ЦБ усилил контроль информационной безопасности финансовых организаций

ЦБ призывает системно значимые банки и ряд других категорий финансовых организаций усилить уровень защиты информации, для организации противодействия киберпреступности. С этой целью Центробанк расширил список требований к работе с данными компаний. Документ с соответствующим постановлением был опубликован на официальном сайте организации.

Что ЦБ предлагает изменить кредитным финансовым организациям

Ранее на системно значимые банки была возложена обязанность по обеспечению информационной безопасности при работе с переводами средств клиентов. Согласно новому постановлению, список операций был расширен. ЦБ призывает финансовые организации обеспечивать информационную безопасности в ряде случаев, к которым относятся:

• привлечение средств во вклады (для физических и юридических лиц);
• процесс размещения денежных средств;
• работа с банковскими счетами (их открытие и обслуживание для физических и юридических лиц).

Первыми выполнить новые требования обязаны системно значимые банки. В настоящий момент в данную категорию включено 11 финансовых организаций. Ранее Сбербанк, входящий в список системно значимых банков, рассказал о том, что у него достаточно ресурсов для полноценной защиты от кибератак. Борьба с киберпреступностью стала одним из основных направлений в работе специалистов компании.

При этом ранее команда международной компании Positive Technologies выяснила, что у всех онлайн-банков есть уязвимости. В исследовании были задействованы финансовые организации РФ и восточной Европы.

Изменения также коснутся операторов платежной инфраструктуры системно значимых банков и ряда значимых (на рынке платежных услуг) банков. Требования для других категорий финансовых организаций останутся прежними.

В случае изменения банком своей категории (например, включение в список системно значимых финансовых организаций), ЦБ отводит 18 месяцев на работу по формированию условий для соответствия установленным требованиям.

Повышение защиты через организацию мониторинга

Еще одним условием, направленным на усиление безопасности, стало проведение ежегодного тестирования действующих систем. Специалисты должны исследовать возможности проникновения злоумышленников и вероятные уязвимости. Для этого, согласно постановлению ЦБ, организации обязуются привлекать лицензированные компании, специализирующиеся на киберзащите данных.

При этом, кредитные организации обязуются доносить до клиентов информацию о возможных угрозах. В том числе, о рисках получения несанкционированного доступа к имеющимся данным.

Одной из распространенных проблем в области защиты информации финансовых организаций является фишинг. Согласно данным исследования Лаборатории Касперского, распределение активности хакеров в данной области (по данным 2018 года), выглядит следующим образом:

Отношение ЦБ к безопасности некредитных организаций

Требования Центробанка к уровню организации защиты некредитных финансовых организаций (НФО), согласно новому положению, разнятся, в зависимости от особенностей их профильной сферы. Максимум требований обращен к компаниям, носящим статус центральных контрагентов или депозитариев. Стандартные требования направлены на:

• специализированные депозитарии;
• клиринговые организации;
• представителей торгового сектора (организаторов торговли);
• страховых агентов;
• негосударственные пенсионные фонды;
• репозитарии;
• ряд участников рынка ценных бумаг.

НФО, не входящие в указанные категории, должны будут соблюдать упрощенные требования.

Целью документа стало формирование условий противодействия киберпреступности, а также снижение рисков проведение несанкционированных финансовых операций. НФО, наравне с кредитными операциями, должны проводить ежегодный мониторинг систем безопасности.

Источник