Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Р. 7 п. 8 п.п. 7
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ОСО.7
ОСО.7 Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг.
ОСО.5
ОСО.5 Организация и выполнение деятельности по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и снижению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг, включая справочные материалы в части:
- корректного использования ПО (в том числе электронных средств платежа), используемого в целях осуществления финансовых (банковских)операций, включая операции по переводу денежных средств;
- правильного обращения с информацией конфиденциального характера;
- возможных сценариев реализации информационных угроз (в частности, компьютерных атак, реализуемых посредством применения вредоносного ПО, фишинга и методов социальной инженерии), направленных на клиентов финансовой организации, и способов их выявления.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.7.9
3.7.9
Defined Approach Requirements:
Additional requirement for service providers only: Where a service provider shares cryptographic keys with its customers for transmission or storage of account data, guidance on secure transmission, storage and updating of such keys is documented and distributed to the service provider’s customers.
Customized Approach Objective:
Customers are provided with appropriate key management guidance whenever they receive shared cryptographic keys.
Applicability Notes:
This requirement applies only when the entity being assessed is a service provider.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Additional requirement for service providers only: Where a service provider shares cryptographic keys with its customers for transmission or storage of account data, guidance on secure transmission, storage and updating of such keys is documented and distributed to the service provider’s customers.
Customized Approach Objective:
Customers are provided with appropriate key management guidance whenever they receive shared cryptographic keys.
Applicability Notes:
This requirement applies only when the entity being assessed is a service provider.
Defined Approach Testing Procedures:
- 3.7.9 Additional testing procedure for service provider assessments only: If the service provider shares cryptographic keys with its customers for transmission or storage of account data, examine the documentation that the service provider provides to its customers to verify it includes guidance on how to securely transmit, store, and update customers’ keys in accordance with all elements specified in Requirements 3.7.1 through 3.7.8 above.
Purpose:
Providing guidance to customers on how to securely transmit, store, and update cryptographic keys can help prevent keys from being mismanaged or disclosed to unauthorized entities.
Further Information:
Numerous industry standards for key management are cited above in the Guidance for Requirements 3.7.1-3.7.8.
Providing guidance to customers on how to securely transmit, store, and update cryptographic keys can help prevent keys from being mismanaged or disclosed to unauthorized entities.
Further Information:
Numerous industry standards for key management are cited above in the Guidance for Requirements 3.7.1-3.7.8.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.7.9
3.7.9
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если поставщик услуг делится криптографическими ключами со своими клиентами для передачи или хранения данных учетной записи, руководство по безопасной передаче, хранению и обновлению таких ключей документируется и распространяется среди клиентов поставщика услуг.
Цель Индивидуального подхода:
Клиентам предоставляются соответствующие рекомендации по управлению ключами всякий раз, когда они получают общие криптографические ключи.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если поставщик услуг делится криптографическими ключами со своими клиентами для передачи или хранения данных учетной записи, руководство по безопасной передаче, хранению и обновлению таких ключей документируется и распространяется среди клиентов поставщика услуг.
Цель Индивидуального подхода:
Клиентам предоставляются соответствующие рекомендации по управлению ключами всякий раз, когда они получают общие криптографические ключи.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Определенные Процедуры Тестирования Подхода:
- 3.7.9 Дополнительная процедура тестирования только для оценки поставщика услуг: Если поставщик услуг делится криптографическими ключами со своими клиентами для передачи или хранения данных учетной записи, изучите документацию, которую поставщик услуг предоставляет своим клиентам, чтобы убедиться, что она содержит руководство по безопасной передаче, хранению и обновлению ключей клиентов в соответствии с все элементы, указанные в требованиях 3.7.1-3.7.8 выше.
Цель:
Предоставление клиентам рекомендаций о том, как безопасно передавать, хранить и обновлять криптографические ключи, может помочь предотвратить неправильное управление ключами или их передачу неавторизованным лицам.
Дополнительная информация:
Многочисленные отраслевые стандарты управления ключами приведены выше в Руководстве по требованиям 3.7.1-3.7.8.
Предоставление клиентам рекомендаций о том, как безопасно передавать, хранить и обновлять криптографические ключи, может помочь предотвратить неправильное управление ключами или их передачу неавторизованным лицам.
Дополнительная информация:
Многочисленные отраслевые стандарты управления ключами приведены выше в Руководстве по требованиям 3.7.1-3.7.8.
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.10.4.
1.10.4. Технология обработки защищаемой информации, применяемая при удостоверении права клиентов некредитных финансовых организаций распоряжаться денежными средствами, ценными бумагами или иным имуществом, должна обеспечивать выполнение следующих мероприятий:
- получение электронных сообщений клиента, подписанных им способом, указанным в пункте 1.9 настоящего Положения;
- получение от клиента подтверждения совершаемой финансовой операции.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.