management) или других систем, позволяющих проводить анализ событий информационной безопасности и кибербезопасности, мониторинг и оповещение о состоянии информационной безопасности и кибербезопасности;

внедрение систем SOAR (Security Orchestration, Automation and Response), позволяющих автоматизировать процессы сбора, анализа и реагирования на инциденты информационной безопасности и кибербезопасности;

анализировать данные системы мониторинга информационной безопасности и кибербезопасности и принимать меры по устранению и (или) предотвращению выявленных ситуаций (несанкционированного доступа и попыток доступа к информационной сети, сбоев в работе системы, нехватки информационных ресурсов, сбоев в работе сети, ограничений по обеспечению информационной безопасности и кибербезопасности и иных событий);

организация круглосуточного мониторинга состояния информационной безопасности и кибербезопасности;

обеспечение подключения системы мониторинга информационной безопасности и кибербезопасности к системе мониторинга центра кибербезопасности CERT-CBU Центрального банка.

37. Банкам следует разработать процедуры доступа к информационным системам и ресурсам и их использования, включая правила предоставления новым пользователям доступа к информационным системам и ресурсам и удаления пользователей, чьи права доступа были отозваны.

38. Допуск новых пользователей к информационным системам и ресурсам осуществляется после проведения Службой необходимых технических мер и выдачи разрешения.

39. Служба осуществляет мониторинг списка пользователей, имеющих доступ к информационным системам и ресурсам, и использования ими этих систем в соответствии с установленными в банке регламентами.

автоматически создавать в информационных системах записи о регистрации вновь принятых сотрудников;

предоставление работникам прав доступа к соответствующим информационным системам в соответствии с их должностными обязанностями;

обеспечение осуществления работниками удаленного доступа к информационным системам по защищенным каналам связи с соблюдением требований информационной безопасности и кибербезопасности только на территории Республики Узбекистан;

Изменение, блокирование и ограничение записей (учетных записей) сотрудника при его переводе на другую должность, уходе в отпуск или увольнении.

Управление и постоянный мониторинг всего жизненного цикла учетных записей сотрудников в информационных системах и ресурсах банка, а также постоянная проверка должностных обязанностей и полномочий сотрудников на основе данных в кадровой системе;

Управлять и контролировать ролевую модель доступа на основе организационной структуры банка, а также обеспечивать динамическое назначение информационных ресурсов (привязанных учетных записей, прав доступа и полномочий в информационных системах) на основе атрибутов и статуса сотрудника;

При изменении бизнес-роли или задачи сотрудника автоматически назначать права доступа и полномочия новой роли через централизованную систему;

Контролировать практические права доступа и полномочия пользователей каждой информационной системы и определять различия между согласованными правами доступа;

Отслеживайте источник прав доступа и полномочий (прямое назначение, назначение по ролевой модели, назначение по запросу) к любым информационным системам и ресурсам банка и получайте полную информацию об источнике и цепочке полномочий.

42. Служба должна быть оснащена средствами выявления превышения прав, предоставленных банковским работникам.

43. Следующая информация об операциях, совершенных пользователем при использовании банком информационных активов:

Все операции и действия, совершаемые пользователем в течение активного сеанса работы в системе, должны фиксироваться в соответствующих электронных журналах. При этом возможность изменения или удаления записей в электронных журналах должна быть предоставлена ​​только сотрудникам Службы, уполномоченным приказом председателя правления банка.

44. Служба должна не реже одного раза в месяц проводить проверку должностных обязанностей, полномочий и прав доступа к информационным активам работников банка и документировать результаты проверки.

идентифицировать и аутентифицировать пользователей и управлять этим процессом;

выявлять и ограничивать неудачные попытки доступа и блокировать доступ (учетную запись) данного пользователя к информационным системам и ресурсам;

завершение сеанса работы при длительном бездействии пользователя;

ограничение одновременной работы учетной записи пользователя на нескольких устройствах (мультисессионность) в течение рабочего времени пользователя на информационных активах и рабочих станциях;

ограничение возможности пользователя изменять настройки (параметры) информационных активов, влияющие на функционирование этих информационных активов;

как объекта значимой информационной инфраструктуры обеспечить проведение оценки состояния информационной безопасности и кибербезопасности в информационных системах и ресурсах банка в порядке, установленном законодательством;

Необходимо оперативно устранять недостатки и слабые места, выявленные в процессах проведения экспертизы информационных систем и ресурсов на соответствие требованиям кибербезопасности и оценки состояния кибербезопасности.

46. ​​Аутентификация пользователей, имеющих право ввода, изменения, подтверждения и удаления платежной информации в информационных системах, осуществляется с помощью аппаратно-программных средств.
Каждый пользователь должен использовать свое собственное аппаратное и программное обеспечение для входа в систему.

47. Меры по обеспечению информационной безопасности и кибербезопасности во всех процессах предоставления дистанционных банковских услуг определяются внутренними документами банка.

В системе предоставления услуг дистанционного банковского обслуживания полная информация о доступе пользователей к системе, обмене информацией и их действиях (IP и (или) MAC-адрес, а при использовании мобильного телефона - IMEI-код) должна фиксироваться в электронных протоколах.
Банкам следует запретить всем пользователям подключаться к банковской системе вне разрешенного времени. В этом случае активные сеансы подключения к банковской системе должны быть завершены.

48. Все действия администраторов информационно-коммуникационной инфраструктуры банка, информационных систем и ресурсов, а также систем информационной безопасности и кибербезопасности должны осуществляться через систему PAM. Это требует регистрации действий пользователей в этой системе и аудита привилегированных сеансов.

49. Банки должны обеспечить, чтобы данные, фиксирующие активность пользователей в системе PAM, хранились в течение не менее шести месяцев.

доступ к базе данных;

использование специального интерфейса базы данных, ввод команд и использование программ;

узнать пароли администратора и пользователей;

доступ к файлам системы базы данных;

установка вредоносных программ;

владение серверными приложениями;

удаленная атака на базу данных и сервер.

51. Банки должны документировать все изменения программного обеспечения, вносимые в базу данных, и вести учет внесенных изменений.

После завершения тестирования будет запущена операционная система рабочих станций и другого вычислительного оборудования, антивирусное программное обеспечение и другие программные изменения. Все программные изменения в базе данных должны быть сначала проверены на тестовом сервере, а при достижении положительного результата – реализованы на рабочем сервере.

52. Службы, не являющиеся необходимыми для работы сервера, установленного в базе данных, должны быть остановлены, а информационные порты должны быть закрыты. Перечень используемых информационных портов утверждается председателем правления банка с указанием цели использования.

53. Банку следует внедрить систему мониторинга активности базы данных (DAM) для оперативного выявления и предотвращения подозрительной деятельности в режиме реального времени.

54. Обязанности, полномочия и ответственность администратора базы данных и работников, обеспечивающих безопасность информации в базе данных, определяются внутренними документами банка.

55. Пароль администратора базы данных должен быть длиной не менее 12 символов. В качестве символов пароля могут использоваться строчные и заглавные буквы, цифры и специальные символы (@, #, $, &, % и т. д.). Пароли и токены должны храниться в базе данных в зашифрованном виде.

56. Банк должен обеспечить, чтобы другие организации могли подключаться к базе данных только через веб-сервис (API). Прямое подключение других организаций (DB Link) запрещено.

обеспечение бесперебойности функционирования и безопасности телекоммуникационных и сетевых услуг при взаимодействии корпоративных сетей и информационных систем;

ограничить несанкционированный просмотр или изменение настроек сетевых устройств и программного обеспечения и их компонентов;

разделение сетей на отдельные сегменты;

предоставить возможность отслеживать и анализировать киберугрозы в режиме реального времени и блокировать их;

собирать и хранить подробную информацию о сетевой активности;

предоставление возможности создавать и эмулировать ханипоты;

предоставление возможности анализа сетевого трафика на уровне различных протоколов и программ;

обеспечение конфиденциальности данных при межсетевом обмене информацией и предотвращение несанкционированных действий в сети.

59. К корпоративной сети должно быть разрешено подключаться только авторизованным устройствам (компьютерам).

При подключении к корпоративной сети банка компьютерных устройств, не принадлежащих банку, необходимо обеспечить следующее:

60. Должен вестись электронный журнал обмена информацией в корпоративной сети, в котором должны фиксироваться имя пользователя, время, IP и (или) MAC-адрес устройства, осуществившего доступ к системе.

61. Схема корпоративной сети (подключение к сети Центрального банка, сети Интернет, операторам связи, филиалам и иным сетям), создаваемая банками, согласовывается с Центральным банком.

62. Службой постоянно осуществляется полный контроль и мониторинг безопасности корпоративной сети.

63. Защита межсетевого информационного обмена банка осуществляется путем создания виртуальных частных сетей (VPN).
Для обмена информацией между серверами приложений и пользователями в корпоративной сети необходимо использовать защищенный протокол.

64. Точки подключения к локальной вычислительной сети банка из других сетей и (или) по внешним каналам связи защищаются средствами межсетевого экранирования.

65. Телекоммуникационные шкафы должны быть заперты и контролироваться системами видеонаблюдения.
Запрещается прокладывать кабели локальных вычислительных сетей в незащищенном виде через телекоммуникационные шкафы к точкам подключения вычислительной техники, банкоматов и других устройств.

66. Все филиалы банка должны быть изолированы друг от друга путем создания виртуальных локальных сетей (VLAN) в локальной вычислительной сети.

67. Необходимо осуществлять мониторинг состояния программного обеспечения и технических средств, используемых для обеспечения сетевой безопасности в банке, собирать и анализировать статистические данные, выявлять возникающие проблемы на первом этапе и на их основе предупреждать возникновение нештатных ситуаций.

68. Банкам следует внедрить системы NDR (сетевого обнаружения и реагирования) для обнаружения и реагирования на сетевые угрозы.

