Банк России разработал проект указания о внесении изменений в Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.
Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.
-
Никита Нецкин
Руководитель направления по работе с финансовым сектором, Актив
Документ призван поднять уровень безопасности денежных переводов и как минимум заставит банки более внимательно отнестись к проблеме мошенничества в данной сфере. О многих изменениях речь шла довольно давно, и дальновидные банки уже подготовились к нововведениям.
В системах дистанционного банковского обслуживания от ведущих разработчиков уже реализована поддержка решений класса TrustScreen, что позволяет клиенту осуществлять подтверждение реквизитов платежа в доверенной среде вне операционной системы. Но нужно быть внимательным, так как не все представленные на рынке решения имеют сертификат на СКЗИ.
Информирование о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, также пойдет рынку на пользу. К сожалению, в банковском секторе есть недобросовестные игроки, которые экономят на безопасности, и соответственно, переносят свои собственные риски на клиентов. Бороться с ними можно только введением нормативных документов.
Комментарии остальных экспертов доступны в полной версии статьи на сайте SecurityLab.ru.