Центробанк ужесточил требования к кредитным учреждениям по обеспечению защиты информации о банковских операциях от киберпреступников.
Как сообщается на официальном портале ЦБ РФ, документ одобрен не только руководством регулятора, но и Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Напомним, что раньше банки должны были обеспечивать информационную безопасность лишь при проведении операций по переводу денег. Теперь же от них это потребуют делать и при привлечении вкладов как от физических, так и юридических лиц, размещении привлеченных средств, а также ведении банковских счетов клиентов.
В заявлении Центробанка отмечается, что наиболее строгие требования по защите информации будут предъявляться к системно значимым финансовым организациям, банкам, выполняющим функции оператора услуг платежной инфраструктуры системно значимых платежных систем, а также к кредитным учреждениям, значимым на рынке платежных услуг.
Для справки:
Стоит напомнить, что к системно значимым финансовым организациям относятся 11 банков: Сбербанк, ВТБ, Альфа-банк, Газпромбанк, Промсвязьбанк, Райффайзенбанк, Россельхозбанк (РСХБ), Росбанк, Московский кредитный банк, «ЮниКредит» и ФК «Открытие».
Оператором услуг системно значимой платежной системы является Национальный расчетный депозитарий.
Ранее, в середине февраля нынешнего года, эксперты-киберкриминалисты компании Group-IB пришли к выводу, что три четверти российских банков не готовы противостоять хакерским атакам. Стоит пояснить, что Group-IB занимается реагированием на инциденты информационной безопасности, являясь партнером Интерпола и его европейского аналога Европола.
Проанализировав защищенность банковского оборудования, эксперты сделали выводы, что у 29% российских финансовых организаций были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак.
«Порядка 70% хакерской активности в прошлом году пришлось на банковский сектор. Остальные 30% – в основном на компании топливно-энергетического комплекса и промышленные предприятия», говорится в исследовании группы.
Как пояснил руководитель лаборатории компьютерной криминалистики Group-IB Валерий Баулин, атакованными оказались кредитные учреждения разных категорий.
«Однако по нашему опыту банки из топ-10 гораздо лучше защищены, чем мелкие банки, в том числе потому, что они чаще встречались с киберинцидентами», – отметил он.
В ходе исследования банковского рынка Group-IB оценила ущерб в российской финансовой сфере от атак киберпреступников за второе полугодие 2017-го и первое полугодие прошлого года в 2,96 млрд руб.
По словам директора департамента информационной безопасности Московского кредитного банка (МКБ) Вячеслава Касимова, регулятор уже давно готовил банковский сектор к усилению требований по безопасности транзакций. Так что для многих организаций это не новость, а скорее практика.
«Мы были готовы к изменениям. Недостающие активности, вроде аудита на соответствие ГОСТу, мы закладывали в планы и бюджетировали в конце прошлого года», – пояснил он.
Как указывается в материалах Центробанка, если банк получает статус, требующий перейти от стандартного к усиленному уровню защиты, ему дается полтора года на приведение своих систем в соответствие нормам.
Положение о том, какие банки должны обеспечить какой уровень защиты, вступает в силу через полтора года – с 1 января 2021 года. Вместе с тем ряд требований вступит в силу уже с 1 января 2020-го.
«Финансовая газета»