Анонсы
Программа повышения квалификации "О контрактной системе в сфере закупок" (44-ФЗ)"

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Информация Банка России от 18 апреля 2014 г. “О мерах по минимизации риска, связанного с наличием уязвимости в программном обеспечении «OpenSSL»

Обзор документа

Информация Банка России от 18 апреля 2014 г. “О мерах по минимизации риска, связанного с наличием уязвимости в программном обеспечении «OpenSSL»

Банк России информирует о выявлении в свободном программном обеспечении* «OpenSSL», предназначенном для криптографической защиты информации с использованием протокола Secure Sockets Layer (SSL), уязвимости, получившей название «Heartbleed». Уязвимость позволяет осуществить несанкционированный доступ к используемым ключам шифрования, а также к зашифрованным данным, передающимся при использовании сайтов в сети «Интернет», в том числе систем Интернет-банкинга.

Указанная информация может быть использована операторами по переводу денежных средств, операторами услуг платежной инфраструктуры при реализации требования, содержащегося в абзаце четвертом подпункта 2.8.1 пункта 2.8 Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее - Положение Банка России № 382-П).

Эффективные меры по минимизации риска, связанного с наличием указанной уязвимости, включают:

обновление программного обеспечения «OpenSSL» до актуальной версии;

смену криптографических ключей в порядке, определенном в соответствии с пунктом 2.9.3 Положения Банка России № 382-П, в случае если программное обеспечение «OpenSSL» более ранних версий использовалось для криптографической защиты информации;

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов “пунктом 2.9.3” следует читать “подпунктом 2.9.3 пункта 2.9”

доведение до клиентов информации о рекомендуемых мерах по снижению возможных рисков в соответствии с пунктом 2.12.3 Положения Банка России № 382-П.

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов “пунктом 2.12.3” следует читать “подпунктом 2.12.3 пункта 2.12”

_____________________________

* Термин «свободное программное обеспечение» приводится в национальном стандарте Российской Федерации ГОСТ Р 54593-2011 «Информационные технологии. Свободное программное обеспечение. Общие положения» (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 6 декабря 2011 г. № 718-ст).

Обзор документа

Приведена информация по вопросу использования свободного программного обеспечения "OpenSSL", предназначенного для криптографической защиты информации с использованием протокола Secure Sockets Layer (SSL).

В указанном ПО выявлена уязвимость, получившая название "Heartbleed". Она делает возможным несанкционированный доступ к используемым ключам шифрования, а также к зашифрованным данным, передающимся при использовании сайтов в сети Интернет (в т. ч. систем Интернет-банкинга).

Данная информация может быть использована операторами по переводу денежных средств и операторами услуг платежной инфраструктуры.

Меры по минимизации риска, связанного с наличием уязвимости, включают в себя обновление ПО "OpenSSL"до актуальной версии, а также смену криптографических ключей (если ПО более ранних версий использовалось для криптографической защиты информации).

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:
Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
Получить доступ
РЕКЛАМА erid 4CQwVszH9pWwojUA9Q3