ЦБ ужесточил требования по ИБ для российских банков

Отныне Центральный Банк Российской Федерации будет требовать защищать от кибератак данные по депозитам и счетам клиентов. Особое внимание отводится автоматизации ИБ крупнейших банков.

Новое положение ЦБ РФ, опубликованное 21 мая 2019 на официальном сайте сайте обязывает кредитные организации обеспечивать информационную безопасность таких банковских операций, как привлечение денежных средств физических и юридических лиц во вклады, размещение привлеченных средств от своего имени и за свой счет, открытие и ведение банковских счетов физических и юридических лиц и ряд других. Ранее кредитные организации должны были обеспечивать информационную безопасность только при проведении операций по переводу денежных средств.

Для всех банков кроме системно значимых будет действовать стандартный уровень защиты информации. Системно значимые банки обязаны будут перейти на усиленный уровень защиты. К таким организациям отнесены:

  • Сбербанк
  • ВТБ
  • Альфа-банк
  • Газпромбанк
  • Промсвязьбанк
  • Райффайзенбанк
  • РСХБ
  • Росбанк
  • Московский кредитный банк
  • ЮниКредит Банк
  • ФК Открытие
  • Национальный расчетный депозитарий
  • А также 30 значимых на рынке платежных услуг организаций. Туда входят: «Тинькофф», «Восточный», Почта Банк, МТС-банк, Совкомбанк и другие.

Базовые принципы стандартного и усиленного режима защите информации прописаны в ГОСТе от 2017 года. Различаются подходы тем, нужно ли для защиты информации применять технические меры и средства (с помощью аппаратных и программных систем) или же организационные:

  1. Крупные банки с усиленным режимом ЗИ должны блокировать учетные записи уволенных сотрудников при ненахождении на рабочем месте свыше 90 дней;
  2. Усиленный режим ЗИ требует многофакторной аутентификации, стандартному же достаточно однофакторной;
  3. Помещения с устройствами управления доступами должны быть защищены СКД и системой видеонаблюдения;
  4. При усиленном режиме дополнительно — сигнализация в данных выделенных помещениях;
  5. Фиксация авторизации в банковском Wi-Fi при усиленном режиме защиты информации;
  6. При стандартном режиме обновление ПО может проходить в ручном режиме, в усиленном режиме ЗИ — только в автоматическом;
  7. Использование усиленной ЭП;
  8. Соблюдение требований ФСБ при работе с криптографией и СКЗИ;
  9. Уведомление ЦБ обо всех инцидентах ИБ;
  10. Ежегодное тестирование систем на возможное проникновение и надежность.

Данные меры призваны обеспечить несанкционированный доступ к клиентским операциям банков РФ.

По материалам РБК.