Перейти к основному контенту
Финансы ,  
0 

ЦБ ужесточил требования к банкам по защите от киберугроз

ЦБ требует от банков защищать от киберпреступников операции по открытию вкладов клиентов и ведению их счетов. Особые требования по автоматизации защиты предъявлены крупнейшим банкам
Здание ЦБ
Здание ЦБ (Фото: Евгений Разумный / Ведомости / ТАСС)

Банк России ужесточает требования по защите средств банков и их клиентов от киберпреступников. Об этом говорится в положении ЦБ, опубликованном 21 мая. Документ одобрен руководством ЦБ, ФСБ и Федеральной службы по техническому и экспортному контролю.

Если раньше банки должны были обеспечивать информационную безопасность лишь при проведении операций по переводу денег, то теперь от них потребуют также делать это при привлечении вкладов (как от физических, так и от юридических лиц), размещении привлеченных средств и ведении банковских счетов клиентов.

Для всех банков по умолчанию будет действовать стандартный уровень защиты информации. Наиболее важные организации банковского рынка обязаны будут перейти на усиленный уровень защиты. К таким организациям в документе отнесены:

  • 11 системно значимых банков: Сбербанк, ВТБ, Альфа-банк, Газпромбанк, Промсвязьбанк, Райффайзенбанк, РСХБ, Росбанк, Московский кредитный банк, «ЮниКредит» и «ФК Открытие»;
  • Национальный расчетный депозитарий как оператор услуг системно значимой платежной системы;
  • 30 значимых на рынке платежных услуг организаций. Помимо девяти системно значимых банков (кроме Промсвязьбанка и «ЮниКредита») туда входят, например, «Тинькофф», «Восточный», Почта Банк, МТС-банк, Совкомбанк, а также сервис «Яндекс.Деньги».

Принципы стандартного и усиленного уровней защиты прописаны в ГОСТе 2017 года. Основные различия касаются того, нужно ли для защиты информации применять технические меры (с помощью аппаратных и программных систем) или же организационные (вводить разного рода ограничения на работу информационной системы). Для разных видов банков имеются, например, следующие ограничения:

  • крупные банки, имея усиленный уровень защиты, должны автоматически блокировать учетные записи уволенных сотрудников и тех, кто более 90 дней не находится на рабочем месте;
  • со стандартным уровнем защиты достаточно однофакторной аутентификации пользователя при подключении к системам банка, с усиленным нужна уже многофакторная;
  • помещения с устройствами, дающими доступ к системам банка, должны быть оборудованы средствами контроля доступа, видеонаблюдением и сигнализацией при усиленном уровне защиты;
  • с усиленным уровнем защиты требуется автоматическая фиксация неавторизованного подключения к банковскому Wi-Fi;
  • обновление ПО систем защиты при усиленном уровне должно быть автоматическим, при стандартном же достаточно ручного (организационного) способа.
  • другие ключевые требования — внедрение усиленной электронной подписи клиента, выполнение всех требований ФСБ при работе со средствами криптозащиты, уведомление ЦБ обо всех инцидентах информбезопасности, а также регистрация действий клиента и работников банка при обработке платежной информации, отмечает директор департамента информационной безопасности Росбанка Михаил Иванов.

Эти и другие меры, по замыслу ЦБ, призваны предотвратить несанкционированный доступ ко всем клиентским операциям. Раз в год банки должны тестировать информационные системы на возможность проникновения и анализировать уязвимости.

Программа развития РБК Pro Освойте 52 навыка за год
Программа развития — удобный инструмент непрерывного обучения новым навыкам для успешной карьеры

Почему банки оказались не готовы к атакам хакеров
Технологии и медиа
Фото:Григорий Сысоев / РИА Новости

Если банк получает статус, требующий перейти от стандартного к усиленному уровню защиты, ему дается полтора года на приведение своих систем в соответствие нормам. Положение о том, какие банки должны обеспечить какой уровень защиты, вступает в силу через полтора года — с 1 января 2021 года.

Требования заложили в бюджеты

ЦБ уже давно готовил банковский сектор к усилению требований по безопасности транзакций, так что для многих организаций это не новость, а скорее практика, сказал РБК директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. «К изменениям мы были готовы. Недостающие активности вроде аудита на соответствие ГОСТу мы закладывали в планы и бюджетировали в конце 2018 года», — пояснил Касимов.

В феврале 2019 года киберкриминалисты компании Group-IB подсчитали, что 74% российских банков не готовы к атакам киберпреступников. Это связано с невысоким уровнем организации защиты: отсутствием плана реагирования, невозможностью быстрой мобилизации ресурсов и т.д. При этом именно на банковский сектор, по данным Group-IB, приходится две трети кибератак на российские компании. По их подсчетам, кибератаки на финансовую сферу за год с лета 2017-го по лето 2018 года нанесли около 3 млрд руб. ущерба.

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

  

Лента новостей
Курс евро на 29 марта
EUR ЦБ: 99,71 (-0,56)
Инвестиции, 28 мар, 16:51
Курс доллара на 29 марта
USD ЦБ: 92,26 (-0,33)
Инвестиции, 28 мар, 16:51
The Telegraph сообщила о воюющих на стороне ВС Украины исламистах Политика, 03:18
Антонов назвал непристойными слова Байдена в адрес Путина Политика, 03:13
В Белгороде и Белгородском районе включили сирены ракетной опасности Политика, 02:51
Пентагон заявил о снижении риска эскалации конфликта на Украине Политика, 02:41
Лавров предупредил страны Африки о «приглашении к геноциду» в Крыму Политика, 02:36
Зеленский рассказал, сколько нужно Patriot для защиты промышленности Политика, 02:07
Захарова ответила поговоркой на сравнение чиновников с продавцами навоза Политика, 01:56
Здоровый сон: как легче засыпать и просыпаться
Интенсив РБК Pro поможет улучшить качество сна и восстановить режим
Подробнее
В Днепре и Черкассах прогремели взрывы Политика, 01:34
Лавров назвал пиаром заявления Макрона об отправке войск на Украину Политика, 01:26
Генштаб отправил в запас достигших 27-летия до 2024 года призывников Политика, 00:56
Пассажир впал в кому во время суточной задержки рейса из Таиланда Общество, 00:39
Генштаб пообещал не привлекать срочников весеннего призыва к спецоперации Политика, 00:35
Власти Казахстана призвали сограждан покинуть Одессу и Харьков Политика, 00:16
Одержит ли «Спартак» первую победу в этом году в РПЛ. Интриги тура Спорт, 00:00