69. Банкам следует внедрить систему обнаружения и предотвращения вторжений (IDS/IPS), то есть внедрить программные или аппаратные средства, предназначенные для обнаружения, предотвращения и блокирования необычной активности в сети банка и атак на локальные вычислительные сети.

Банки должны иметь возможность в режиме реального времени выявлять любые отклонения в работе сетевых приложений, а также случаи несанкционированного доступа к компьютерной системе или сети (несанкционированный доступ или сетевые атаки). Банк обеспечивает актуальность базы данных систем обнаружения вторжений (IDS/IPS).

Масштаб сетевой инфраструктуры для систем IPS/IDS выбирается и реализуется исходя из пропускной способности интерфейсов серверов и коммутационного оборудования (маршрутизаторов, коммутаторов, линий связи). Если телекоммуникационное оборудование устарело и не позволяет функционировать системам IPS/IDS, необходимо провести его обновление.

70. Устройства межсетевого экранирования, используемые в банках, должны соответствовать не ниже второй категории требований узбекского стандарта ДСт 2815:2014 «Информационные технологии. Устройства межсетевого экранирования».

Конфигурации сетевых устройств отображения должны быть проверены и соответствовать авторизованным протоколам обмена данными. Изменения в настройки вносятся банком.

71. Настройки основного и резервного сетевых устройств отображения должны быть идентичны и поддерживаться в актуальном состоянии в электронном архиве.

72. Электронные протоколы сетевых межсетевых экранов и прокси-серверов анализируются Службой, и в случае обнаружения внешних атак немедленно оповещается Центральный банк.

73. Банк создает сервер своей внутренней системы электронной почты в локальной компьютерной сети банка.
Использование банком систем мгновенного обмена сообщениями (мессенджеров) или программ, обеспечение защиты информации при использовании банком сети Интернет и систем электронной почты, включение сотрудников в систему, установление для них ограничений, ответственность, контроль за перемещениями сотрудников и обеспечение информационной безопасности системы определяются внутренними документами банка.

74. Сотрудникам банка запрещается передавать через электронную почту банка информацию, не имеющую отношения к банковской деятельности.

75. Обмен информацией между подразделениями и филиалами банка осуществляется посредством программ электронного документооборота или внутренней электронной почты банка.

76. Запрещается осуществлять обмен файлами через общий каталог (FTP-сервер), созданный с использованием протокола передачи файлов (FTP), а также размещать в сети для свободного чтения сведения, составляющие банковскую тайну.

Необходимо внедрить систему (песочницу) для проверки данных, полученных и отправленных по электронной почте, на наличие вредоносного кода. Служба будет осуществлять мониторинг этой системы.

77. Банк устанавливает порядок использования электронной почты и сети Интернет во внутренних документах Банка и обеспечивает контроль Службой информации, направляемой и получаемой посредством электронной почты. При этом доступ к сети Интернет имеют только авторизованные пользователи.

78. При использовании сети Интернет в банке должны быть приняты меры по обеспечению информационной безопасности и кибербезопасности.

Пользователям, работающим с конфиденциальной, в том числе банковской, и персональной информацией, разрешается подключать свои компьютеры к сети Интернет через прокси-сервер. При этом подключение к сети Интернет должно осуществляться только на основании перечня информационных ресурсов, имеющих отношение к их профессиональной деятельности.

79. Серверы баз данных автоматизированных банковских систем, серверы приложений, все серверы, обрабатывающие данные платежных систем, и другие важные серверы, участвующие в работе банка, должны размещаться в отдельном и защищенном сегменте сети, созданной в банке.

Информационные системы и ресурсы банка, подключенные через Интернет, должны быть защищены системами IDS/IPS, WAF (Web Application Firewall) и Anti-DDoS для обнаружения и предотвращения атак.

80. В целях повышения уровня защиты информации при использовании протокола трансляции сетевых адресов (NAT), позволяющего изменять IP-адреса сетевых транзитных пакетов в сетевом протоколе, должны вестись электронные журналы всех соединений с указанием исходных IP-адресов и осуществляться их электронное архивирование в установленном порядке.

Порядок использования сети Интернет должен контролироваться, а использование сети Интернет работниками банка должно определяться в соответствии с их должностными инструкциями.

81. При использовании Интернета должны вестись электронные журналы регистрации имени пользователя, времени использования, названия ресурса и другой информации. Служба будет анализировать эти электронные журналы.

82. Защита информации при использовании сети Интернет обеспечивается путем использования межсетевых экранов, прокси-серверов, антивирусных средств, систем обнаружения и предотвращения вторжений (IDS/IPS), а также других систем информационной безопасности и кибербезопасности.

83. Обеспечить, чтобы не допускалось подключение к сети и компьютерам банка модемов, мобильных телефонов, а также использование внешних прокси-серверов при работе в сети Интернет, организация внутренней локальной вычислительной сети банка без беспроводной сети, использование беспроводных систем обмена информацией на компьютерах банка.

84. В целях создания удобства для клиентов и потребителей услуг банка в здании банка могут быть организованы зоны Wi-Fi.

При этом технология Wi-Fi должна быть физически отделена от внутренней локальной вычислительной сети банка и должны быть обеспечены следующие меры информационной безопасности и кибербезопасности:

85. Банк обязан осуществлять регулярный мониторинг внешних информационных ресурсов в сети Интернет. Основной целью этого является предотвращение неправомерного использования логотипа, деловой репутации и других элементов банка в целях введения клиентов и партнеров в заблуждение. В связи с этим должны быть выявлены следующие обстоятельства, связанные с банком:

В случае выявления банком на внешних информационных ресурсах в сети Интернет вышеуказанных ситуаций он обязан в течение одного дня сообщить об этом в Центральный банк и Инспекцию по надзору за информатизацией и телекоммуникациями при Министерстве цифровых технологий Республики Узбекистан и опубликовать информацию на своих официальных информационных ресурсах.

86. Банки должны внедрить систему (Active Directory или другую альтернативу) для управления пользователями, компьютерами, серверами и другими техническими устройствами, являющимися сетевыми объектами в их информационных активах.

В этом случае с помощью этой системы пользователи могут использовать только те программы, которые связаны с их работой, а доступ к компьютерам защищен (паролями).

Список разрешённых к использованию программ определяется банком. Запрещается использование всех программ, не входящих в список, а также установка дополнительных программ.

87. Систему управления техническими средствами реализует администратор, при этом Служба обязана осуществлять контроль за всеми действиями администратора в системе.

88. Служба должна не реже одного раза в месяц проводить анализ настроек и электронных протоколов системы управления техническими средствами, а также контролировать выполнение требований, установленных в политике информационной безопасности банка при использовании технических средств.

89. Банкам следует внедрить систему защиты от утечки данных (DLP) для предотвращения несанкционированной передачи данных из информационных систем.

Все конечные точки, уполномоченные работать с конфиденциальными данными, должны быть подключены к DLP-системе.

90. Банками в области защиты данных:

91. Процедуры контроля определяются внутренними документами банка, а защита информации от несанкционированного распространения осуществляется Службой.

92. Для обеспечения информационной безопасности и кибербезопасности в банках должна быть организована антивирусная защита.

93. Установка и функционирование антивирусного программного обеспечения в банке контролируется Службой.

94. Банкам следует определить меры, которые необходимо принять для предотвращения распространения компьютерных вирусов через сеть в случае их обнаружения.

При установлении того, что компьютерный вирус повредил информационную инфраструктуру банка, банки обязаны предоставить Центральному банку информацию о происхождении и типе вируса.

95. Служба должна ограничивать возможность сотрудников банка изменять настройки антивирусной программы на своих компьютерах. Банки должны определить действия сотрудников при обнаружении компьютерного вируса и довести их до сведения всех сотрудников.

использовать лицензионное антивирусное программное обеспечение и следить за тем, чтобы его лицензия была актуальной;

централизованное управление антивирусными программами;

ежедневно обновлять базы антивирусных программ;

убедиться, что версия антивирусной программы является актуальной (т. е. не устаревшей);

установка антивирусного программного обеспечения на все серверы, компьютеры, банкоматы, инфокиоски и другие вычислительные устройства, где может быть установлено антивирусное программное обеспечение.

97. Банкам следует внедрить систему управления обновлениями и исправлениями в информационных системах.

Для защиты от вредоносных программ и эксплойтов следует использовать технологию EDR (Endpoint Detection and Response), позволяющую отслеживать аномальную активность.

Для обеспечения безопасности на конечных точках необходимо запретить подключения к сетям Wi-Fi.

98. Мобильные устройства, предоставляемые банком для работы с конфиденциальной информацией, управляются централизованно и используют политику безопасности (удалённая блокировка устройства, удалённое удаление данных и т.д.).

99. Банк должен использовать системы FIM (File Integrity Monitoring), которые немедленно оповещают о несанкционированных изменениях его информационных активов и контролируют целостность конфигурационных файлов.

100. Для проверки подлинности электронных документов и защиты их от внешнего воздействия банки используют электронную цифровую подпись и ключи шифрования, созданные центром регистрации ключей электронной цифровой подписи банка.

101. Банки взаимно внедряют требования по использованию электронных цифровых подписей и ключей шифрования при взаимодействии с внешними системами, исходя из рисков банка.

102. Ключи электронной цифровой подписи пользователей информационных активов должны быть зафиксированы на специальных или мобильных устройствах и защищены от несанкционированного копирования любыми способами.

103. Все ответственные работники, осуществляющие ввод и утверждение электронных платежных документов, а также осуществляющие соответствующие операции с электронными платежами (главный бухгалтер, итоговый контроль), обязаны быть обеспечены электронной цифровой подписью и использовать ее в автоматизированных банковских системах.
При предоставлении банком услуг дистанционного обслуживания все сотрудники, осуществляющие ввод и согласование электронных платежных документов, а также осуществляющие соответствующие операции с электронными платежами, обязаны подтверждать электронные платежные документы электронной цифровой подписью.

104. Банки обеспечивают защиту платежных данных, передаваемых по сети, с помощью цифровых подписей и ключей шифрования.

105. Срок действия сертификата ключа электронной цифровой подписи не может превышать двадцать четыре месяца со дня регистрации электронной цифровой подписи. При этом срок действия сертификата ключа электронной цифровой подписи может быть продлен не более двух раз.

Открытые ключи электронной цифровой подписи пользователей подлежат регистрации и учету в автоматизированной банковской системе.

106. Сертификат ключа электронной цифровой подписи формируется в регистрационном центре. При этом в сертификат вносятся следующие сведения:

107. Процессы создания электронных цифровых подписей и ключей шифрования должны быть защищены.

108. Закрытый ключ электронной цифровой подписи должен использоваться только его владельцем.

Использование ключей электронной цифровой подписи в банковской системе контролируется Службой.

Запрещается хранить закрытый ключ электронной цифровой подписи в памяти рабочего компьютера или во внешней памяти, постоянно подключенной к рабочему компьютеру.

109. Запрещается принимать к обработке электронные платежи, не удостоверенные электронной цифровой подписью и не прошедшие шифрование.

110. В случае порчи, утери или иных аналогичных случаев ключей электронной цифровой подписи, выданных Центральным банком, банки обязаны обратиться в Центральный банк с указанием причин для обновления электронной цифровой подписи. Центральный банк на основании поданного заявления осуществляет обновление электронной цифровой подписи в течение одного дня.

111. Электронный архив организован как структурное подразделение архива банка.

112. Электронный архив должен иметь собственную информационную систему электронного архива и формировать ее информационные ресурсы.

113. Основными функциями электронного архива должны быть:

114. Электронный архив документов должен включать следующие информационные ресурсы:

115. Перечень информации, хранящейся в электронном архиве банка, должен формироваться и актуализироваться один раз в год.

Банки могут определять перечень данных, подлежащих хранению в электронном архиве, исходя из своей политики, существующих информационных систем и предъявляемых к банку требований.

116. Электронный архив должен быть оснащен соответствующими техническими средствами и программами для выполнения возложенных на него задач.

Информационные ресурсы электронного архива должны быть перенесены на внешнее хранилище и храниться в сейфе или стальном шкафу.

117. Данные основного технологического процесса и данные, хранящиеся в их памяти (дисках серверов), не являются информационным ресурсом электронного архива.

118. Банкам следует организовать не менее двух независимых мест хранения копий информационных ресурсов электронного архива.

Электронный архив должен ежедневно программно формировать (архивировать) информационные ресурсы и фиксировать процесс их записи на электронные носители информации в электронном журнале. В электронном журнале должны фиксироваться сведения о переданной на информационный ресурс информации (время, наименование, объем и т.д.), а также хэш-суммы (контрольные числа) этой информации для определения целостности электронного архива. Ответственный сотрудник электронного архива должен фиксировать выполнение этих работ в специальном журнале.

119. Сотрудник службы внутреннего аудита банка обязан не реже одного раза в месяц проверять работу электронного архива и заносить результаты проверки в специальную книгу учета работы архива. В случае выявления недостатков служба внутреннего аудита банка организует оформление документа и принятие мер по устранению выявленных недостатков.

120. Электронный архив осуществляет проверку целостности данных информационных ресурсов электронного архива один раз в шесть месяцев, результаты которой фиксируются в специальной книге. В случае выявления частичного или полного повреждения данных информационных ресурсов электронного архива осуществляется восстановление соответствующих данных с составлением акта.

121. Сроки хранения электронных документов (электронных ресурсов), представляемых в электронный архив, не должны быть менее сроков, установленных для документов на бумажных носителях.

После хранения банком электронных данных с постоянным сроком хранения в ведомственном архиве в течение пятнадцати лет их копия подлежит передаче в государственный архив в установленном порядке.

122. При прекращении деятельности филиалов банка информационный ресурс электронного архива передается в территориальные филиалы банка, а банков, не имеющих территориальных филиалов, – в головной банк в установленном порядке. При прекращении деятельности банка и переводе его в другой банк данные электронного архива передаются в электронный архив банка, которому они переданы в установленном порядке.

123. При прекращении деятельности банка информационные ресурсы электронного архива передаются в государственный архив.

124. Сотрудник(и) электронного архива несет(ют) персональную ответственность за полноту, корректность и достоверность информационных ресурсов.

125. Банки должны обеспечивать непрерывность информационных активов и принимать для этого организационные и технические меры.

Банки должны обеспечить непрерывность бизнеса в случае перерывов в работе информационных активов, технических сбоев, чрезвычайных ситуаций и крупных повреждений и заблаговременно принять соответствующие меры.

126. Банк должен разработать требования к обеспечению непрерывности информационных активов и бизнес-процессов, включая план работ, выполняемых во время перерывов (остановок) (для всех случаев). План должен охватывать деятельность участвующих в нем сотрудников, и эти сотрудники должны быть соответствующим образом обучены.

