В конце февраля многие мои коллеги из банковской сферы получили письмо ЦБ РФ №27-Т "О запросе и получении от кредитных организаций информации" с текстом:
"В целях расширения информационной основы банковского надзора в части применения кредитными организациями информационных технологий, в том числе интернет-технологий и других технологий дистанционного банковского обслуживания, прошу запросить и получить от кредитных организаций информацию в соответствии с прилагаемым перечнем вопросов (анкетой).
Полученную от кредитных организаций информацию прошу направить в Департамент банковского надзора в срок до 30 апреля 2013 года."
Вот банки и стали в срочном порядке (ответить-то надо до 30.04) собирать информацию. Но это оказалось не так-то просто. ЦБ прислал довольно "увесистый" опросник, в котором основной темой стала именно информационная безопасность. Спрашивают по следующим темам:
- Общая информация о кредитной организации (КО), 5 вопросов.
- Информация об организации противодействия противоправной деятельности с использованием информационных технологий (ПДИИТ), 22 вопроса.
- Информация об организации внутреннего контроля (ВК) в части противодействия ПДИИТ, 2 вопроса.
- Информация об организации финансового мониторинга в части противодействия ПДИИТ, 6 вопросов.
- Информация об организации службы информационной безопасности (ИБ) в части противодействия ПДИИТ, 16 вопросов.
- Информация об организации противодействия ПДИИТ при ДБО клиентов с применением программно-технических устройств, предназначенных для совершения операций с использованием платёжных карт (ПТУПК), 6 вопросов.
- Информация об организации противодействия ПДИИТ при осуществлении взаимодействия с клиентами - пользователями систем ДБО, 25 вопросов.
- Мнение КО, 3 вопроса.
Отвечать предлагают просто "Да", "Нет", "НВП" ("Невозможно предоставить", в случае, если подготовка ответов на те или иные вопросы анкеты вызывает существенные затруднения или требует чрезмерных трудозатрат) или "ИОД" (Если затребуемые сведения не могут быть предоставлены ввиду того, что КО в соответствии с требованиями внутренних документов относит их к информации ограниченного доступа). При этом желатьельно ответы давать с комментариями. Кстати, полагаю, что "Нет" на вопросы регулятора лучше не отвечать...
Похоже, что это такой пробный "проход" по банкам с целью понять состояние безопасности, и, видимо, скоро уже пойдут с проверками и соответствующими санкциями...
Коллеги-интеграторы, готовьтесь к спросу на консалтинг по ИБ для банков!
P.S. Кстати, если еще не видели обновление требований по ПДн, то эта презентация для Вас - http://www.securitylab.ru/blog/personal/80na20/29063.php
Коллеги-интеграторы, готовьтесь к спросу на консалтинг по ИБ для банков!
P.S. Кстати, если еще не видели обновление требований по ПДн, то эта презентация для Вас - http://www.securitylab.ru/blog/personal/80na20/29063.php