Минюст зарегистрировал документ, вводящий новые требования по кибербезопасности для банков. В его рамках появится ряд обязательных процедур, выполнение которых дорого обойдется не только банкам, но и их клиентам, пишет «Коммерсант».
Среди них, например, применение в банках программного обеспечения, сертифицированного ФСТЭК. Аналог сертификации — проведение анализа уязвимостей в соответствии с ГОСТом, что также непросто, и его могут позволить себе лишь банки с сильными специалистами по ИБ, указывают эксперты. В результате большинство игроков будут переходить на готовые решения.
Кроме того, у банков появится обязанность проводить ежегодные пен-тесты, а дважды в год — внешний аудит кибербезопасности. Сейчас банки могут ограничиваться собственной оценкой, все остальное — исключительно добровольно.
И для банков, и для их клиентов важной новацией будет требование по внедрению «раздельных информационно-коммуникационных технологий» при проведении платежей через Интернет или с использованием систем «Банк — клиент». Сейчас в компаниях та же платежка создается на компьютере бухгалтера и с него же отправляется в банк. По новому требованию предлагается, что на одном компьютере готовится платежка, с другого отправляется. То есть должна быть реализована соответствующая технология, внесены изменения в АБС и в те системы «Банк — клиент», что стоят у клиентов.
Это положение вступает в силу с отсрочкой, с 1 января 2020 года, и потому у банков и клиентов будет возможность подготовиться. В тех случаях, когда выполнить указанное требование невозможно, банк должен будет установить клиенту ограничения — на максимальную сумму перевода, список возможных получателей средств, временной период, когда могут проходить платежи, а также перечень устройств, с которых могут отправляться платежи. Тем самым клиент будет защищен от несанкционированных списаний. Ограничения банк сможет установить и по просьбе самого клиента.
Главная проблема, которую видят в выполнении новых требований банки, — рост расходов. Кроме того, говорят участники рынка, придется скорректировать бизнес-процессы и отчетность. Однако в ЦБ уверены, что расходы не будут чрезмерными.
Однако один из наиболее важных для участников рынка вопросов, связанных с реформой системы информационной безопасности в банковском секторе, так и остался без ответа: не определены сроки реагирования на инциденты. Обсуждая грядущие поправки, регулятор не раз говорил о необходимости чрезвычайно оперативного реагирования на инциденты, работе в режиме 24/7, однако вопрос остался за рамками документа. По информации издания, регулятор готовит отдельный документ, который появится в ближайшее время.