127. Банкам следует разработать порядок восстановления подсистем информационных активов, резервного копирования данных и соответствующих программ, проводить испытания на восстановление не реже двух раз в год и документировать все выполненные работы. План восстановления должен быть разработан с учетом всех имеющихся информационных систем, операционных систем и технических устройств.

128. Банк обязан создать соответствующие электронные данные для восстановления информационных систем в сжатые сроки. Необходимо обеспечить актуальность данных восстановления всех информационных систем банка, подключенных к платежной системе, по состоянию на конец предыдущего дня.

129. Перечень возобновляемых электронных данных, сроки их передачи (формирования) и т. д. определяются банком.

Банки должны обеспечить защиту электронных данных, которые можно восстановить.

130. Служба внутреннего аудита банка обязана не реже одного раза в месяц проверять состояние системы восстановления данных и фиксировать результаты проверки в специальном журнале. При выявлении недостатков должен быть составлен акт.

131. Банки должны иметь резервный план восстановления, программное обеспечение и оборудование для обеспечения бесперебойной работы системы в случае выхода из строя технических средств информационных активов.

132. Серверы и компьютеры в информационных активах должны иметь одобренное экспертами или лицензированное программное обеспечение.

133. Информационные активы банка, средства защиты информации, базы данных, веб-серверы, серверы платежной системы и другие серверы размещаются в основном и резервном центрах обработки данных банка.

Указанные центры могут быть созданы в помещениях банка, его филиала (филиалов), других банков, облачном центре обработки данных Центрального банка, государственных центрах обработки данных с учетом строгого соблюдения требований информационной безопасности и кибербезопасности, а также предотвращения утечки конфиденциальной информации, в том числе составляющей банковскую тайну.

В целях защиты информационных активов от чрезвычайных ситуаций (пожар, землетрясение, наводнение и т.п.) банкам следует создавать резервные центры обработки данных в городских центрах, расположенных на расстоянии не менее 50 км.

134. Резервные копии программ и данных, используемых в основных информационных системах, должны храниться в резервном центре банка. Периодичность восстановления (синхронизации) данных в резервном центре должна составлять не реже одного раза в сутки.

135. Центры обработки данных, создаваемые в банках, должны соответствовать следующим требованиям:

136. Банк должен реализовать систему гарантированного электроснабжения серверного помещения, включающую два ввода питания от разных электроподстанций и одну автоматически запускаемую дизельную электростанцию. Все три источника электроэнергии должны автоматически переподключаться к основному (резервному) фидеру электроснабжения.

137. Параметры линий электроснабжения, автоматической дизельной электростанции и ее автоматического ввода резерва должны определяться исходя из суммарной мощности, потребляемой оборудованием и системами серверного помещения, и должны обеспечивать не менее 10% резерва мощности.

138. Для бесперебойной работы банк должен быть оснащен дизельной электростанцией с запасом топлива не менее чем на одни сутки, а также дизельная электростанция должна автоматически включаться в случае отключения электроэнергии в банке.

139. Банки обязаны оборудовать серверное помещение источником бесперебойного питания (ИБП).

Мощность ИБП должна проектироваться с учётом всего питаемого оборудования и резерва на будущие потребности. При этом учитываются потребности в автономной работе от ИБП, а также время переключения на резервные линии и автоматическую дизельную электростанцию.

140. Доступ в серверную комнату осуществляется только по утвержденному списку.

141. В случаях необходимости доступа в серверную комнату лиц, не указанных в списке работников, имеющих право доступа, доступ оформляется мотивированным заявлением. Заявление рассматривается и подписывается руководителем отдела информационных технологий, а также согласовывается с руководителем Службы. Доступ в серверную комнату осуществляется под контролем администратора сервера.

142. Сотрудники должны входить в серверную комнату после проверки (биометрической или иной) через систему контроля.

143. При входе в серверное помещение работников организаций, обслуживающих информационные активы, в журнале регистрации должны быть зафиксированы дата и время входа и выхода, наименование выполняемой работы, фамилия, имя, должность, наименование организации и подпись данного работника.

144. Серверная комната должна соответствовать следующим требованиям к оборудованию:

145. Система видеонаблюдения, устанавливаемая в серверном помещении, должна соответствовать следующим требованиям:

146. Данные средств видеонаблюдения и систем контроля доступа в здание (коридоры, помещения) должны быть отделены от локальных сетей банковской платежной системы, защищены от внешних воздействий и должны иметь возможность автономной работы в течение 12 часов с момента отключения электропитания, не завися от энергоносителей, а архив видеоданных должен составлять не менее 2 месяцев.

147. Ведение и использование данных видеоархива осуществляет подразделение, ответственное за безопасность банка.

148. Помещение серверной должно быть оборудовано автоматической системой газового пожаротушения, независимой от системы пожаротушения здания.

Система газового пожаротушения должна размещаться непосредственно в специально оборудованном шкафу в серверной комнате банка или в специально отведенном для этой цели помещении.

