22 октября вступили в силу новые требования Банка России, согласно которым крупные банки обязаны добавлять информацию о счетах злоумышленников в течение двух часов после получения соответствующих данных от регулятора, сообщил Антон Чернодед, начальник отдела Департамента информационной безопасности Банка России в ходе Конференции АБИСС по вопросам регуляторики информационной безопасности.
С 1 января 2025 года эти требования ужесточат: крупные кредитные организации будут обязаны блокировать счета злоумышленников в течение часа. Остальные финучреждения должны будут сделать это в течение трёх часов после получения информации от ЦБ РФ.
«Банк России продолжает усилия по противодействию операциям без добровольного согласия клиентов», — отметил докладчик. 25 июля текущего года вступили в силу изменения законодательства, которые позволяют блокировать электронные средства платежа злоумышленников. Информация о переводе на счёт мошенника поступает от кредитной организации в Центробанк, а в дальнейшем сведения о преступнике передаются другим участникам финрынка. При этом предполагаемый злоумышленник не сможет воспользоваться в том числе мобильным банком и интернет-банком, но сможет оспорить данную блокировку. Вступившие в силу новые требования регламентируют сроки внесения информации о счетах мошенников в базу данных регулятора и поднадзорных организаций.
Также спикер рассказал о работе, которую регулятор ведёт по другим направлениям информационной безопасности. В части импортозамещения Банк России установил порядок перехода на отечественные ПО и оборудование. Департамент информационной безопасности ЦБ РФ на постоянной основе осуществляет контроль и мониторинг кредитных организаций по данному вопросу.
В части исполнения требований ГОСТ 57580.4 и 57580.3 по вопросам операционной надёжности и управления рисками, которые были выпущены ранее, регулятором подготовлены методические рекомендации. В соответствии с ними, финансовым организациям необходимо разработать планы реализации требований ГОСТ и в дальнейшем внедрить их в установленные сроки в зависимости от вида деятельности. Ближайший срок внедрения — 31 декабря 2025 года для крупных банков и 31 декабря 2027 года — для небольших компаний. Кредитным учреждениям даётся определённый период на апробацию ГОСТ и решение вопросов, возникших в процессе внедрения.
«В дальнейшем планируется интеграция данного требования в нормативные акты Банка России, и тогда это требование станет обязательным — необходимо будет проходить оценку соответствия. Даётся некий переходный период для этой истории», — пояснил Антон Чернодед.
Также в этом году были выпущены методические рекомендации в части унификации описания объектов информационных инфраструктуры. Данная информация используется в различных направлениях, она важна с точки зрения операционной надёжности, уязвимостей и репортинга. ЦБ РФ поставил задачу унифицировать формат описания данных объектов при взаимодействии с регулятором. В первую очередь это касается формы отчётности по операционной надежности, когда финансовая организация на ежеквартальной основе представляет информацию о своей информационной инфраструктуре в соответствии с форматом. Часть организаций перешла на данный формат и его использует. У ряда учреждений, однако, возникают проблемы, с которыми Центробанк продолжает работать.
В следующем году планируется изменение в нормативной документации по защите информации и операционной надёжности с учётом накопленного опыта. Часть организаций злоупотребляют инструментами управления рисками, поэтому планируется ужесточить требования по данному вопросу, в первую очередь, допустимых показателей технологического процесса для организации, подытожил представитель Банка России.