ЦБ закрепил форматы направления сообщений банками в ФинЦЕРТ в пятом стандарте по информбезопасности, вызвав вопросы у рынка. Предыдущие четыре стандарта были добровольными для присоединения, однако в данном случае избежать работы по стандарту технически не удастся. Участники рынка опасаются, что ЦБ таким образом переводит их из добровольного в принудительный формат.
Вступивший в силу с 1 ноября 2018 года отраслевой стандарт ЦБ 1.5 утвердил форму и порядок взаимодействия банков с ФинЦЕРТ (подразделение ЦБ по борьбе с киберугрозами). Существенная часть этого документа посвящена формату направления информации в платформу АСОИ (платформа для оперативного обмена информацией ЦБ с банками об инцидентах и т. д., запущена с июля).
Тот факт, что ЦБ решил закрепить техническую информацию в стандарте, весьма удивил рынок. «До появления данного стандарта существовало еще четыре, посвященных информационной безопасности, и банк мог сам решить — соблюдать их или нет,— рассуждает собеседник “Ъ” из банка топ-30.— Решение о соблюдении принималось руководством банка, соответствующее письмо направлялось в ЦБ, потом банк проходил сертификацию». При этом требования к информационной безопасности в этих стандартах были более жесткие и дорогостоящие, и многие банки не желали к ним присоединяться, указывает собеседник “Ъ”.
Однако уклониться от направления информации в АСОИ банк не может, форматы едины для всех, то есть не соблюдать пятый стандарт банки фактически не могут. Но присоединиться к одному стандарту, не приняв остальных, нельзя. «То есть хотят того банки или нет, но теперь придется соблюдать все пять стандартов»,— недоумевает менеджер российского банка.
У банков, уже работающих по стандартам и формату ЦБ, тоже есть вопросы. «Форматы могут меняться, однако процедура внесения изменений в стандарты очень долгая»,— отметил собеседник “Ъ” в банке топ-10.— При необходимости ЦБ все равно придется вносить изменения своими письмами. Так почему же сразу нельзя их было утвердить простым письмом, которое можно быстро исправить?»
Участники рынка ждут от Банка России разъяснений по данному вопросу. ЦБ на запрос “Ъ” не ответил. Ранее замглавы департамента информационной безопасности Банка России Артем Сычев заявлял, что в будущем намерен сделать обязательным применение требований стандартов для всех участников рынка.
Стража со взломом
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам