ЦБ рекомендовал банкам найти замену зарубежной информбезопасности

Регулятор не уточнет, что именно нужно сделать
30 марта 2022, 13:26
ЦБ рекомендовал банкам найти замену зарубежной информбезопасности
Банки
Кибербезопасность
Россия

Российские банки 28 марта получили письмо ЦБ с просьбой применить некие «компенсирующие меры» для обеспечения информационной безопасности, но без уточнения, что именно организациям нужно сделать. Кредитные организации опасаются, что в нынешних условиях им сложно будет доказать регулятору достаточность своих усилий.

Регулятор пояснил «Коммерсанту», что письмо отправлено «для поддержки участников финансового рынка» и что регулятор «принял решение пересмотреть порядок применения мер в отношении банков за нарушения».

При этом там не ответили, что конкретно делать банкам и готовятся ли дополнительные разъяснения. Регулятор сослался на ГОСТ «Безопасность финансовых (банковских) операций…», но и там нет четкого описания мер.

Источник газеты сказал, что предписания ЦБ по части платежной системы регулятора и клиентских платежей: удаленного банковского обслуживания, мобильных приложений. Оно также коснется систем антифрода, периметровой защиты, но не имеет отношения к показателям бесперебойности СБП и реагирования на инциденты по несанкционированным платежам.

Банки предполагают, что меры будут «изобретать самостоятельно». Глава компании «Киберполигон» Лука Сафонов сказал, что конкретные шаги зависят от уязвимостей, на закрытие которых они направлены.

При этом сейчас местные решения есть только для 10% санкционного оборудования крупных банков и 30% небольших. На форумах участники сферы ИБ обсуждают замену Oracle на решение ЦФТ. В ГОСТ есть пункт по применению трех антивирусов, но многие компании покинули рынок, поэтому выполнить требование не получится. Компенсирующим методом можно считать использование двух антивирусов, которые могут обеспечить нужный уровень защиты.

По словам управляющего RTM Group Евгения Царева, обычно банки пользовались антивирусами от «Лаборатории Касперского», Dr.Web, ESET, McAfee, Trend Micro, Norton, сейчас остались только решения первых двух компаний.

Среди других задач банка — доказать ЦБ правильность выбранных решений. По словам независимого эксперта по кибербезопасности Алексея Лукацкого, так как на практике проверяющим из регулятора непросто доказать достаточность компенсирующих мер, подобное письмо приведет к тому, что специалистам придется больше заниматься «бумажной безопасностью» и писать для регулятора доказательства, а не заниматься реальными проблемами.

Фото на обложке: YAKOBCHUK VIACHESLAV / Shutterstock

Авторы
Карина Пардаева
Карина Пардаева
Редактор новостного отдела
Подписаться на телеграм-канал
Публикации по теме
Новости по теме