С 1 июня для российских банков официально «зажглась» еще одна путеводная звезда в сфере информационной безопасности. Вступило в силу Положение Центробанка № 683-П (за исключением нескольких требований, которые начнут действовать в 2020 и 2021 году), в котором описаны обязательные требования к защите IT-систем и приложений.

Суть защиты сводится к регулярному аудиту этих самых систем и приложений, которые банки используют при открытии вкладов, выдаче кредитов, оформлении и ведении счетов граждан и компаний.

В частности, документ обязывает банки один раз в год проводить анализ уязвимостей в ПО с привлечением лицензированных аудиторов по технической защите конфиденциальной информации. И один раз в два года – оценивать соответствие уровня защиты информации требованиям ГОСТа.

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев называет документ неоднозначным:

– У банков уже есть кипа международных, федеральных и отраслевых документов с обязательными требованиями к защите данных. Так что банковский сектор в целом лучше других отраслей защищен от киберрисков и инсайдерских угроз. Но, как показывает свежее исследование, 54% банков уязвимы к хищению клиентских денег. Сразу отмечу, эта цифра связана с правилами игры на рынке, а не с тем, что банки не могут выстроить надежную защиту. Им нужно быстрее запустить услугу или новый продукт – и вопрос безопасности отходит на второй план. 

Возможно именно поэтому к длинному набору требований добавилось еще одно – привлекать на аудит внешних подрядчиков. Все логично, аудитор со стороны оценит ситуацию непредвзято, и это пойдет компании на пользу. Но толковые банки итак привлекают внешние команды специалистов для оценки уязвимостей и поиска проблемных мест в цифровой защите. То есть те банки, которые действительно беспокоятся об уровне ИБ и своей репутации, уже выполняют требования Центробанка без дополнительных распоряжений.

В одном из банков Якутии два менеджера украли 1,4 млн рублей с 23 клиентских счетов. Читать дальше.

А вот для банков или их отдельных подразделений, которым не чужд формальный подход к делу, документ ЦБ открывает лазейку. Положение не дает никаких четких требований к методикам проверки, и по факту банк может выбрать ту компанию, которая обеспечит требуемый от нее результат.

По этой причине положение ЦБ выглядит здравым, но недостаточно директивным. Оно вводит новый процесс, описывает его цель и желаемый результат, а как этот результат должен быть получен – не сообщает. Это создает поле для разночтений. Поэтому важно не погубить хорошую идею посредственной реализацией.