1. Правова система ipLex360
  2. Законодавство
  3. Постанова


ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
28.09.2017 № 95
Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України" , з метою удосконалення вимог до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз, установлення вимог щодо організації заходів із забезпечення інформаційної безпеки та кіберзахисту банків, Правління Національного банку України
ПОСТАНОВЛЯЄ:
1. Затвердити Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України (далі - Положення), що додається.
2. Департаменту безпеки (Скомаровський О.А.) протягом чотирьох місяців з дати офіційного опублікування цієї постанови розробити Методичні рекомендації для перевірки системи управління інформаційною безпекою та виконання заходів з безпеки інформації під час проведення інспекційних перевірок банків України.
3. Департаменту безпеки (Скомаровський О.А.) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови для використання в роботі.
4. Контроль за виконанням цієї постанови покласти на першого заступника Голови Національного банку України Смолія Я.В.
5. Постанова набирає чинності з 01 березня 2018 року, крім розділу V Положення, який набере чинності з 01 вересня 2019 року.
В.о. Голови Я.В. Смолій
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
28.09.2017 № 95
ПОЛОЖЕННЯ
про організацію заходів із забезпечення інформаційної безпеки в банківській системі України
I. Загальні положення
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про основи національної безпеки України", указів Президента України від 13 лютого 2017 року № 32/2017 "Про рішення Ради національної безпеки і оборони України від 29 грудня 2016 року "Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації" та від 15 березня 2016 року № 96/2016 "Про рішення Ради національної безпеки і оборони України від 27 січня 2016 року "Про Стратегію кібербезпеки України", національних стандартів України з питань інформаційної безпеки ДСТУ ISO/IEC 27000:2015 "Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Огляд і словник" (далі - ДСТУ ISO/IEC 27000:2015), ДСТУ ISO/IEC 27001:2015 "Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги" (далі - ДСТУ ISO/IEC 27001:2015), ДСТУ ISO/IEC 27002:2015 "Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки" (далі - ДСТУ ISO/IEC 27002:2015), які прийняті наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 року № 193, та з урахуванням міжнародних стандартів з питань інформаційної безпеки, загальноприйнятих у міжнародній практиці принципів забезпечення інформаційної безпеки і кіберзахисту з метою підвищення рівня інформаційної безпеки в банківській системі України.
2. Це Положення встановлює:
1) обов'язкові мінімальні вимоги щодо організації заходів із забезпечення інформаційної безпеки та кіберзахисту;
2) принципи управління інформаційною безпекою;
3) вимоги до інформаційних систем банку, що взаємодіють з інформаційними системами Національного банку України (далі - Національний банк), з урахуванням напрямів розвитку криптографічного захисту інформації в інформаційних системах Національного банку.
3. У цьому Положенні терміни та поняття вживаються в таких значеннях:
1) багатофакторна автентифікація - автентифікація, яка здійснюється за допомогою захищених механізмів двох або більше типів [наприклад, застосування для автентифікації пароля разом із апаратним засобом захисту інформації (токеном) або біометричної автентифікації разом із паролем];
2) зловмисний код - комп'ютерна програма/комплекс комп'ютерних програм або частина програмного коду інформаційної системи, що впроваджується за участю користувача або виконується автоматично, створює загрозу або умови для реалізації загрози порушення штатної роботи обладнання банку та/або порушення конфіденційності, цілісності, доступності інформації, яка обробляється в інформаційних системах банку;
3) критичні бізнес-процеси банку - бізнес-процеси діяльності банку, визначені банком критичними щодо інформаційної безпеки за результатом їх оцінювання банком за такими критеріями: конфіденційність, цілісність, доступність;
4) мережа банку - комплекс технічних засобів телекомунікацій, призначених для маршрутизації, комутації, передавання та/або приймання інформації дротовим та/або бездротовим зв'язком між кінцевим обладнанням (комп'ютерне обладнання, інші компоненти інформаційних систем банку) усередині периметра банку;
5) мінімальний рівень повноважень - повноваження та права доступу, мінімально необхідні для якісного виконання персоналом банку службових обов'язків;
6) пристрої уніфікованого управління загрозами (Unified threat management, UTM) - пристрої, які можуть виконувати кілька функцій безпеки з одного пристрою: міжмережевий екран, запобігання несанкціонованого доступу до мережі, антивірусний шлюз, антиспамовий шлюз, віртуальна приватна мережа (Virtual private network, VPN), фільтрація вмісту, балансування навантаження, запобігання витоку даних;
7) ризик-орієнтований підхід до забезпечення інформаційної безпеки - прийняття управлінських рішень на підставі аналізу порівняння поточних ризиків інформаційної безпеки з прийнятними.
Інші терміни, що вживаються в цьому Положенні, використовуються в значеннях, визначених законами України, нормативно-правовими актами Національного банку та ДСТУ ISO/IEC 27000:2015.
4. Це Положення не встановлює вимог щодо:
1) фізичної безпеки приміщень банків, технічного захисту інформації для приміщень банків, використання криптографічних засобів захисту інформації Національного банку в інформаційних системах Національного банку, вимоги до яких визначені відповідними нормативно-правовими актами Національного банку;
2) використання хмарних технологій/сервісів (Cloud technologies) у сфері автоматизації, технічної й технологічної підтримки діяльності банків, вимоги до яких визначаються окремим документом.
5. Вимоги цього Положення поширюються на банки. Вимоги розділу ІІІ цього Положення також поширюються на небанківські установи - учасників інформаційних систем Національного банку.
6. Принципи забезпечення інформаційної безпеки:
1) підхід до забезпечення інформаційної безпеки має бути системним (комплексним);
2) процес удосконалення та розвитку інформаційної безпеки має бути безперервним і здійснюватися шляхом обґрунтування та реалізації раціональних засобів, методів, заходів із застосуванням найкращого міжнародного досвіду;
3) заходи захисту від реальних та потенційних загроз інформаційній безпеці банку мають бути своєчасні й адекватні;
4) забезпечення належного рівня інформаційної безпеки банку неможливе без підтримки та контролю з боку керівників банку;
5) сталий розвиток систем інформаційної безпеки можливий лише в разі забезпечення достатності ресурсів, у тому числі фінансових.
7. Принципи криптографічного захисту інформаційних систем Національного банку:
1) криптографічний захист інформації в інформаційних системах Національного банку на ділянці зв'язку між учасником інформаційних систем Національного банку та Національним банком забезпечується застосуванням багаторівневого (ешелонованого) підходу, за яким окремо за допомогою незалежних систем криптографічного захисту інформації захищається сеансовий рівень базової еталонної моделі взаємодії відкритих систем (Open systems interconnection basic reference model, OSI/ISO) та прикладний рівень моделі взаємодії відкритих систем інформаційних систем Національного банку;
2) для захисту сеансового рівня моделі взаємодії відкритих систем інформаційних систем Національного банку використовується криптографічний протокол захисту на транспортному рівні (Transport layer security, TLS), забезпечуються контроль цілісності та конфіденційність інформації. Для прикладного рівня моделі взаємодії відкритих систем інформаційних систем Національного банку використовуються такі механізми захисту: ідентифікація/автентифікація підписувача, контроль цілісності та конфіденційність на всіх етапах оброблення інформації;
3) залежно від категорії інформації щодо критерію конфіденційності, для забезпечення ідентифікації та автентифікації, використовується односпрямований (криптографічний ключ лише на стороні сервера, сувора криптографічна автентифікація сервера) або двоспрямований достовірний канал захисту на транспортному рівні (криптографічний ключ на стороні клієнта і на стороні сервера, сувора криптографічна автентифікація обох сторін з'єднання);
4) інформаційні системи Національного банку підтримують роботу криптографічного протоколу захисту на транспортному рівні останньої версії, але не нижче версії 1.2;
5) інформаційні системи Національного банку використовують криптографічні набори захисту на транспортному рівні лише з шифруванням та застосовують симетричні криптографічні алгоритми з довжиною ключа не менше ніж 128 біт;
6) Департамент безпеки Національного банку надає криптобібліотеки для криптографічних засобів захисту інформації, рекомендації щодо їх використання та програмне забезпечення генерації ключів.
8. Банк зобов'язаний упровадити систему управління інформаційною безпекою (далі - СУІБ) згідно з ДСТУ ISO/IEC 27001:2015 для визначеної сфери застосування з урахуванням обов'язкових вимог щодо впровадження СУІБ, викладених у розділі II цього Положення.
9. Передумовами впровадження СУІБ у банку є:
1) упровадження процесного підходу до діяльності банку;
2) упровадження ризик-орієнтованого підходу до забезпечення інформаційної безпеки банку.
10. Банк зобов'язаний запровадити процес управління ризиками інформаційної безпеки в рамках системи управління ризиками банку. Банк має право самостійно визначати підходи (методики) оцінювання та оброблення ризиків інформаційної безпеки.
11. Банк зобов'язаний запровадити, використовуючи ризик-орієнтований підхід, заходи безпеки, визначені додатком А до ДСТУ ISO/IEC 27001:2015, згідно з ДСТУ ISO/IEC 27002:2015 та з урахуванням обов'язкових вимог щодо організації заходів безпеки інформації, викладених у розділах IV і V цього Положення.
12. Банк зобов'язаний визначити мінімальною сферою застосування СУІБ усі критичні бізнес-процеси банку. Банк має право розширити сферу застосування СУІБ банку відповідно до особливостей його діяльності, характеру та обсягу банківських, фінансових послуг та інших видів діяльності.
13. Національний банк має право здійснювати перевірку стану впровадження СУІБ банку та повноту виконання заходів безпеки інформації, що встановлені цим Положенням.
II. Вимоги щодо впровадження СУІБ
14. Банк зобов'язаний сформувати колективний керівний орган з питань впровадження та функціонування СУІБ (далі - керівний орган СУІБ) або наділити цими повноваженнями існуючий колективний керівний орган банку та розробити положення про керівний орган СУІБ банку з чітким визначенням його завдань, функцій та відповідальності.
15. Банк зобов'язаний включити до складу керівного органу СУІБ голову правління банку та/або його заступника, що відповідає за інформаційну безпеку банку, керівників підрозділів банку - власників критичних бізнес-процесів банку та керівника підрозділу банку з управління ризиками. Банк має право ввести до складу керівного органу СУІБ інших працівників банку відповідно до потреб, що обумовлені особливостями діяльності банку.
16. Банк зобов'язаний покласти на керівний орган СУІБ обов'язок виконання таких завдань:
1) погодження та перегляд політики інформаційної безпеки, положення щодо застосовності та стратегії розвитку інформаційної безпеки банку;
2) узгодження впровадження нових проектів, напрямів, стратегічних завдань з питань інформаційної безпеки банку та заходів інформаційної безпеки;
3) розгляд, затвердження та контроль за виконанням проектів щодо розроблення, упровадження, функціонування, моніторингу, перегляду, підтримання та вдосконалення СУІБ банку;
4) визначення необхідних оптимальних ресурсів для впровадження заходів інформаційної безпеки;
5) організація практичних заходів щодо підвищення обізнаності/навчання персоналу банку з питань інформаційної безпеки;
6) забезпечення своєчасного моніторингу стану впровадження та ефективності функціонування СУІБ банку з подальшою оцінкою можливостей вдосконалення та потреби проведення коригувальних дій.
17. Банк зобов'язаний розробити та впровадити політику інформаційної безпеки, яка має містити:
1) цілі інформаційної безпеки;
2) сферу застосування політики інформаційної безпеки;
3) принципи, правила та вимоги інформаційної безпеки в банку;
4) визначення функцій (ролей) і відповідальності за забезпечення інформаційної безпеки.
18. Банк зобов'язаний забезпечити підтримку політики інформаційної безпеки в актуальному стані та її перегляд не рідше ніж один раз на рік. Якщо за результатами перегляду зміни до політики інформаційної безпеки не вносяться, то повторне її затвердження не потрібно.
19. Банк зобов'язаний затвердити політику інформаційної безпеки і довести її зміст до відома всього персоналу банку та, за необхідності, представникам третіх сторін.
20. Банк зобов'язаний розробити та затвердити стратегію розвитку інформаційної безпеки. Банк має право затвердити стратегію розвитку інформаційної безпеки банку в документі, яким затверджено загальну стратегію розвитку банку, у вигляді окремого розділу. Зміст стратегії має узгоджуватися з політикою інформаційної безпеки банку, основними стратегічними цілями банку, що пов'язані із впровадженням нових бізнес-процесів/банківських продуктів з використанням технологій, які потребують захисту інформації, а також враховувати планування розвитку інфраструктури банку та заходів інформаційної безпеки для мінімізації ризиків інформаційної безпеки.
