Российские банки должны будут внедрить свыше 400 мер информбезопасности в соответствии с ГОСТом, разработанным Центробанком. Это следует из окончательной версии документа (есть в распоряжении «Известий»), который вступит в силу в 2019 году. Как пояснили в пресс-службе ЦБ, 329 банков уже добровольно начали внедрять новый ГОСТ.
По экспертным оценкам, кредитным организациям придется направить до 15% от чистой прибыли на перенастройку и усовершенствование своих систем в соответствии с требованиями документа.
Все требования к банкам в ГОСТе разделены на восемь блоков.Кредитные организации должны обеспечивать защиту информации при управлении доступом к учетным записям сотрудников, обязаны защищать свои внутренние программы и автоматизированные системы, контролировать целостность технических средств, принять меры по отражению атак с помощью вредоносных кодов, наладить управление инцидентами, связанными с киберхищениями средств. Кроме того, банки должны обеспечить защиту данных при удаленном доступе к учетным записям,
Что касается точечных мер, то банки, например, должны контролировать незаблокированные учетные записи уволенных сотрудников, работников, не появлявшихся в офисе более 90 дней, а также внештатников. Кредитные организации должны исключить бесконтрольное изменение пользователями параметров настроек средств и систем защиты информации. Контроль должен осуществляться за всеми лицами, которые пришли в офис банка, но при этом не являются его сотрудниками — в том числе с помощью систем видеонаблюдения. Архивы с видеозаписями должны храниться не менее 90 дней.
Защита от вредоносных программ должна осуществляться как на техническом уровне, так и на уровне внутренних систем кредитных организаций, межсетевого трафика, переносных устройств, банкоматов, платежных терминалов. В ГОСТе также указано, что должны регулярно проводиться проверки на уровень защиты банка от вредоносных кодов. Кроме того, банки должны ввести запрет на открытие самораспаковывающихся файлов, блокировать и анализировать не разрешенное их системами копирование данных конфиденциального характера.
— Разработка ГОСТа «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» является одной из мер, направленных на предотвращение хищений денежных средств на финансовом рынке страны, — пояснили «Известиям» в пресс-службе ЦБ. — Его основой стал отраслевой стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Также использовались нормативно-правовые акты Федеральной службы по техническому и экспортному контролю России.
По словам представителей ЦБ, сейчас более половины банков — 329 из около 600 действующих — добровольно начали внедрять ГОСТ в своей работе.
По оценкам гендиректора ИК «Форум» Романа Паршина, банкам придется направить до 15% от чистой прибыли на внедрение ГОСТа. По оценкам банкиров — не менее 3–5 млн рублей на каждый блок из комплекса мер. По словам Романа Паршина, средства пойдут на развитие систем безопасности банков и наем сотрудников, которые должны обладать повышенным уровнем навыков в сфере кибербезопасности.
В ЦБ не считают новый комплекс мер избыточным.
— Сокращение состава мер создаст уязвимости, которые смогут использоваться злоумышленниками для несанкционированных переводов денежных средств и иных компьютерных атак, — пояснили в пресс-службе ЦБ. — При этом цель выпуска ГОСТа не будет достигнута.
По словам начальника департамента информационной безопасности банка ТКБ Петра Курило, рынок давно ждал, что требования к банкам по кибербезопасности станут обязательными.
— Эти меры однозначно будут способствовать минимизации рисков, связанных с кибератаками, — считает Петр Курило. — Сам перечень требований довольно существенный, но излишними их назвать нельзя — в основном ГОСТ сформулирован с учетом лучших мировых практик и опыта по уже проанализированным инцидентам.
Руководитель направления аудита информбезопасности финансовых организаций компании Digital Security Андрей Гайко отметил, что многие требования ГОСТа касаются технических настроек уже существующих в банках механизмов защиты.
— Поэтому больше стоит говорить о рабочем времени сотрудников, которое будет затрачено на донастройку систем, — считает Андрей Гайко. — А это зависит от компетенции сотрудников и размера IT-инфраструктуры. У банков появятся новые пункты трат на обязательный анализ защищенности банковского программного обеспечения. Это новое требование.
Ведущий консультант по информационной безопасности «Инфосистемы Джет» Павел Новожилов добавил, чтоодной из ключевых тем нового ГОСТа является наличие сертифицированных средств защиты и прикладного программного обеспечения. Павел Новожилов уверен, что на реализацию данных требований по информбезопасности, связанных с сертификацией, банкам придется потратить значительные финансовые средства. Впрочем, по мнению эксперта, эти затраты окупятся, защитив банки от взломов.
Как ранее сообщали «Известия», объем хищений с банковских карт граждан за год упал на 55%, до 1,7 млрд рублей. По прогнозам ЦБ, в 2017 году улов мошенников будет ниже, чем в 2016-м, когда общий объем киберхищений с учетом атак на банки составил около 4 млрд рублей.
Компания ARinteg представила новое решение «Мастер ПДн» для автоматизации процессов, связанных с обработкой и защитой персональных данных. Тема ПДн остаётся одной из самых болезненных для бизнеса: утечки продолжаются, а штрафы за нарушения с мая 2025 года заметно выросли.
Пока рынок только адаптируется к новым требованиям, но во второй половине 2026 года ситуация может стать жёстче, особенно если регуляторы начнут активнее применять новые санкции.
«Мастер ПДн» предназначен для подготовки документов, необходимых при обработке персональных данных. Решение работает с разными системами кадрового учёта и помогает выстроить документацию вокруг процессов обработки ПДн — именно такой подход требуется регулятором.
По словам заместителя технического директора по консалтингу и аудиту ARinteg Олега Нестеровского, компаниям важно не просто формально подготовить документы, а собрать доказательную базу того, что они выполнили требования закона по защите персональных данных.
Новый продукт стал развитием уже существующего у ARinteg решения — модуля УПДн, совместимого с 1С:ЗУП. «Мастер ПДн» расширяет его возможности и позволяет автоматически формировать номенклатуру согласий для каждого субъекта ПДн с учётом целей обработки.
Также решение генерирует набор согласий для сотрудников в зависимости от их должностных обязанностей: на обработку, передачу и распространение персональных данных. Кроме того, с его помощью можно подготовить организационно-распорядительные документы с учётом последних изменений в законодательстве.
Среди основных функций «Мастера ПДн» — учёт процессов обработки персональных данных, ведение перечня обрабатываемых ПДн, определение уровней защищённости ИСПДн, а также подготовка документов по обработке и защите данных.
В ARinteg заявляют, что решение может сократить время подготовки регламентной документации до 90%. Для компаний это означает меньше ручной работы для юристов, кадровиков и специалистов по информационной безопасности при подготовке к проверкам регуляторов.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
