Требования к кибербезопасности российских банков ужесточат
В распоряжение СМИ попал документ с новыми требованиями по кибербезопасности для российских банков с 2020 года. Поправки в положение Центробанка №382-П зарегистрировал Минюст, а во вторник территориальные подразделения ЦБ направили их текст банкам, пишет «Коммерсантъ».
Документ вводит новые обязательные требования к защите информации, например, применение в банках ПО, сертифицированного Федеральной службой по техническому и экспортному контролю. Банки обяжут ежегодно проводить пентесты, и раз в полгода — внешний аудит кибербезопасности.
С 1 января 2020 года вводится требование по внедрению «раздельных информационно-коммуникационных технологий» при проведении платежей через интернет или с использованием систем «банк-клиент», что потребует внесения изменений как в автоматизированную банковскую систему, так и в «банк-клиенты», установленные у клиентов. Альтернативным вариантом защиты клиента от несанкционированных списаний является введение ограничений — на максимальную сумму перевода, список возможных получателей средств, период проведения платежей и перечень устройств, с которых они могут отправляться.
Сроки реагирования на инциденты не определены. Источник газеты сообщил, что их будет регламентировать отдельный документ, которого стоит ожидать в ближайшее время.
Напомним, в начале июня глава департамента информационной безопасности Центробанка России Артем Сычев заявил, что ни один российский банк не соответствует в полной мере требованиям кибербезопасности, установленным ЦБ. Вместе с тем, по его словам, в российских банках «все сделано более-менее нормально»: так, банковскую систему РФ не затронула волна вирусов-шифровальщиков.
Подписаться на новости
Обсудить
Документ вводит новые обязательные требования к защите информации, например, применение в банках ПО, сертифицированного Федеральной службой по техническому и экспортному контролю. Банки обяжут ежегодно проводить пентесты, и раз в полгода — внешний аудит кибербезопасности.
С 1 января 2020 года вводится требование по внедрению «раздельных информационно-коммуникационных технологий» при проведении платежей через интернет или с использованием систем «банк-клиент», что потребует внесения изменений как в автоматизированную банковскую систему, так и в «банк-клиенты», установленные у клиентов. Альтернативным вариантом защиты клиента от несанкционированных списаний является введение ограничений — на максимальную сумму перевода, список возможных получателей средств, период проведения платежей и перечень устройств, с которых они могут отправляться.
Сроки реагирования на инциденты не определены. Источник газеты сообщил, что их будет регламентировать отдельный документ, которого стоит ожидать в ближайшее время.
Напомним, в начале июня глава департамента информационной безопасности Центробанка России Артем Сычев заявил, что ни один российский банк не соответствует в полной мере требованиям кибербезопасности, установленным ЦБ. Вместе с тем, по его словам, в российских банках «все сделано более-менее нормально»: так, банковскую систему РФ не затронула волна вирусов-шифровальщиков.
Назад