Киберзащита растет в цене

ЦБ вводит для банков новые правила безопасности

Минюст зарегистрировал документ, вводящий новые требования по кибербезопасности для банков. В рамках него появится ряд обязательных процедур, например аудит информационной безопасности, пентесты (тест на возможность проникновения), требование к сертификации использованного программного оборудования. Выполнение этих требований дорого обойдется не только банкам, но и их клиентам. Но самый главный вопрос — по срокам введения оперативного информирования ЦБ об инцидентах в режиме 24/7 — так и остался открытым.

Фото: Евгений Павленко, Коммерсантъ

Давно ожидаемые рынком поправки в положение ЦБ 382-П, в котором определены требования к защите информации при переводах денежных средств, обрели финальный вид и зарегистрированы Минюстом. Территориальные подразделения ЦБ 26 июня направили этот документ банкам, “Ъ” удалось с ним ознакомиться.

Документ вводит целый ряд новых обязательных требований к защите информации. Среди них, например, применение в банках программного обеспечения, сертифицированного ФСТЭК. По словам консультанта по безопасности Cisco Алексея Лукацкого, часто разработчики программ для банков пренебрегают сертификацией, в итоге в программах выявляются уязвимости, которые используют хакеры: «ЦБ неоднократно указывал разработчикам на эту проблему, но рычагов влияния на них у регулятора нет, и потому было принято решение побудить банки отказаться от несертифицированного ПО».

Аналог сертификации — проведение анализа уязвимостей в соответствии с ГОСТом, что так же непросто, и его могут позволить себе лишь банки с сильными специалистами по ИБ, указывают эксперты. По мнению господина Лукацкого, в результате большинство игроков будут переходить на готовые решения. В 2017 году 68% из обследованных компанией банков использовали самописные программы, говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Кроме того, у банков появится обязанность проводить ежегодные пентесты, а дважды в год — внешний аудит кибербезопасности. Сейчас банки могут ограничиваться собственной оценкой, все остальное исключительно добровольно.

И для банков, и для их клиентов важной новацией будет требование по внедрению «раздельных информационно-коммуникационных технологий» при проведении платежей через интернет или с использованием систем «банк—клиент». «Сейчас в компаниях та же платежка создается на компьютере бухгалтера и с него же отправляется в банк,— поясняет Алексей Лукацкий.— По новому требованию предлагается, что один компьютер готовит платежку, другой отправляет». То есть должна быть реализована соответствующая технология, опять же внесение изменений в АБС, и в те «банк-клиенты», что стоят у клиентов.

Это положение вступает в силу с отсрочкой, с 1 января 2020 года, и потому у банков и клиентов будет возможность подготовиться. В тех случаях, когда выполнить указанное требования невозможно, банк должен будет установить клиенту ограничения — на максимальную сумму перевода, список возможных получателей средств, временной период, когда могут проходить платежи, а также перечень устройств, с которых могут отравляться платежи. Тем самым клиент будет защищен от несанкционированных списаний. Ограничения банк сможет установить и по просьбе самого клиента.

Главная проблема, которую видят в выполнении новых требований банки,— рост расходов. Кроме того, по словам главы управления информационной безопасности ОТП-банка Сергея Чернокозинского, придется «скорректировать бизнес-процессы и отчетность». Однако в ЦБ уверены, что расходы не будут чрезмерными. «Экономические последствия введения новых требований обсуждались с профессиональным сообществом, было достигнуто взаимопонимание,— заверили в пресс-службе регулятора.— Расходы будут пропорциональны бизнес-моделям конкретных банков».

Однако один из наиболее важных для участников рынка вопросов реформы системы информационной безопасности в банковском секторе так и остался без ответа: не определены сроки реагирования на инциденты. Обсуждая грядущие поправки, регулятор не раз говорил о необходимости чрезвычайно оперативного реагирования на инциденты, работе в режиме 24/7, однако вопрос остался за рамками документа. По словам собеседника “Ъ”, знакомого с позицией ЦБ, регулятор готовит отдельный документ, который появится в ближайшее время.

Вероника Горячева

Оружие массового заражения

Хакерские атаки распространяются по банковской системе со скоростью спама

Читать далее

Картина дня

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...