ЦБ ужесточил требования к киберзащите банков

Центробанк ужесточил требования к кредитным учреждениям по обеспечению защиты информации о банковских операциях от киберпреступников.

Как сообщается на официальном портале ЦБ РФ, документ одобрен не только руководством регулятора, но и Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Напомним, что раньше банки должны были обеспечивать информационную безопасность лишь при проведении операций по переводу денег. Теперь же от них это потребуют делать и при привлечении вкладов как от физических, так и юридических лиц, размещении привлеченных средств, а также ведении банковских счетов клиентов.

В заявлении Центробанка отмечается, что наиболее строгие требования по защите информации будут предъявляться к системно значимым финансовым организациям, банкам, выполняющим функции оператора услуг платежной инфраструктуры системно значимых платежных систем, а также к кредитным учреждениям, значимым на рынке платежных услуг.

Для справки:

Стоит напомнить, что к системно значимым финансовым организациям относятся 11 банков: Сбербанк, ВТБ, Альфа-банк, Газпромбанк, Промсвязьбанк, Райффайзенбанк, Россельхозбанк (РСХБ), Росбанк, Московский кредитный банк, «ЮниКредит» и ФК «Открытие».

Оператором услуг системно значимой платежной системы является Национальный расчетный депозитарий.

Ранее, в середине февраля нынешнего года, эксперты-киберкриминалисты компании Group-IB пришли к выводу, что три четверти российских банков не готовы противостоять хакерским атакам. Стоит пояснить, что Group-IB занимается реагированием на инциденты информационной безопасности, являясь партнером Интерпола и его европейского аналога Европола.

Проанализировав защищенность банковского оборудования, эксперты сделали выводы, что у 29% российских финансовых организаций были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак.

«Порядка 70% хакерской активности в прошлом году пришлось на банковский сектор. Остальные 30% – в основном на компании топливно-энергетического комплекса и промышленные предприятия», говорится в исследовании группы.

Как пояснил руководитель лаборатории компьютерной криминалистики Group-IB Валерий Баулин, атакованными оказались кредитные учреждения разных категорий.

«Однако по нашему опыту банки из топ-10 гораздо лучше защищены, чем мелкие банки, в том числе потому, что они чаще встречались с киберинцидентами», – отметил он.

В ходе исследования банковского рынка Group-IB оценила ущерб в российской финансовой сфере от атак киберпреступников за второе полугодие 2017-го и первое полугодие прошлого года в 2,96 млрд руб.

По словам директора департамента информационной безопасности Московского кредитного банка (МКБ) Вячеслава Касимова, регулятор уже давно готовил банковский сектор к усилению требований по безопасности транзакций. Так что для многих организаций это не новость, а скорее практика.

«Мы были готовы к изменениям. Недостающие активности, вроде аудита на соответствие ГОСТу, мы закладывали в планы и бюджетировали в конце прошлого года», – пояснил он.

Как указывается в материалах Центробанка, если банк получает статус, требующий перейти от стандартного к усиленному уровню защиты, ему дается полтора года на приведение своих систем в соответствие нормам.

Положение о том, какие банки должны обеспечить какой уровень защиты, вступает в силу через полтора года – с 1 января 2021 года. Вместе с тем ряд требований вступит в силу уже с 1 января 2020-го.

 

«Финансовая газета»