GAAP.RUНовости Для банков вводят новые требования к кибербезопасности

Для банков вводят новые требования к кибербезопасности

Подписаться
на рассылку
print
Печать

Источник: GAAP.RU

Дата публикации: 28 Июня 2018 г.

Теги: информирование об инцидентахкибербезопасностьсертификация“пентесты”

“КоммерсантЪ”  проинформировал сегодня о регистрации Минюстом положения 382-П с требованиями к банкам по соблюдению информационной безопасности, среди которых значатся проведение аудита, тестирование на возможность проникновения и требования к сертификации используемого ПО, однако главный момент информирования Центробанка об имевших место инцидентах в круглосуточном режиме по-прежнему не до конца ясен.

Некоторые требования в самом деле могут оказаться полезными – например, о сертификации использованных программных продуктов Федеральной службой по техническому и экспортному контролю (ФСТЭК России). В отдельных случаях банки фактором сертификации пренебрегают и работают с продуктами, имеющими много уязвимостей. Эксперты предсказывают массовый переход на готовые решения.

Раз в год банки обязаны будут проходит тестирование на уязвимости – так называемые “пентесты”, а раз в два года – независимый аудит информационной безопасности. Для сравнения, до настоящего времени они могли обойтись собственной оценкой.

Важным для всех участников процесса требованием станет внедрение “раздельных информационно-коммуникационных технологий” при проведении платежей по системе “банк-клиент” или через Интернет. Консультант по безопасности Cisco Алексей Лукацкий объясняет, что сейчас платежка создается на компьютере бухгалтеров компаний и с них же отправляется в банк, тогда как по новым правилам создаваться она должна будет на одном компьютере, а отправляться – с другого.

Положение 382-П вступит в силу с 1 января 2020 года, поэтому еще есть время подготовиться. Главной проблемой эксперты видят рост расходов, но Центробанк считает их увеличение соизмеримым с бизнес-моделями. Это не значит, что не придется вносить существенных изменений в использующиеся системы отчетности, так как ранее регулятор настаивал на необходимости оперативного информирования об инцидентах в режиме 24/7. При этом в документе нет никаких деталей по данному пункту (есть предположение, что ЦБ выскажется более четко в рамках отдельного документа).

Теги: аудит информационной безопасности информационная безопасность информирование об инцидентах кибербезопасность сертификация ЦБ ЦБ 382-П “пентесты”

Комментарии

Книги на GAAPshop.ru