Информация Банка России "О мерах по минимизации риска, связанного с наличием уязвимости в программном обеспечении "OpenSSL"

Банк России информирует о выявлении в свободном программном обеспечении <1> "OpenSSL", предназначенном для криптографической защиты информации с использованием протокола Secure Sockets Layer (SSL), уязвимости, получившей название "Heartbleed". Уязвимость позволяет осуществить несанкционированный доступ к используемым ключам шифрования, а также к зашифрованным данным, передающимся при использовании сайтов в сети "Интернет", в том числе систем Интернет-банкинга.

--------------------------------

<1> Термин "свободное программное обеспечение" приводится в национальном стандарте Российской Федерации ГОСТ Р 54593-2011 "Информационные технологии. Свободное программное обеспечение. Общие положения" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 6 декабря 2011 г. N 718-ст).

Указанная информация может быть использована операторами по переводу денежных средств, операторами услуг платежной инфраструктуры при реализации требования, содержащегося в абзаце четвертом подпункта 2.8.1 пункта 2.8 Положения Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России N 382-П).

Эффективные меры по минимизации риска, связанного с наличием указанной уязвимости, включают:

обновление программного обеспечения "OpenSSL" до актуальной версии;

смену криптографических ключей в порядке, определенном в соответствии с пунктом 2.9.3 Положения Банка России N 382-П, в случае если программное обеспечение "OpenSSL" более ранних версий использовалось для криптографической защиты информации;

доведение до клиентов информации о рекомендуемых мерах по снижению возможных рисков в соответствии с пунктом 2.12.3 Положения Банка России N 382-П.