Закрыть [x]

Перейти на мобильную версию

Требования к кибербезопасности российских банков ужесточат

29.06.2018

Минюст зарегистрировал документ с новыми требованиями по кибербезопасности для банков. Он обязывает проводить аудит информационной безопасности, тесты на возможность проникновения и использовать сертифицированное программное оборудование.

Теперь кредитным организациям придется использовать программное обеспечение, которое сертифицировалаФСТЭК. Специалисты считают, что в некоторых случаях банки не уделяют сертификации должного внимания, что приводит к последующему обнаружению уязвимостей в программах.

С 1 января 2020 года вступает в силу требование по внедрению «раздельных информационно-коммуникационных технологий» при проведении платежей через интернет или с использованием систем «банк-клиент». Это потребует внесения изменений как в автоматизированную банковскую систему, так и в «банк-клиенты». Альтернативный вариант защиты клиента от несанкционированных списаний — введение ограничений на максимальную сумму перевода, список возможных получателей средств, период проведения платежей и перечень устройств, с которых их можно отправлять.

Новое положение позволит усилить защиту клиентов, однако его исполнение может дорого обойтись. Эксперты уверены, что придется корректировать бизнес-процессы и отчетность. Анализ защищенности могут себе позволить лишь те финансовые организации, в штате которых есть сильные ИБ-специалисты.

Таким образом, поправки в положение ЦБ 382-П наконец приобрели завершенный вид и были зарегистрированы Минюстом. 26 июня ЦБ направил банкам этот документ.

Специально для CFO Russia сотрудники российских банков поделились своим мнением об этой новости.

«Раздельные технологии можно реализовать на разных устройствах с независимыми операционными системами (в мобильном банке поручение создают, в интернет-банке или на носимых устройствах подтверждают), а можно – на одном. Например, в разных коммуникационных каналах внутри одного устройства (в мобильном приложении поручение создают, а подтверждают через СМС-банк, Push-уведомление, чат-бот, колл-центр и так далее), – пояснил Алексей Охорзин, директор департамента розничных продуктов МКБ. – Главное условие – наличие независимых программных сред для подготовки и подтверждения поручений. Значит, альтернативные инструменты подтверждения операций не должны быть связаны с программным кодом мобильного банка. Например, онлайн-звонок в колл-центр нельзя использовать для подтверждения операций, так как сейчас его технически реализуют в коде мобильного банка.

Сможет ли банк контролировать реализацию различных технологий, как того требует ЦБ? Многое будет зависеть от клиента».


«Согласно пункту 2.5.5, банку необходимо будет обеспечивать мероприятия, которые направлены на обеспечение информационной безопасности и поиск уязвимостей объектов платежной инфраструктуры. Эти мероприятия включают в себя:

·         лицензирование программного обеспечения в ФСТЭК;

·         ежегодный аудит информационной безопасности платежного ПО с помощью внешних лицензированных аудиторов.

Клиент должен обеспечивать безопасности операционной системы, в которой он использует платежные сервисы банка. На этом уровне банк может только обнаружить факт нарушения контура безопасности ОС и ограничить возможность проведения операций.

Банки не заинтересованы в вводе ограничений, так как это снизит транзакционные активности, поэтому создание удобных решений – вопрос времени.

Банку ничто не мешает использовать ограничения, установленные клиентом. Банки уже давно поддерживают лимитирование операций клиентами. Могут быть лимиты по снятию и переводу денег, онлайн и офлайн платежам, операциям за границей, блокировке карт и так далее»,

– добавил Алексей Охорзин.

«Чтобы выполнить новые требования Положения Банка России № 382-П, банкам придется понести дополнительные расходы. Но их масштаб совсем не такой, чтобы повлиять на развитие банковского сектора, – отметил Владимир Журавлев, директор департамента информационной безопасности банка «Открытие». – Наш банк сейчас проводит анализ изменений, внесенных в Положение, и оценку масштаба доработок систем и процессов для приведения их в соответствие с ним. Вероятнее всего, банк сможет выполнить требования измененного Положения в заданные сроки».

Узнать больше о внедрении ИТ-решений в казначействе вы сможете на Второй конференции «Автоматизация казначействa», которая пройдет 20-21 сентября 2018 года в Москве.


Наши конференции:


Комментарии