Новый отраслевой стандарт Центробанка утвердил форму и порядок взаимодействия банков с подразделением по борьбе с киберугрозами

Новый отраслевой стандарт Центробанка утвердил форму и порядок взаимодействия банков с подразделением по борьбе с киберугрозами

Удивить, конечно, удивили, но причин для паники нет. Есть новый стандарт в рамках СТО БР. Ну и что? Формально он обязателен только для тех, кто принял СТО БР в качестве обязательного. Это подкреплено судебной практикой. А дальше — ничего. Если банк не принял СТО БР в качестве обязательного, то 1.5 формально не для него. Единственная возможность обязать все банки его выполнять — это выпустить ведомственный документ ЦБ, в котором будет прямая ссылка на 1.5. Зачем было городить огород с оформлением форматов электронных сообщений в виде стандарта — неясно. Может быть его проще править — возможно. Но формально должен появиться ведомственный документ ЦБ, который закрепит необходимость исполнение этого стандарта. Без него никак.

Это вызвало вопросы у рынка. «До появления данного стандарта существовало еще четыре, посвященных информационной безопасности, и банк мог сам решить — соблюдать их или нет,— рассуждает собеседник из банка топ-30.— Решение о соблюдении принималось руководством банка, соответствующее письмо направлялось в ЦБ, потом банк проходил сертификацию». При этом требования к информационной безопасности в этих стандартах были более жесткие и дорогостоящие, и многие банки не желали к ним присоединяться.

Однако уклониться от направления информации в АСОИ банк не может, форматы едины для всех, то есть не соблюдать пятый стандарт банки фактически не могут. Но присоединиться к одному стандарту, не приняв остальных, нельзя. «То есть хотят того банки или нет, но теперь придется соблюдать все пять стандартов»,— недоумевает менеджер российского банка.

Участники рынка ждут от Банка России разъяснений по данному вопросу. Ранее замглавы департамента информационной безопасности Банка России Артем Сычев заявлял, что в будущем намерен сделать обязательным применение требований стандартов для всех участников рынка.

Источник: Коммерсантъ


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации