Гайки не зажаты: почему новое положение ЦБ не гарантирует защиту вкладов?

05.06.2019

Вернуться к списку статей

С 1 июня для российских банков официально «зажглась» еще одна путеводная звезда в сфере информационной безопасности. Вступило в силу Положение Центробанка № 683-П (за исключением нескольких требований, которые начнут действовать в 2020 и 2021 году), в котором описаны обязательные требования к защите IT-систем и приложений.

Суть защиты сводится к регулярному аудиту этих самых систем и приложений, которые банки используют при открытии вкладов, выдаче кредитов, оформлении и ведении счетов граждан и компаний.

Попробовать бесплатно продукты «СёрчИнформ»

 

В частности, документ обязывает банки один раз в год проводить анализ уязвимостей в ПО с привлечением лицензированных аудиторов по технической защите конфиденциальной информации. И один раз в два года – оценивать соответствие уровня защиты информации требованиям ГОСТа.

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев называет документ неоднозначным:

– У банков уже есть кипа международных, федеральных и отраслевых документов с обязательными требованиями к защите данных. Так что банковский сектор в целом лучше других отраслей защищен от киберрисков и инсайдерских угроз. Но, как показывает свежее исследование, 54% банков уязвимы к хищению клиентских денег. Сразу отмечу, эта цифра связана с правилами игры на рынке, а не с тем, что банки не могут выстроить надежную защиту. Им нужно быстрее запустить услугу или новый продукт – и вопрос безопасности отходит на второй план. 

Возможно именно поэтому к длинному набору требований добавилось еще одно – привлекать на аудит внешних подрядчиков. Все логично, аудитор со стороны оценит ситуацию непредвзято, и это пойдет компании на пользу. Но толковые банки итак привлекают внешние команды специалистов для оценки уязвимостей и поиска проблемных мест в цифровой защите. То есть те банки, которые действительно беспокоятся об уровне ИБ и своей репутации, уже выполняют требования Центробанка без дополнительных распоряжений.


В одном из банков Якутии два менеджера украли 1,4 млн рублей с 23 клиентских счетов. Читать дальше.


А вот для банков или их отдельных подразделений, которым не чужд формальный подход к делу, документ ЦБ открывает лазейку. Положение не дает никаких четких требований к методикам проверки, и по факту банк может выбрать ту компанию, которая обеспечит требуемый от нее результат.

По этой причине положение ЦБ выглядит здравым, но недостаточно директивным. Оно вводит новый процесс, описывает его цель и желаемый результат, а как этот результат должен быть получен – не сообщает. Это создает поле для разночтений. Поэтому важно не погубить хорошую идею посредственной реализацией.


Законодательство Алексей Парфентьев


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика). Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.