С 1 июля 2018 года Банк России может обязать финансовые организации проходить аудит сторонних компаний для обеспечения защиты информации при переводе денежных средств. Возможно, обязательными станут и тестирования на проникновение.
ЦБ совместно с участниками рынка готовит проект новой редакции Положения 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Финансовые организации обяжут привлекать сторонних аудиторов для проведения оценки уровня защищенности транзакций
О разработке новых мер Банкир.Ру рассказали участники заседания комитета, разрабатывающего стандарты для банковской сферы.
Разрабатываемое в настоящее время указание о внесении изменений в действующее Положение 382-П прописывает новые требования к анализу уязвимостей как в прикладном программном обеспечении, так и на уровне инфраструктуры. Чтобы повысить уровень безопасности проведения платежей, финансовые организации обяжут привлекать сторонних аудиторов для проведения оценки уровня защищенности транзакций. Также планируется ввести обязательное тестирование на проникновение.
В настоящее время банки вправе самостоятельно оценивать, насколько они выполняют требования безопасности. И это создает серьезные угрозы передаваемым данным. «Не секрет, что многие банки по незнанию или специально завышают себе оценки и рапортуют о них в ЦБ. Нам известны случаи, когда банк отрапортовал в ЦБ о 90% выполнении требований, но после независимого аудита оказалось, что банк выполняет только 25% требований. Такие случаи нередки, и в ЦБ знают о таком тренде», - поясняет руководитель направления аудита финансовых организаций Digital Security Андрей Гайко.
Для получения более высокой оценки банки будут вынуждены реализовывать защитные меры в полном объеме
«Многие банки, проводя самооценку, «подгоняют задачу под ответ»: заполняя опросные листы, они стремятся не столько объективно оценить принимаемые ими меры защиты, сколько продемонстрировать ростом показателей свои действительные или фиктивные усилия по повышению эффективности мер защиты. Логично, что в этом случае регулятор перестает доверять результатам такой «самооценки» и заменяет ее внешним аудитом», - полагает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Аудиторы указывают на то, что в отличие от банковских сотрудников они будут смотреть не только документы, но и фактическое выполнение требований по безопасности на техническом уровне. В результате, для получения более высокой оценки банки будут вынуждены реализовывать защитные меры в полном объеме.
Уязвимости банковской инфраструктуры опрошенные эксперты в области безопасности называют угрозой государственного уровня. По их мнению, инициатива ЦБ закроет уязвимости банковской инфраструктуры и платежных приложений, позволяющих преступником выводить из банковской системы миллиарды рублей.