Система газового пожаротушения должна активироваться от дымовых извещателей, сообщающих о пожаре, а также от извещателей ручного включения, устанавливаемых снаружи помещения на стене на высоте 1,5 м от уровня пола.

149. Установка газового пожаротушения должна иметь табло, расположенное внутри и снаружи помещения, информирующее работников о срабатывании автоматической установки газового пожаротушения, и звуковой оповещатель, установленный снаружи помещения.

150. Система газодымоудаления должна обеспечивать отвод газа и дыма из серверного помещения после срабатывания системы пожаротушения. Система реализуется посредством отдельного воздуховода от системы вентиляции здания на кровлю. Система должна обеспечивать отвод газовоздушной смеси в объёме, в три раза превышающем объём воздуха в серверном помещении.

151. Основные требования к подсистеме охлаждения и вентиляции следующие:

152. Банк осуществляет обмен информацией с информационной системой другого юридического лица (далее – внешняя информационная система) на основании договора.

перечень и формы информации, предоставляемой банком;

меры по ограничению доступа к информационной системе банка;

процессы аутентификации и идентификации при обмене информацией;

средства, программы и оборудование электронной цифровой подписи, шифрования и иной защиты информации;

предотвращение утечки сведений, составляющих банковскую тайну;

выполнение требований сетевой безопасности и иных требований по защите информации, установленных настоящим Положением;

назначение сотрудников, участвующих в обмене информацией, их должностные обязанности, обязательства и ответственность.

банк обязан уведомить Центральный банк до начала информационного обмена с внешней информационной системой и осуществлять информационный обмен с соблюдением требований Центрального банка по защите информации.

оценить уровень риска, прежде чем предоставлять доступ к данным третьим лицам;

подписание соглашений NDA (Соглашения о неразглашении) с третьими лицами, которым предоставлен доступ к конфиденциальной информации;

предоставлять третьим лицам доступ к данным и информационным активам только в том случае, если это необходимо для выполнения ими своих обязанностей;

создание отдельной учетной записи для каждого сотрудника третьих лиц и обязательная многофакторная аутентификация;

при прекращении сотрудничества с третьими лицами вернуть и уничтожить всю имеющуюся у них конфиденциальную информацию, а также аннулировать разрешения и учетные записи пользователей, предоставленные для доступа к информационным активам.

не разрешать сотрудникам банка удаленно подключаться к информационным активам с использованием их личных устройств;

использование виртуальных частных сетей и многофакторной аутентификации при удаленном подключении сотрудников к корпоративной сети;

обеспечение того, чтобы все перемещения пользователя при удаленной работе осуществлялись через систему PAM;

позволяя удаленным сотрудникам использовать только те информационные ресурсы, которые необходимы для выполнения их обязанностей.

Проводить регулярное сканирование информационных активов для выявления уязвимостей;

использование международных баз данных, таких как CVE (Common Vulnerabilities and Exposures), для классификации и описания уязвимостей;

использование систем оценки, таких как международная CVSS (Common Vulnerability Scoring System), для определения серьезности уязвимостей;

установка обновлений и исправлений, необходимых для устранения уязвимостей;

создание процессов постоянного мониторинга уязвимостей и предоставления отчетности руководству банка.

создание SCB (базовых уровней конфигурации безопасности) безопасных конфигураций для всех компонентов информационных активов, включая серверы, рабочие станции, сетевые устройства и приложения;

использование списков, таких как международный CCE (Common Configuration Enumeration) для унификации описания конфигурации;

внедрить формализованные процессы управления изменениями, чтобы гарантировать, что все изменения конфигурации проходят соответствующую проверку, утверждение и документирование;

регулярная проверка и оценка соответствия реализованных конфигураций установленным стандартам и политикам безопасности;

использование специальных программных средств и платформ для автоматизации процессов управления конфигурацией и обеспечения их соответствия установленным стандартам.

158. Модель жизненного цикла информационных систем и ресурсов банка должна состоять из следующих этапов:

159. При самостоятельной разработке информационной системы необходимо учитывать ее соответствие требованиям информационной безопасности и кибербезопасности на всех этапах модели жизненного цикла.

160. При приобретении готовой информационной системы модель жизненного цикла информационной системы включает в себя следующее:

161. Информационные системы должны проектироваться и разрабатываться с учетом рисков кибербезопасности.

162. Работа по обеспечению информационной безопасности и кибербезопасности на всех этапах жизненного цикла информационной системы осуществляется по согласованию и под контролем Службы.

163. Требования по обеспечению информационной безопасности и кибербезопасности должны быть включены в технические задания на разработку или модернизацию информационных систем и в технологические процессы банка.

Использование конфиденциальной информации, в том числе банковской тайны, на этапах создания и тестирования информационной системы и (или) ее компонентов запрещается.

Банку разрешено использовать только локальные (on-premise) версии платформ управления жизненным циклом ПО (Gitlab и др.). При этом программный код на платформе должен быть автоматически проанализирован (SAST/DAST).

Запрещается подключать к сети Интернет платформы управления жизненным циклом программного обеспечения банка.

