Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Мэр Львова заявил о «недостаточной русофобии» на Украине Политика, 21:46
Высокопоставленные сотрудники полиции отчитались о своих доходах Общество, 21:43
Хедж-фонды: что это и кому можно в них инвестировать Инвестиции, 21:40
В Пентагоне сообщили о передаче Данией Украине противокорабельных ракет Политика, 21:37
Четырехкратного чемпиона «Формулы-1» обокрали в Испании Спорт, 21:15
Бывший «Русский дом» в Давосе заняли под выставку украинских фотографов Политика, 21:09
В Госдуме заявили о скором рассмотрении вопроса о лишении Рашкина мандата Политика, 21:08
Военная операция на Украине. Онлайн Политика, 21:07
Didi уйдет с Нью-Йоркской фондовой биржи, потеряв 90% капитализации Инвестиции, 21:05
Роскомнадзор составил протоколы о «фейках» на The New Times и Альбац Технологии и медиа, 20:57
Хакеры, взломы и DDos: критические моменты для бизнеса РБК и МегаФон, 20:46
«Арсеналу» после вылета из Премьер-лиги отказали в выдаче лицензии Спорт, 20:45
Первое азиатское турне Байдена ознаменовалось выпадами в адрес Китая Политика, 20:40
Новый внедорожник Mercedes будет разворачиваться на месте как танк: видео Авто, 20:33
Финансы ,  
0 

ЦБ ужесточил требования к банкам по защите от киберугроз

ЦБ требует от банков защищать от киберпреступников операции по открытию вкладов клиентов и ведению их счетов. Особые требования по автоматизации защиты предъявлены крупнейшим банкам
Здание ЦБ
Здание ЦБ (Фото: Евгений Разумный / Ведомости / ТАСС)

Банк России ужесточает требования по защите средств банков и их клиентов от киберпреступников. Об этом говорится в положении ЦБ, опубликованном 21 мая. Документ одобрен руководством ЦБ, ФСБ и Федеральной службы по техническому и экспортному контролю.

Если раньше банки должны были обеспечивать информационную безопасность лишь при проведении операций по переводу денег, то теперь от них потребуют также делать это при привлечении вкладов (как от физических, так и от юридических лиц), размещении привлеченных средств и ведении банковских счетов клиентов.

Для всех банков по умолчанию будет действовать стандартный уровень защиты информации. Наиболее важные организации банковского рынка обязаны будут перейти на усиленный уровень защиты. К таким организациям в документе отнесены:

  • 11 системно значимых банков: Сбербанк, ВТБ, Альфа-банк, Газпромбанк, Промсвязьбанк, Райффайзенбанк, РСХБ, Росбанк, Московский кредитный банк, «ЮниКредит» и «ФК Открытие»;
  • Национальный расчетный депозитарий как оператор услуг системно значимой платежной системы;
  • 30 значимых на рынке платежных услуг организаций. Помимо девяти системно значимых банков (кроме Промсвязьбанка и «ЮниКредита») туда входят, например, «Тинькофф», «Восточный», Почта Банк, МТС-банк, Совкомбанк, а также сервис «Яндекс.Деньги».

Принципы стандартного и усиленного уровней защиты прописаны в ГОСТе 2017 года. Основные различия касаются того, нужно ли для защиты информации применять технические меры (с помощью аппаратных и программных систем) или же организационные (вводить разного рода ограничения на работу информационной системы). Для разных видов банков имеются, например, следующие ограничения:

  • крупные банки, имея усиленный уровень защиты, должны автоматически блокировать учетные записи уволенных сотрудников и тех, кто более 90 дней не находится на рабочем месте;
  • со стандартным уровнем защиты достаточно однофакторной аутентификации пользователя при подключении к системам банка, с усиленным нужна уже многофакторная;
  • помещения с устройствами, дающими доступ к системам банка, должны быть оборудованы средствами контроля доступа, видеонаблюдением и сигнализацией при усиленном уровне защиты;
  • с усиленным уровнем защиты требуется автоматическая фиксация неавторизованного подключения к банковскому Wi-Fi;
  • обновление ПО систем защиты при усиленном уровне должно быть автоматическим, при стандартном же достаточно ручного (организационного) способа.
  • другие ключевые требования — внедрение усиленной электронной подписи клиента, выполнение всех требований ФСБ при работе со средствами криптозащиты, уведомление ЦБ обо всех инцидентах информбезопасности, а также регистрация действий клиента и работников банка при обработке платежной информации, отмечает директор департамента информационной безопасности Росбанка Михаил Иванов.

Эти и другие меры, по замыслу ЦБ, призваны предотвратить несанкционированный доступ ко всем клиентским операциям. Раз в год банки должны тестировать информационные системы на возможность проникновения и анализировать уязвимости.

Pro
Фото: Shutterstock Услуги консалтинга востребованы как никогда: чего хотят компании
Pro
Фото: Jeff J Mitchell / Getty Images Как вернуть себе и сотрудникам спокойствие и веру в будущее — 5 шагов
Pro
Всему голова: как перейти на российскую ERP и что выбрать
Pro
Какие активы выиграют и проиграют от укрепления рубля
Pro
Когда щедрость работодателя к выплатам премий заинтересует ФНС — кейсы
Pro
Фото: Shutterstock Поставки газа в ЕС падают. Что будет с акциями «Газпрома»
Pro
В России — новые правила гособоронзаказа. Кому стало невыгодно работать
Pro
Будьте как мы: зачем Сoca-Cola сменила название в Китае на Ke Kou Ke Le

Почему банки оказались не готовы к атакам хакеров
Технологии и медиа
Фото:Григорий Сысоев / РИА Новости

Если банк получает статус, требующий перейти от стандартного к усиленному уровню защиты, ему дается полтора года на приведение своих систем в соответствие нормам. Положение о том, какие банки должны обеспечить какой уровень защиты, вступает в силу через полтора года — с 1 января 2021 года.

Требования заложили в бюджеты

ЦБ уже давно готовил банковский сектор к усилению требований по безопасности транзакций, так что для многих организаций это не новость, а скорее практика, сказал РБК директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. «К изменениям мы были готовы. Недостающие активности вроде аудита на соответствие ГОСТу мы закладывали в планы и бюджетировали в конце 2018 года», — пояснил Касимов.

В феврале 2019 года киберкриминалисты компании Group-IB подсчитали, что 74% российских банков не готовы к атакам киберпреступников. Это связано с невысоким уровнем организации защиты: отсутствием плана реагирования, невозможностью быстрой мобилизации ресурсов и т.д. При этом именно на банковский сектор, по данным Group-IB, приходится две трети кибератак на российские компании. По их подсчетам, кибератаки на финансовую сферу за год с лета 2017-го по лето 2018 года нанесли около 3 млрд руб. ущерба.

Материалы к статье
Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"