МОСКВА, 28 июн — ПРАЙМ. Российские банки и операторы услуг платежной инфраструктуры с 1 июля 2018 года будут на обязательной основе сообщать в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России о хакерских атаках и их технических параметрах, говорится в сообщении пресс-службы регулятора.

Минюст 22 июня зарегистрировал указание ЦБ, которое сделало требование к банкам информировать регулятор об атаках кибермошенников обязательным. В настоящее время кредитно-финансовые организации выступают участниками информационного обмена с ФинЦЕРТом на добровольной основе.

"Банки и операторы услуг платежной инфраструктуры с 1 июля 2018 года обязаны сообщать в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России о хакерских атаках и их технических параметрах. Раньше они делали это на добровольной основе", — поясняет ЦБ.

Регулятор отмечает, что полученную от банков информацию будет использовать для выработки рекомендаций участникам финансового рынка по противодействию выявленным киберугрозам, к которым относятся несанкционированные переводы денежных средств, нарушение бесперебойности оказания платежных слуг, в том числе несанкционированный доступ к устройству, эксплуатация уязвимости, вредоносный код, DDoS-атака, подбор паролей, фишинг и так далее.

Хакер

Group-IB: Хакеры рассылали фишинговые письма банкам от имени Kaspersky Lab и ЕЦБ

Зампред ЦБ Дмитрий Скобелкин в феврале сообщал, что регулятор планирует сделать обязательным участие финансовых организаций в информационном обмене с ФинЦЕРТом с целью выявления и предотвращения киберугроз. Замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев пояснил, что участие банков в информационном обмене с ФинЦЕРТом может стать обязательным с момента вступления в силу изменений в положение 382-П, а для остальных участников рынка — "чуть позже".

НОВЫЕ ТРЕБОВАНИЯ

Документ вводит ряд обязательных требований к защите информации кредитных организаций.

Согласно указанию, кредитные организации для повышения качества защиты от киберугроз должны использовать для перевода денежных средств только сертифицированное программное обеспечение и проводить его периодическое тестирование. При этом оценивать соответствие уровня защиты будут организации, имеющие лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Станет обязательным и оценивание выполнения требований к обеспечению защиты информации при переводах денежных средств сторонними организациями, привлекаемыми к проведению оценки соответствия.

С 1 января 2020 года вводится требование ежегодного тестирования на проникновение и анализ уязвимостей информационной безопасности. Для этого банкам нужно будет привлекать внешнего аудитора.

Также с 2020 года внедряется условие об обязательном разделении программных сред подготовки и подтверждения платежей, в том числе при использовании систем дистанционного банковского обслуживания. "Это поможет защитить клиентов банков от хакерских атак", — уверены в Банке России.

Бум биткоина остался позади?

Если же данное требование выполнить не будет возможным, то банк будет устанавливать клиенту ограничения на максимальную сумму перевода, перечень возможных получателей средств, временной период совершения платежей, географическое местоположение устройств и перечень устройств, с которых могут отравляться платежи.

Отмечается, что документ формирует правовую основу для импортозамещения в инфраструктуре значимых платежных систем российскими средствами криптографической защиты информации, имеющими подтвержденное соответствие требованиям, установленным ФСБ.