Банкам расписали безопасность
ЦБ озаботился сохранностью счетов и вкладов
Банк России опубликовал положение «О требованиях к безопасности данных в банках». Оно призвано обеспечить информационную безопасность значительного ряда операций, проводимых клиентами преимущественно дистанционно (открытие счетов и вкладов). Сейчас банки обязаны делать это только для перевода денежных средств. Впрочем, эксперты отмечают, что большую часть перечисленных инструментов защиты крупные банки и так уже применяют.
ЦБ 21 мая разместил на своем сайте положение, направленное на повышение уровня банковской защиты от действий киберпреступников. «Новое положение Банка России обязывает кредитные организации обеспечивать информационную безопасность таких банковских операций, как привлечение денежных средств физических и юридических лиц во вклады, размещение привлеченных средств от своего имени и за свой счет, открытие и ведение банковских счетов физических и юридических лиц и ряд других»,— отмечается в сообщении регулятора. Ранее банки должны были принять комплекс мер, который минимизировал бы риск лишь неправомерного перевода средств. Теперь они будут обязаны обеспечить сохранность средств, размещенных на вкладе или банковском счете. Положение вступит в силу с июня.
Сейчас участники рынка сами определяют меры защиты информбезопасности, теперь регулятор вводит общие требования к информационной инфраструктуре банков, их программному обеспечению, системе хранения персональных данных, методам идентификации, а также меры по криптографической защите данных. Так, банкам будет необходимо анализировать различные технические параметры, например слепки устройств, IP-адреса, изменения геолокации пользователя, а также обеспечить подтверждение целостности и авторство электронных сообщений электронной подписью клиента, регистрировать действия работников банка и клиентов при обработке платежной информации, проводить мониторинг и регистрацию инцидентов информбезопасности и информирование о них ЦБ. Также по новому положению банки должны проводить тестирование на проникновение (пентест) и анализ уязвимостей ИТ-инфраструктуры.
Максимальные меры защиты предусмотрены для системно значимых банков и банков, выполняющих функции оператора услуг платежной инфраструктуры системно значимых платежных систем, а также для значимых на рынке платежных услуг кредитных организаций. Для остальных участников рынка обязательными будут только типовые требования стандарта безопасности банковских операций, принятого в 2017 году. Так, например, системные банки могут использовать только многофакторную аутентификацию пользователей, должны обеспечить в помещениях банка, где стоят компьютеры с доступом к защищенным данным, средства контроля доступа и круглосуточное видеонаблюдение. Если банк меняет свой статус и подпадает под требования по усиленному уровню безопасности, то он обязан обеспечить соответствие новым требованиям не позднее чем через полтора года.
Участники рынка указывают, что новые требования регулятора должны повысить безопасность операций при дистанционном банковском обслуживании, однако крупные банки в основном уже применяют указанные практики. «Для кого-то это нововведение, а для организаций, адекватно относящихся к информационной безопасности, уже практика»,— говорит директор департамента информационной безопасности МКБ Вячеслав Касимов. «Большую часть перечисленных инструментов все крупные игроки уже используют в повседневной работе со своими клиентами, например криптозащиту, сбор данных об устройствах и многое другое»,— добавляют в пресс-службе «Русского стандарта». «Все это именно уточнение и усиление так или иначе установленных ранее ЦБ требований к защите платежной инфраструктуры и информации о переводах денежных средств»,— заключает директор департамента информационной безопасности Росбанка Михаил Иванов.
Стража со взломом
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам