Центральный банк России опубликовал проект положения «О требованиях к защите информации в платежной системе Банка России». Согласно новым требованиям, банки должны сообщать о случившихся или возможных инцидентах, которые связаны с нарушением правил обеспечения защиты информации при переводе средств при помощи платежной системы Банка России, в Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT, подконтрольный ЦБ). Также банки должны будут уведомлять о любых несанкционированных переводах средств - так называемых кибератаках.
Сообщать об этом банки должны будут в течение трех часов с момента инцидента или обнаружения нарушения к доступу информации, отправляя сообщение на электронную почту fincert@cbr.ru. Причем делать это необходимо, несмотря на то, участвует банк в информационном обмене с FinCERT или нет.
Обеспечить исполнение требований банки должны к 30 июня 2017 года. Источник издания из Банка России сообщил, что соответствующий документ был разработан в свете участившихся случаев кибератак и информационных угроз. Так что возникла необходимость разработать и обнародовать документ, регламентирующий требования безопасности для всех участников платежной системы, отметил источник в ЦБ.
Кроме того, в качестве обязательных требований в документе указано, что к подключенному к платежной системе компьютеру не должно быть доступа из локальной сети, обязателен постоянный мониторинг происходящего на компьютере, с которого совершаются платежи в ЦБ.
Источник в Центробанке добавил, что регулятор не настаивает на выполнении рекомендаций FinCERT, когда дело касается исключительно самого банка, однако когда дело касается платежной системы Банка России, то требования соблюдения правил станут обязательными, а всех нарушителей будут ждать серьезные штрафные санкции.
Представители банковской сферы опасаются, что с нововведениями ЦБ изменятся общие правила игры. Многие банки не спешили сообщать Банку России о кибератаках, тем более когда речь шла о маленьких суммах. Это объясняется тем, что банки боялись репутационных рисков. Теперь же за замалчивание банки могут быть отключены, например, от системы банковских электронных срочных платежей (БЭСП).
Сообщать об этом банки должны будут в течение трех часов с момента инцидента или обнаружения нарушения к доступу информации, отправляя сообщение на электронную почту fincert@cbr.ru. Причем делать это необходимо, несмотря на то, участвует банк в информационном обмене с FinCERT или нет.
Обеспечить исполнение требований банки должны к 30 июня 2017 года. Источник издания из Банка России сообщил, что соответствующий документ был разработан в свете участившихся случаев кибератак и информационных угроз. Так что возникла необходимость разработать и обнародовать документ, регламентирующий требования безопасности для всех участников платежной системы, отметил источник в ЦБ.
Кроме того, в качестве обязательных требований в документе указано, что к подключенному к платежной системе компьютеру не должно быть доступа из локальной сети, обязателен постоянный мониторинг происходящего на компьютере, с которого совершаются платежи в ЦБ.
Источник в Центробанке добавил, что регулятор не настаивает на выполнении рекомендаций FinCERT, когда дело касается исключительно самого банка, однако когда дело касается платежной системы Банка России, то требования соблюдения правил станут обязательными, а всех нарушителей будут ждать серьезные штрафные санкции.
Представители банковской сферы опасаются, что с нововведениями ЦБ изменятся общие правила игры. Многие банки не спешили сообщать Банку России о кибератаках, тем более когда речь шла о маленьких суммах. Это объясняется тем, что банки боялись репутационных рисков. Теперь же за замалчивание банки могут быть отключены, например, от системы банковских электронных срочных платежей (БЭСП).
