ЦБ вводит новые символ веры для банков безопасности
28.06.2018
Минюст зарегистрировал документ, который вводит новые требования по кибербезопасности для банков. В рамках него появится ряд обязательных процедур, как например аудит информационной безопасности, пентесты (тест на проникновение), требования к сертификации используемого программного оборудования. Исполнение этих требований дорого обойдется не только банкам, но и их клиентам. Но самый главный вопрос — по срокам введения оперативного информирования ЦБ об инцидентах в режиме 24/7 — так и осталось открытым.
Банки и операторы переводов будут сигнализировать ЦБ о кибератаках
Аналог сертификации — проведение анализа уязвимостей в соответствии с ГОСТом, что так же непросто, и его могут сделать возможным себе лишь банки с сильными специалистами по ИБ, указывают эксперты. По мнению г-на Лукацкого, в результате квалифицированная игроков будут переходить на готовые решения. В 2017 году 68% из обследованных компанией банков использовали самописные программы, говорит капитан производства по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Кроме того, у банков появится нужда проводить ежегодные пентесты, а дважды в год — внешний аудит кибербезопасности. Сейчас банки могут урезываться собственной оценке, все остальное исключительно добровольно.
И для банков, и для их клиентов важной новацией будет запрос по внедрению «раздельных информационно-коммуникационных технологий» при проведении платежей через интернет или с использованием систем «банчик—клиент». «Сейчас в компаниях та же платежка создается на компьютере бухгалтера и с него же отправляется в банчик,— поясняет Алексей Лукацкий.— По новому требованию предлагается, что один компьютер готовит платежку, второстепенный посылает». То есть должна быть реализована соответствующая технология, опять же внесение изменений в АБС, и в те «банк-клиенты», что стоят у клиентов.
Это аут вступает в силу с отсрочкой, с 1 января 2020 года, и поэтому у банков и клиентов будет право подготовиться. В тех случаях, когда выполнить указанное требования невозможно, банк должен будет определить клиенту ограничение на максимальную сумму перевода, список возможных получателей денежных средств, временной тайм, когда могут проходить платежи, а также перечень устройств, с которых могут отравляться платежи. Тем самым клиентура будет защищен от несанкционированных списаний. Ограничения банк сможет установить и по просьбе самого клиента.
Главная заковырка, которую видят в выполнении новых требований банки,— рост расходов. Кроме того, по словам главы управления информационной безопасности ОТП-банка Сергея Чернокозинского, придется откорректировать бизнес-процессы и отчетность». Однако в ЦБ уверены, что затраты не будут чрезмерными. «Экономические последствия введения новых требований обсуждались с профессиональным сообществом, было достигнуто понимание,— заверили в пресс-службе регулятора.— Затраты будут пропорциональны бизнес-моделей конкретных банков».
Однако Водан из наиболее важных для участников рынка вопросов реформы системы информационной безопасности в банковском секторе так и остался без ответа: не определены сроки реагирования на инциденты. Обсуждая будущие поправки, балансир не раз говорил о необходимости чрезвычайно оперативного реагирования на инциденты, работе в режиме 24/7, однако предмет обсуждения Ant выход остался за рамками документа. По словам собеседника «Ъ», знакомого с позицией ЦБ, регулятор готовит отдельный бумага, который появится в ближайшее время.
Хакерские атаки распространяются по банковской системе со скоростью спама
Произносить далее
