Правила игры для банков продолжают меняться

09 дек 2022 03:40 #112152 от ICT
Положение Банка России №683-П – ключевой нормативно-правовой акт (НПА), регулирующий информационную безопасность и защиту информации в кредитных организациях. Оно было принято еще в июне 2022 года, но полное вступление в силу произойдет только с 1 января 2023 года. Прежняя версия Положения №683-П полностью дублировала ряд норм из утратившего силу Положения №382-П. Также, как отметил руководитель группы кибербезопасности в финансовой сфере BI.ZONE Артем Назаретян в ходе вебинара "Новое в положении Банка России № 683-П", устранен ряд нестыковок с законодательством и прочими НПА, касающимися защиты объектов критической информационной инфраструктуры (КИИ). Директор технического департамента RTM Group Федор Музалевский также обращает внимание на устранение противоречий с другими документами, такими, как 719-П: "В частности, относительно работ по ОУД4 - теперь банки однозначно должны проверять не только саму систему дистанционного банковского обслуживания (ДБО) на уязвимости, но и оценивать процесс разработки. Также дано послабление: банки могут делать это самостоятельно, не прибегая к услугам сторонних аудиторов. Это не сможет не сказаться негативно на качестве и строгости проверок. Фактически, контроль за безопасностью мобильного банкинга отдан самим разработчикам, что недопустимо". По оценке руководителя направления по работе с клиентами Aktiv.Consulting Олега Симакова, речь идет о своевременных технических уточнениях. Также ЦБ связал меры по реагированию с системой управления рисками ИБ по Положению 716-П. Директор по развитию продуктов Центра цифровых решений для бизнеса компании BSS Станислав Шилов обращает внимание на то, что требования к банкам серьезно ужесточились: "Это касается и процессов, и технических требований. Видно, что новые регуляции в целом следуют в русле более строгого контроля за выполнением банками требований по ИБ, а также адресуют отдельные актуальные угрозы (например, требование о контроле банками принадлежности мобильного телефона физлицу)". Одним из ключевых нововведений Положения №683-П, как напомнил Артем Назаретян, которое вступает в силу с 1 января 2023 года, является то, что соответствие ГОСТ Р 57580 может подтверждать только внешний аудитор, который должен иметь лицензию от ФСТЭК. Раньше было достаточно самопроверки. Олег Симаков полагает, что наибольшие сложности вызывает сертификация программного обеспечения автоматизированных систем в системе ФСТЭК России, т.к. это достаточно длительный по времени процесс, а также требующий привлечения высококвалифицированных специалистов от разработки и ИБ. Еще одним важным новшеством, по оценке Артема Назаретяна, является то, что при уведомлении регулятора об инциденте необходимо уведомлять регулятора не только о самом факте, но и о мерах реагирования. Также Центральный Банк необходимо уведомлять о мерах по раскрытию информации через СМИ и Интернет. Также необходимо защищать любую информацию, необходимую для переводов денежных средств. При этом, как обратил внимание Артем Назаретян, требуется идентификация не только номера телефона и устройства клиента, но и его адреса электронной почты. Также вводится требования использования усиленной электронной подписи или средств криптографической защиты для обеспечения целостности электронных сообщений. Как предупреждает Федор Музалевский, данные требования могут оказаться трудновыполнимыми или вообще невыполнимыми: "Требование по использованию криптографии ставит "вне закона" SMS и push-уведомления, требуя гостовского шифрования и идентификации устройства клиентов, что труднореализуемо (а на iPhone нереализуемо вовсе). Это ставит банки в парадоксальную ситуацию - требование есть, а возможности его выполнить – нет". Станислав Шилов считает, что наибольшие трудности, как показывает опыт, вызывает ужесточение требований по обеспечению целостности электронных сообщений. Формулировка "буквы" требований такова, что целый ряд упрощенных технологических решений, которые банки использовали в массовом сегменте (например, SMS-подпись в решениях для физических лиц), оказывается не соответствующим регуляциям. Ссылка на источник


  • Сообщений: 103417

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Правила игры12.96Вторник, 05 мая 2015
    Близкие родственники смогут меняться sim-картами9.65Понедельник, 22 апреля 2019
    Россияне смотрели Олимпиаду в Пекине больше, чем игры в Пхенчхане, но меньше, чем игры в Сочи9.47Вторник, 22 февраля 2022
    Эксперты: рынок классических телефонных услуг умирает, операторы должны меняться9.25Вторник, 01 декабря 2015
    «1С-Рарус» представила решение «1С:CRM для Банков» для автоматизации фронт-офиса банков9.18Вторник, 17 января 2017
    Конспекты, Q&A: Как будут меняться тарифы МТС и Билайн в 2015 году? Откажутся ли компании от внутрисетевого роуминга?9.06Понедельник, 22 декабря 2014
    LTE-устройства продолжают расти7.69Пятница, 08 мая 2015
    Facebook продолжают штрафовать7.69Воскресенье, 26 января 2020
    Продажи ПК в мире продолжают падать7.6Вторник, 13 января 2015
    Российские ритейлеры продолжают снижение цен на смартфоны7.52Вторник, 26 апреля 2016

    Мы в соц. сетях