Ассоциация пользователей стандартов
по информационной безопасности АБИСС

ЦБ о расширении своих полномочий в сфере кибербезопасности

03.07.2018

Untitled-1(1).jpg

Банк России получил расширенные полномочия и теперь вправе регулировать вопросы защиты кибербезопасности во всех организациях кредитно-финансовой сферы. Об этом в ходе брифинга рассказал исполняющий обязанности директора департамента информационной безопасности Банка России Артем Сычев.

Ранее нормативные документы регулятора, посвященные информационной безопасности, были обязательны только для банков. Однако уже с октября этого года действия нормативных документов, касательно кибербезопасности, будут распространяться на страховые, микрофинансовые и иные поднадзорные организации.

"Мы получили сейчас возможность устанавливать соответствующие требования, которые мы должны будем согласовать с ФСБ и ФСТЭК... Это крайне важная новация", - рассказал Сычев.

Отметим, что еще в конце июня президент РФ Владимир Путин подписал поправки в закон "О национальной платежной системе" и связанные с ним подзаконные акты. В частности, поправки в закон "О Центральном банке Российской Федерации" наделяют Банк России правом по согласованию с ФСБ и ФСТЭК устанавливать обязательные требования по защите информации как для банков, так и для некредитных финансовых организаций. "Мы обязываем все организации, которые осуществляют денежные переводы, следовать признакам антифрода", - отметил представитель регулятора.

Первыми нормативными документами, которые разработает Банк России для некредитных финансовых организаций, станут два отраслевых стандарта, которые регулятор уже обсудил с профсообществом. Исполнение отраслевых стандартов является добровольным, при этом большинство обязательных требований уже содержится в государственном стандарте (ГОСТ 57580.1-2017, "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций"), который вступил в силу с 1 января.

Как рассказал Артем Сычев, с октября этого года банки должны будут оценивать риски несанкционированных переводов денежных средств и разработать свои критерии таких переводов. ЦБ в свою очередь разработает и к тому времени опубликует свои критерии потенциально мошеннических операций. В категорию сомнительных попадают операции по переводу средств со счета юрлица на множество счетов физлиц в других регионах, а также операции с "нестандартным" назначением платежа.

Банки также должны будут внедрить механизмы блокировки таких операций и внести изменения в действующие договоры с клиентами. При обнаружении признаков несанкционированного перевода средств банки обязаны приостановить исполнение платежа на срок до двух дней и запросить его подтверждение у клиента.

Также в законе прописан порядок действий банков в случае, когда клиенты сами сообщают в банк о том, что мошенники получили доступ к управлению их счетами.

Для обеспечения безопасности онлайн-платежей кредитные организации могут начать устанавливать антивирусы в свои мобильные приложения. Требования дополнительной идентификации клиента для проведения платежей через интернет с использованием раздельных технологий закреплены в изменениях в 382-П Банка России от 7 мая 2018 г.

Ранее ряд СМИ сообщил, что из-за данных требований клиентам банков придется иметь два смартфона. Однако Сычев пояснил, что усиление безопасности проведения платежей вовсе не приведет к необходимости наличия у клиентов двух телефонов. Банки могут выполнять эти требования, к примеру, путем встраивания антивирусов в свои мобильные приложения.

Новый закон, направленный на борьбу с мошенничеством с использованием банковских карт в РФ, не принесет дополнительных расходов для банков, которые всегда были озабочены этими вопросами. "Для большинства банков, которые всегда были озабочены этим вопросом, ничего не накладывает — для них ничего не меняется, у них практически все есть", — заверил и.о. директора департамента информбезопасности.ответил Сычев на вопрос о том, накладывает ли на банки новый закон дополнительные расходы.



Возврат к списку