21. Банк зобов'язаний розробити та затвердити план забезпечення безперервності діяльності банку, у якому враховано безперервність функціонування заходів інформаційної безпеки в рамках процесу управління безперервністю діяльності банку.
22. Банк має право розробляти документи СУІБ у формі окремих документів або об'єднаних за типом (тематикою) в загальні документи, із зазначенням у них розділів, що відповідають визначеним напрямам (питанням) інформаційної безпеки.
III. Криптографічний захист інформації в інформаційних системах Національного банку
23. Учасники інформаційних систем Національного банку зобов'язані налаштувати системи криптографічного захисту інформації в інформаційних системах Національного банку згідно з вимогами, які визначені у відповідній експлуатаційній документації кожної інформаційної системи Національного банку.
24. Банк зобов'язаний забезпечити захист інформаційних систем банку від несанкціонованого доступу та дій, направлених на відмову в обслуговуванні відповідно до вимог розділу IV цього Положення.
IV. Заходи безпеки інформації
25. Банк зобов'язаний призначити відповідальну особу за інформаційну безпеку банку (Chief information security officer, CISO), яка має повноваження, достатні для прийняття управлінських рішень (посада не нижче заступника голови правління банку), та забезпечує:
1) стратегічне керівництво з питань інформаційної безпеки банку;
2) визначення напрямів розвитку інформаційної безпеки банку, їх відповідність стратегії розвитку банку;
3) відповідність заходів безпеки інформації потребам бізнес-процесів/банківських продуктів;
4) контроль за впровадженням заходів безпеки інформації в банку.
26. Банк зобов'язаний сформувати підрозділ з інформаційної безпеки не менше як із двох працівників зі складу штатних працівників банку. Підрозділ з інформаційної безпеки банку має безпосередньо підпорядковуватися відповідальній особі за інформаційну безпеку банку.
27. Підрозділ з інформаційної безпеки банку має здійснювати:
1) розроблення вимог щодо налаштувань безпеки інформаційних систем банку;
2) розроблення або участь у розробленні документів банку щодо інформаційної безпеки;
3) контроль за виконанням заходів щодо забезпечення безпеки інформації на всіх стадіях життєвого циклу інформаційних систем банку;
4) розслідування інцидентів безпеки інформації;
5) спільно з підрозділами інформаційних технологій (інформатизації, автоматизації) банку відновлення функціонування інформаційних систем банку після збоїв у роботі внаслідок інцидентів безпеки інформації.
28. Працівникам підрозділу інформаційної безпеки/відповідальній особі за інформаційну безпеку банку забороняється мати повноваження з розроблення, упровадження, супроводження (адміністрування) та експлуатації інформаційних систем банку, крім тих, що використовуються для забезпечення безпеки інформації.
29. Підрозділу інформаційних технологій (інформатизації, автоматизації) банку забороняється бути власником інформаційних систем банку, які безпосередньо забезпечують автоматизацію банківської діяльності.
30. Банк зобов'язаний ознайомити працівників під час прийому на роботу з політикою інформаційної безпеки банку. Працівник банку зобов'язаний ознайомитися з політикою інформаційної безпеки банку під підпис та надати зобов'язання про дотримання конфіденційності.
31. Банк зобов'язаний включити до трудового контракту/договору працівника та/або посадової інструкції працівника обов'язки працівника банку щодо виконання вимог із забезпечення безпеки інформації.
32. Банк зобов'язаний ознайомити працівників банку з внутрішніми документами банку, які встановлюють вимоги щодо безпеки інформації. Документи розробляються банком з урахуванням вимог цього Положення. Перелік документів для ознайомлення визначається банком самостійно, з урахуванням принципу мінімального рівня повноважень. Працівник банку зобов'язаний ознайомитися з такими документами під підпис.
33. Банк зобов'язаний упровадити програму підвищення обізнаності/навчання працівників банку з питань безпеки інформації з урахуванням досвіду, отриманого за результатами вирішення інцидентів безпеки інформації.
34. Банк зобов'язаний розробити та затвердити внутрішні документи, які встановлюють вимоги щодо безпеки інформації під час використання змінних носіїв інформації і мають містити положення щодо:
1) контролю за використанням змінних носіїв інформації, уключаючи процедури їх обліку та виведення з експлуатації;
2) категорії інформації, яка може оброблятися на змінних носіях інформації;
3) ідентифікації змінних носіїв інформації, які використовуються в банку;
4) обмежень використання змінних носіїв інформації (у тому числі поза межами банку);
5) знищення інформації на змінних носіях інформації перед їх передаванням у користування іншому працівникові банку, третім сторонам або виведенням з експлуатації;
6) обов'язковості перевірки змінних носіїв інформації на наявність зловмисного коду перед використанням у банку.
35. Банк зобов'язаний здійснити ідентифікацію змінних носіїв інформації за допомогою унікального ідентифікатора, який дозволить визначити тип носія та користувача змінного носія.
36. Банк зобов'язаний розробити та затвердити внутрішні документи, які встановлюють вимоги щодо використання, надання, скасування та контролю доступу до інформаційних систем банку і мають містити:
1) вимоги до ідентифікації, автентифікації, авторизації користувачів;
2) послідовність дій під час управління доступом, у тому числі в разі віддаленого доступу (реєстрація, надання повноважень, перегляд та скасування доступу);
3) перелік типових функцій та прав доступу до інформаційних систем банку;
4) вимоги щодо здійснення заходів контролю доступу, уключаючи контроль за діями привілейованих користувачів;
5) періодичність контролю наданих прав доступу;
6) вимоги до протоколювання дій під час управління доступом.
37. Банк зобов'язаний забезпечити дотримання принципу надання мінімального рівня повноважень під час надання доступу до інформаційних систем банку (уключаючи доступ привілейованих користувачів).
38. В інформаційних системах банку, які безпосередньо забезпечують автоматизацію банківської діяльності, забороняється суміщення в межах однієї функції (ролі) таких повноважень: розроблення та супроводження (адміністрування), розроблення та експлуатація, супроводження (адміністрування) та експлуатація, виконання операцій в таких системах та подальшого контролю за їх виконанням.
39. Банк зобов'язаний запровадити такі заходи контролю доступу до інформаційних систем банку:
1) перевірку наявності у користувача дозволу керівництва та власника інформаційної системи на такий доступ;
2) заборону одноосібного ініціювання заявки, підтвердження та надання доступу;
3) перевірку відповідності рівня наданого доступу принципу мінімально необхідного рівня повноважень;
4) періодичну перевірку відповідності наданих прав доступу користувачеві тим, що діють на момент перевірки.
40. Банк зобов'язаний використовувати механізми багатофакторної автентифікації під час надання доступу для виконання функцій адміністрування або супроводження САБ.
41. Банк зобов'язаний забезпечити блокування облікових записів користувачів в інформаційних системах банку в таких випадках:
1) п'яти невдалих спроб автентифікації поспіль (автоматичне блокування);
2) відсутності реєстрації користувача в інформаційних системах банку протягом 90 календарних днів;
3) звільнення користувача.
42. Банк зобов'язаний здійснювати протоколювання всіх дій щодо надання, скасування чи зміни доступу до інформаційних систем банку, які безпосередньо забезпечують автоматизацію банківської діяльності, у захищених від несанкціонованої модифікації електронних журналах із забезпеченням їх збереження не менше ніж протягом трьох років.
43. Банк зобов'язаний забезпечити протоколювання, збереження та захист від модифікації інформації про події доступу до інформаційних систем банку, які безпосередньо забезпечують автоматизацію банківської діяльності, та зберігання її не менше ніж протягом одного року.
44. Банк зобов'язаний розробити та впровадити політику використання криптографічних засобів для захисту інформації, яка має містити:
1) цілі безпеки, для яких використовуються криптографічні заходи безпеки (конфіденційність, цілісність, доступність);
2) положення щодо необхідності та застосування необхідного рівня захисту інформації за допомогою криптографічних засобів залежно від її класифікації за критерієм конфіденційності.
45. Банк зобов'язаний розробити та затвердити документи, що описують процес управління ключами, які мають містити положення щодо:
1) процедури генерації ключів для різних криптографічних систем;
2) розподілу ключів серед відповідальних осіб;
3) зберігання ключів;
4) заміни або оновлення ключів;
5) поводження із скомпрометованими ключами;
6) відкликання ключів;
7) відновлення ключів, які зруйновано;
8) процедури резервного копіювання або архівування ключів;
9) знищення ключів;
10) реєстрації та аудиту діяльності, пов'язаної з управлінням ключами.
46. Банк у разі застосування криптографічного захисту зобов'язаний використовувати криптографічні алгоритми з такого переліку:
1) асиметричні алгоритми:
алгоритм Діффі - Геллмана (далі - алгоритм DH) для узгодження сеансових ключів шифрування;
алгоритм цифрового підпису (далі - алгоритм DSA) для цифрових підписів;
алгоритм Діффі - Геллмана на еліптичних кривих (далі - алгоритм ECDH) для узгодження сеансових ключів шифрування;
алгоритм цифрового підпису на еліптичних кривих (далі - алгоритм ECDSA) для цифрових підписів;
алгоритм Ривест - Шаміра - Адлемана (далі - алгоритм RSA) для цифрових підписів і узгодження сеансових ключів шифрування або аналогічних ключів;
алгоритм цифрового підпису [ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння", затверджений наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002)] для цифрових підписів;
2) алгоритми безпеки гешування SHA-224, SHA-256, SHA-384, SHA-512, "Купина" (ДСТУ 7564:2014 "Інформаційні технології. Криптографічний захист інформації. Функція гешування", прийнятий наказом Міністерства економічного розвитку і торгівлі України від 02 грудня 2014 року № 1431) або більш криптостійкі;
3) алгоритми симетричного шифрування:
алгоритм "Advanced encryption standard" (AES) із використанням довжини ключа 128, 192 і 256 біт або більше;
алгоритм криптографічного перетворення (ДСТУ ГОСТ 28147:2009 "Cистема оброблення інформації. Захист криптографічний. Алгоритм криптографічного перетворення", прийнятий наказом Державного комітету України з питань технічного регулювання та споживчої політики від 22 грудня 2008 року № 495);
алгоритм "Калина" (ДСТУ 7624:2014 "Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення", прийнятий наказом Міністерства економічного розвитку і торгівлі України від 29 грудня 2014 року № 1484).
47. Банк, який застосовує алгоритм DH для узгодження сеансових ключів шифрування, зобов'язаний використовувати розмір модуля не менше ніж 2048 біт.
48. Банк, який застосовує алгоритм DSA для цифрових підписів, зобов'язаний використовувати розмір модуля не менше ніж 2048 біт.
49. Банк, який застосовує алгоритм на еліптичних кривих, зобов'язаний використовувати еліптичні криві з ДСТУ 4145-2002 або з Федерального стандарту оброблення інформації (США) (Federal information processing standards, FIPS186-4).
50. Банк, який застосовує алгоритм ECDH для узгодження сеансових ключів шифрування, зобов'язаний використовувати розмір поля/ключа не менший, ніж 160 біт.
51. Банк, який застосовує алгоритми ECDSA, ДСТУ 4145-2002 для цифрових підписів, зобов'язаний використовувати розмір поля/ключа не менший, ніж 160 біт.
52. Банк, який застосовує алгоритм RSA для цифрових підписів і ключів шифрування сеансу або аналогічних ключів, зобов'язаний використовувати розмір модуля не менше ніж 2048 біт.
53. Банк, який застосовує алгоритм RSA для цифрових підписів і ключів шифрування сеансу або аналогічних ключів, зобов'язаний використовувати різні ключові пари для передавання ключів шифрування сеансу (або аналогічних ключів) та для цифрових підписів.
54. Банк зобов'язаний використовувати останню версію протоколу захисту на транспортному рівні та реалізацію цього протоколу, що підтримує безпечне повторне погодження з'єднання для захисту з'єднань, які управляються протоколом Transmission control protocol (TCP). Якщо безпечне повторне погодження з'єднання не підтримується, то ця процедура має бути відключена.

................
Перейти до повного тексту