9 июля Банк России опубликовал проект изменений к указанию №821-П, который предусматривает ужесточение требований к обеспечению защиты информации при осуществлении переводов денежных средств.
Документом вводится обязательное применение криптографии класса не ниже КС1 (начальный уровень) и усиленной электронной подписи, а также формулируются требования для трансграничных переводов. Ранее участники финрынка должны были соответствовать оценочному уровню доверия (ОУД4), установленному ГОСТом.
Новая итерация призвана расширить сферу регулирования обеспечения защиты информации за счёт операций с биометрией и уточнения участия филиалов иностранных банков, а также операторов электронных платформ. Плюс, в тексте уточняется время предоставления отчётности по киберинцидентам: сейчас оно обозначается как «своевременно»; согласно же новому документу, банкирам дадут всего три часа на информирование и до 30 дней — на расследование инцидента.
Наиболее значимыми для финсектора отраслевые эксперты видят изменения в обеспечении целостности электронных сообщений и информации, связанной с биометрией, для которых предусмотрено применение усиленной ЭП: кредитным учреждениям потребуется применение новых механизмов и протоколов, обеспечивающих защиту таких данных от искажения, фальсификации, переадресации и несанкционированного доступа.
Кроме того, теперь при передаче ПДн по каналам связи необходимо будет шифровать их с использованием отечественных криптографических средств (в качестве второго фактора подтверждения личности клиента может использоваться биометрия). При этом сама биометрия не передаётся — только её цифровой отпечаток.
Стоимость исполнения требований ЦБ РФ зависит от масштаба ИТ-инфраструктуры конкретного банка, но в среднем оценивается экспертами в 20 млн рублей. Оценка же соответствия проводится специализированными организациями и стоит от 1 млн рублей.
Под действие описанных положений подпадают банковские платёжные агенты, операторы услуг информационного обмена, поставщики платёжной инфраструктуры и филиалы иностранных финучреждений.
