Российские банки 28 марта получили письмо ЦБ с просьбой применить некие «компенсирующие меры» для обеспечения информационной безопасности, но без уточнения, что именно организациям нужно сделать. Кредитные организации опасаются, что в нынешних условиях им сложно будет доказать регулятору достаточность своих усилий.
Регулятор пояснил «Коммерсанту», что письмо отправлено «для поддержки участников финансового рынка» и что регулятор «принял решение пересмотреть порядок применения мер в отношении банков за нарушения».
При этом там не ответили, что конкретно делать банкам и готовятся ли дополнительные разъяснения. Регулятор сослался на ГОСТ «Безопасность финансовых (банковских) операций…», но и там нет четкого описания мер.
Источник газеты сказал, что предписания ЦБ по части платежной системы регулятора и клиентских платежей: удаленного банковского обслуживания, мобильных приложений. Оно также коснется систем антифрода, периметровой защиты, но не имеет отношения к показателям бесперебойности СБП и реагирования на инциденты по несанкционированным платежам.
Банки предполагают, что меры будут «изобретать самостоятельно». Глава компании «Киберполигон» Лука Сафонов сказал, что конкретные шаги зависят от уязвимостей, на закрытие которых они направлены.
При этом сейчас местные решения есть только для 10% санкционного оборудования крупных банков и 30% небольших. На форумах участники сферы ИБ обсуждают замену Oracle на решение ЦФТ. В ГОСТ есть пункт по применению трех антивирусов, но многие компании покинули рынок, поэтому выполнить требование не получится. Компенсирующим методом можно считать использование двух антивирусов, которые могут обеспечить нужный уровень защиты.
По словам управляющего RTM Group Евгения Царева, обычно банки пользовались антивирусами от «Лаборатории Касперского», Dr.Web, ESET, McAfee, Trend Micro, Norton, сейчас остались только решения первых двух компаний.
Среди других задач банка — доказать ЦБ правильность выбранных решений. По словам независимого эксперта по кибербезопасности Алексея Лукацкого, так как на практике проверяющим из регулятора непросто доказать достаточность компенсирующих мер, подобное письмо приведет к тому, что специалистам придется больше заниматься «бумажной безопасностью» и писать для регулятора доказательства, а не заниматься реальными проблемами.
Фото на обложке: YAKOBCHUK VIACHESLAV /
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Регистрация бизнеса: самозанятoсть, ИП или ООО»
- 1 Акции VK выросли после завершения редомициляции Skillbox в Россию
- 2 Средний кредитный рейтинг россиян опустился до шестилетнего минимума
- 3 ЦБ зарегистрировал первую в 2025 году новую платежную систему
- 4 ЦБ повысил территориальные коэффициенты ОСАГО в 18 регионах России
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025