Банк России ужесточил требования ИБ для платежных систем
Банк России выпустил обновленные требования по информационной безопасности для операторов значимых карточных платежных систем, впервые пересмотрев документ с 2020 года. Ключевые изменения касаются HSM-модулей, двухфакторной аутентификации для устройств и новых правил безопасности на всех этапах жизненного цикла средств защиты.
Банк России обновил требования по информационной безопасности для операторов значимых карточных платежных систем. Документ впервые обновляется с 2020 года и подразумевает актуализацию требований к аппаратным модулям безопасности информационной инфраструктуры платежных систем (HSM-модулям). Это следует из сообщения пресс-службы ЦБ.
Помимо требований к HSM-модулям, появились новые требования к платежным устройствам с терминальным ядром, банкоматам и платежным картам. В сообщении отмечается, что новые требования «учитывают новые меры регулятора по защите информации при переводах, а также направлены на повышение эффективности процесса импортозамещения».
В старых требованиях утверждалось, что криптографические решения должны были соответствовать стандарту ПКЗ-2005. В новом документе сказано, что требования распространяются только на отечественные криптосредства и механизмы. Акцент документа в целом сместился в сторону продуктов, разработанных российскими разработчиками.
Также расширен перечень защищаемых данных: теперь в нем не только PIN и PAN, но и «иные криптографические ключи, критичные данные аутентификации, пароли/коды аутентификации». Модель предполагаемого нарушителя дополнили угрозами, связанными с удаленными административными функциями.
В 2020 году для терминалов требовалось два пароля, теперь же двухфакторная аутентификация затрагивает гораздо более широкий класс объектов. В него входят все устройства, за исключением карт. Также сказано, что процесс генерации ключей «должно быть невозможно скомпрометировать без сговора как минимум двух доверенных лиц».
Вероятно, самое большое новшество — это введение целого раздела, обязывающего производителя обеспечивать безопасность на всех этапах поставки средств защиты информации (СЗИ). Это касается как разработки, производства и хранения, так и транспортировки, ремонта и утилизации. Устройства должны поставляться заказчику в упаковке, гарантирующей обнаружение вскрытия.
SecPost писал, что ранее в Сбербанке дали предварительную оценку объему средств, который был похищен у жертв телефонного мошенничества в 2025 году. Сумма составила 285 млрд руб, и, как заявил заместитель председатель правления банка — «это хорошая новость».
Читайте также
