22 июля 2016 г.
Центробанк России опубликовал проект положения "О требованиях к защите информации в платежной системе Банка России", передает "Коммерсантъ". В новом проекте установлены четкие требования к банкам сообщать о случившихся или возможных инцидентах, которые связаны с нарушением правил обеспечения защиты информации при переводе средств при помощи платежной системы Банка России, в Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT, подконтрольный ЦБ). Также банки обязаны сообщать о любых несанкционированных переводах средств - так называемых кибератаках.
Сообщать об этом банки должны будут в течение трех часов с момента инцидента или обнаружения нарушения к доступу информации, отправляя сообщение на электронную почту fincert@cbr.ru. Причем делать это необходимо, несмотря на то, участвует банк в информационном обмене с FinCERT или нет.
Обеспечить исполнение требований банки должны к 30 июня 2017 г. Источник издания из Банка России сообщил, что соответствующий документ был разработан в свете участившихся случаев кибератак и информационных угроз. Так что возникла необходимость разработать и обнародовать документ, регламентирующий требования безопасности для всех участников платежной системы, отметил источник в ЦБ.
Кроме того, в качестве обязательных требований в документе указано, что к подключенному к платежной системе компьютеру не должно быть доступа из локальной сети, обязателен постоянный мониторинг происходящего на компьютере, с которого совершаются платежи в ЦБ.
Источник в Центробанке добавил, что регулятор не настаивает на выполнении рекомендаций FinCERT, когда дело касается исключительно самого банка, однако когда дело касается платежной системы Банка России, то требования соблюдения правил станут обязательными, а всех нарушителей будут ждать серьезные штрафные санкции.
Представители банковской сферы опасаются, что с нововведениями ЦБ изменятся общие правила игры. Многие банки не спешили сообщать Банку России о кибератаках, тем более когда речь шла о маленьких суммах. Это объясняется тем, что банки боялись репутационных рисков. Теперь же за замалчивание банки могут быть отключены, например, от системы банковских электронных срочных платежей (БЭСП).
Проблемы могут возникнуть и с отправкой сообщений об инцидентах. Зачастую во время хакерских атак рушится вся автоматизированная система банка, и проинформировать FinCERT не представляется возможным.