Киберзащита дорожает!

Киберзащита дорожает!

Тенденция на постоянный рост цены информационной безопасности неизменна. Подавляющее большинство банков не могут себе ее позволить. При этом, наблюдая за происходящим в системах ДБО не могу не согласиться с необходимостью новых требований.

В соответствии с новым документом, зарегистрированным Минюстом, вводятся новые требования по кибербезопасности для банков. Они подразумевают и ряд обязательных процедур. Среди них, например, применение в банках программного обеспечения, сертифицированного ФСТЭК. По словам консультанта по безопасности Cisco Алексея Лукацкого, часто разработчики программ для банков пренебрегают сертификацией, в итоге в программах выявляются уязвимости, которые используют хакеры: «ЦБ неоднократно указывал разработчикам на эту проблему, но рычагов влияния на них у регулятора нет, и потому было принято решение побудить банки отказаться от несертифицированного ПО». Кроме того, у банков появится обязанность проводить ежегодные пентесты, а дважды в год — внешний аудит кибербезопасности. Сейчас банки могут ограничиваться собственной оценкой, все остальное исключительно добровольно. И для банков, и для их клиентов важной новацией будет требование по внедрению «раздельных информационно-коммуникационных технологий» при проведении платежей через интернет или с использованием систем «банк—клиент».

Выполнение этих требований дорого обойдется не только банкам, но и их клиентам. Однако в ЦБ уверены, что расходы не будут чрезмерными. «Экономические последствия введения новых требований обсуждались с профессиональным сообществом, было достигнуто взаимопонимание,— заверили в пресс-службе регулятора.— Расходы будут пропорциональны бизнес-моделям конкретных банков».

Однако один из наиболее важных для участников рынка вопросов реформы системы информационной безопасности в банковском секторе так и остался без ответа: не определены сроки реагирования на инциденты. Обсуждая грядущие поправки, регулятор не раз говорил о необходимости чрезвычайно оперативного реагирования на инциденты, работе в режиме 24/7, однако вопрос остался за рамками документа. По словам собеседника “Ъ”, знакомого с позицией ЦБ, регулятор готовит отдельный документ, который появится в ближайшее время.

Источник: Коммерсантъ


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации