Банк России готовит новый этап зачистки банков. На этот раз регулятор решил проверять технологическую надежность сектора. Регулятор планирует ужесточить требования к программному обеспечению (ПО), используемому при переводе средств.
Участники рынка смогут выбирать из двух вариантов. Софт должен пройти сертификацию на отсутствие недекларированных возможностей в Федеральной службе по техническому и экспортному контролю (ФСТЭК), подведомственной Минобороны. Или же должен быть проведен анализ уязвимостей на соответствие определенным требованиям, указывает консультант по безопасности Cisco Алексей Лукацкий. При этом правил такого анализа проект указания регулятора не определяет.
По словам директора направления информационной безопасности разработчика и поставщика IT-решений "Диасофт" Игоря Легезина, его должна проводить компания, имеющая лицензию ФСТЭК. По сути обе процедуры равнозначны, они занимают около полугода и стоят десятки тысяч долларов. До этого таких требований к прикладному ПО не предъявлялось, однако недостаточный уровень защиты заставил Совет безопасности усилить контроль в этой области, начав с банков и платежных систем, отмечает Лукацкий.
Эксперт напомнил о том, что при расчетах карточками есть международный стандарт безопасности PA DSS, соответствие которому является требованием Visa и Mastercard. Однако новые требования ЦБ шире и жестче, так как распространяются на любые формы денежных переводов.
До этого ПО, используемое для перевода денег и разработанное внутри финансовых организаций или отечественными компаниями, не относилось к средствам защиты информации. Его не надо было сертифицировать во ФСТЭК. У ЦБ нет требований к автоматизированной банковской системе (АБС), есть ГОСТ, где прописаны процедуры контроля софта для нее, но он носит рекомендательный характер, говорит Легезин.
Проблемы с соблюдением новых требований ЦБ могут возникнуть из-за регулярных обновлений программ, предупреждает ведущий аналитик департамента банковского ПО RS-Bank компании R-Style Softlab Сергей Ветров. По его словам, сертификат после многих месяцев проверки выдается на конкретную версию системы, а в таких системах, как АБС, обновления выходят каждые несколько дней. Таким образом, очередное обновление может оказаться несертифицированным.
В Cisco полагают, что больше всего сложностей ожидает "дочек" иностранных банков, у которых зачастую используется зарубежное ПО, предоставляемое головной структурой. По проекту ЦБ, новые требования вступят в силу с июля 2018 года.
По данным Банка России, в прошлом году злоумышленники девять раз находили уязвимости в банках и вывели с их корсчетов 2,18 млрд рублей.
Участники рынка смогут выбирать из двух вариантов. Софт должен пройти сертификацию на отсутствие недекларированных возможностей в Федеральной службе по техническому и экспортному контролю (ФСТЭК), подведомственной Минобороны. Или же должен быть проведен анализ уязвимостей на соответствие определенным требованиям, указывает консультант по безопасности Cisco Алексей Лукацкий. При этом правил такого анализа проект указания регулятора не определяет.
По словам директора направления информационной безопасности разработчика и поставщика IT-решений "Диасофт" Игоря Легезина, его должна проводить компания, имеющая лицензию ФСТЭК. По сути обе процедуры равнозначны, они занимают около полугода и стоят десятки тысяч долларов. До этого таких требований к прикладному ПО не предъявлялось, однако недостаточный уровень защиты заставил Совет безопасности усилить контроль в этой области, начав с банков и платежных систем, отмечает Лукацкий.
Эксперт напомнил о том, что при расчетах карточками есть международный стандарт безопасности PA DSS, соответствие которому является требованием Visa и Mastercard. Однако новые требования ЦБ шире и жестче, так как распространяются на любые формы денежных переводов.
До этого ПО, используемое для перевода денег и разработанное внутри финансовых организаций или отечественными компаниями, не относилось к средствам защиты информации. Его не надо было сертифицировать во ФСТЭК. У ЦБ нет требований к автоматизированной банковской системе (АБС), есть ГОСТ, где прописаны процедуры контроля софта для нее, но он носит рекомендательный характер, говорит Легезин.
Проблемы с соблюдением новых требований ЦБ могут возникнуть из-за регулярных обновлений программ, предупреждает ведущий аналитик департамента банковского ПО RS-Bank компании R-Style Softlab Сергей Ветров. По его словам, сертификат после многих месяцев проверки выдается на конкретную версию системы, а в таких системах, как АБС, обновления выходят каждые несколько дней. Таким образом, очередное обновление может оказаться несертифицированным.
В Cisco полагают, что больше всего сложностей ожидает "дочек" иностранных банков, у которых зачастую используется зарубежное ПО, предоставляемое головной структурой. По проекту ЦБ, новые требования вступят в силу с июля 2018 года.
По данным Банка России, в прошлом году злоумышленники девять раз находили уязвимости в банках и вывели с их корсчетов 2,18 млрд рублей.
