Центральный банк России установил обязательные требования для кредитных организаций по обеспечению безопасности IT-систем при открытии вкладов, выдаче кредитов, открытии и ведении счетов физических и юридических лиц. Конкретные требования устанавливаются положением «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», опубликованным 21 мая 2019 года на сайте регулятора.
Как банки должны обеспечить защиту счетов клиентов?
Банки обязаны проводить ежегодную проверку электронных систем с целью выявления потенциальных и реальных уязвимостей, а также на протяжении пяти лет хранить данные обо всех действиях сотрудников и клиентов в системах дистанционного обслуживания. Также в положении оговариваются особенности технологии обработки защищаемой информации, изготовления криптографических ключей, порядок регистрации действий работников и клиентов и др. моменты. Кроме того, кредитные организации должны регистрировать все инциденты, которые привели или могли привести к утечке информации, и передавать сведения о них в Центробанк вместе с отчетом о работе по устранению последствий.
Каким банкам нужен усиленный уровень защиты?
Положение Центробанка вводит два уровня защиты в зависимости от типа кредитной организации. Усиленный уровень защиты предусмотрен для следующих кредитных организаций:
- системно значимых;
- выполняющих функции оператора услуг платежной инфраструктуры системно значимых платежных систем;
- значимых на рынке платежных услуг.
На данный момент, согласно перечню Центробанка РФ от 5 октября 2018 год, к системно значимым кредитным организациям относятся 11 банков: ЮниКредит Банк, банк ГПБ, банк ВТБ, Альфа-банк, Сбербанк, Московский кредитный банк, банк Открытие, Росбанк, Промсвязьбанк, Райффайзенбанк и Россельхозбанк.
Для остальных кредитных организаций к выполнению обязателен только стандартный уровень защиты.
Каким должно быть ПО?
Прикладное программное обеспечение, используемое кредитными организациями для проведения банковских операций, должно соответствовать оценочному уровню доверия (ОУД) не ниже ОУД 4 в соответствии с требованиями национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013.
Когда закон вступает в силу?
Положение вступило в силу через 10 дней после опубликования, 1 июня 2019 года, однако отдельные пункты являются исключениями. Так, пункт 4, в котором содержаться требования к программному обеспечению, вступит в силу 1 января 2020 года. Подпункт 3.1 о разных уровнях защиты будет действителен с 1 января 2021 года, как и пункт, согласно которому кредитные организации обязаны проводить проверку на соответствие системы защиты необходимому уровню не реже, чем один раз в два года.
Смотрите также:
- МЧС разработало законопроект, меняющий правила проверок в торговых центрах →
- Проект о контроле снятия денег с карт иностранных банков принят в I чтении →
- Роскомнадзор намерен нанять на работу хакера →