Удаленный доступ к платформам управления жизненным циклом программного обеспечения Банка разрешен только через защищенную сеть VPN.

164. Перед запуском информационной системы необходимо проверить её на наличие уязвимостей. Информационная система может быть введена в эксплуатацию после устранения всех выявленных уязвимостей.

Банк должен иметь документы, содержащие описание мер безопасности, реализованных в используемой информационной системе и (или) ее компонентах.

165. В банке должны быть зафиксированы требования по обеспечению информационной безопасности и кибербезопасности на этапах разработки и поставки информационных систем разработчиками программного обеспечения.

Банки могут проанализировать меры защиты, реализованные в информационных системах разработчиками программного обеспечения, и при необходимости установить дополнительные требования.

Банки обязаны включать в договоры с организациями-разработчиками информационных систем или поставщиками готовых информационных систем условия технической поддержки на весь срок службы информационной системы. В случае отсутствия указанных условий в договоре банк обязан получить от поставщика комплект документов, позволяющих осуществлять поддержку информационной системы и её компонентов без его участия.

осуществлять контроль за функционированием (активностью, эффективностью) введенных мер защиты, включая проверку реализации организационных мер защиты, контроль за содержанием и установлением параметров применяемых технических мер защиты;

проверить отсутствие уязвимостей в оборудовании и программном обеспечении;

контроль изменений параметров конфигурации и применяемых мер технической защиты;

мониторинг необходимых обновлений программного обеспечения, включая меры технической защиты.

167. В процессе использования информационной системы должны быть определены, реализованы, зафиксированы и проконтролированы процедуры, необходимые для восстановления всех выполняемых функций по обеспечению информационной безопасности и кибербезопасности.
Должны быть установлены, реализованы и зафиксированы процедуры контроля содержания программного обеспечения, установленного и (или) используемого при использовании информационной системы.

При использовании информационной системы должны быть определены, реализованы и контролироваться процедуры, необходимые для обеспечения безопасности средств хранения конфиденциальной информации, в том числе банковской тайны.

При выводе из эксплуатации информационной системы информация, которая может нанести вред деятельности банка, удаляется из постоянной памяти информационных систем и внешних носителей с использованием алгоритмов и (или) методов, исключающих возможность восстановления информации с использованием технических мер защиты, за исключением архивов электронных документов и протоколов (журналов), хранение которых осуществляется в течение сроков, установленных законодательством и указанных в договорных документах.

соответствует стандартам SOC 2;

соответствует международным стандартам Tier III или Tier IV;

существовал документ SLA, определяющий уровень обслуживания;

гарантированное время безотказной работы и восстановления в случае сбоев;

приняты меры безопасности, такие как контроль доступа, видеонаблюдение, охрана и защита от стихийных бедствий;

имеет круглосуточную службу технической поддержки по различным каналам связи (телефон, электронная почта, чат);

администраторы центров обработки данных имеют систему контроля доступа, основанную на многофакторной аутентификации и принципе наименьших привилегий;

банки имеют возможность доступа к своим данным и удаления данных по запросу;

Регулярно проводятся аудиты информационной безопасности и кибербезопасности, результаты которых предоставляются банкам;

Своевременное обновление программного обеспечения и технологий для защиты от новых угроз;

Центральному банку предоставлена ​​возможность проводить проверки;

Журналы доступа и изменения можно хранить не менее 5 лет;

анализ уязвимостей и тестирование безопасности (пентестинг) проводятся не реже одного раза в год;

Регулярно проводятся испытания для обеспечения непрерывности бизнеса и проверки эффективности планов восстановления.

169. Центры обработки данных должны регулярно проводить обучение своих сотрудников по вопросам информационной безопасности и кибербезопасности.

170. Администраторы центров обработки данных должны вносить все изменения через систему PAM по согласованию с банком.
Центр обработки данных должен быть защищен современными аппаратными и программными сетевыми экранами нового поколения.

171. Центры обработки данных обязаны обеспечить подключение систем информационной безопасности и кибербезопасности центров обработки данных банков к системе мониторинга центра кибербезопасности CERT-CBU Центрального банка.

172. Банкам следует учитывать обязанность обеспечения информационной безопасности и кибербезопасности при размещении своих резервных центров обработки данных в центрах обработки данных.

173. Банки обязаны незамедлительно уведомлять Центральный банк о любых изменениях местонахождения своих центров обработки данных.

174. В целях определения уровня информационной безопасности и кибербезопасности банк может пользоваться услугами внешних организаций и проводить внутренний аудит.

175. Внешние услуги могут предоставляться в форме аудита или экспертизы. Банк обязан разработать внутренний документ о порядке предоставления информации, составляющей банковскую тайну, организациям, проводящим аудит или экспертизу. В этом случае предоставление такой информации осуществляется на основании соответствующего договора.

176. Служба Главного банка осуществляет постоянный контроль за исполнением требований настоящего Положения в банке и его филиалах.

177. Лица, виновные в нарушении требований настоящего Положения, привлекаются к ответственности в порядке, установленном законодательством.