Сегодня требований по безопасности систем ДБО пруд пруди:
- раздел 7.6 СТО БР ИББС, за который отвечает ГУБиЗИ Банка России
- Положение 382-П, за которое отвечает ДРР Банка России
- упомянутые вчера требования по защите ДБО, разработанные ДИС Банка России вместе с Российской Академией Наук
- требования ФСТЭК по защите персональных данных, т.к. до сих пор так никто ответа и не дал, как же защищать персданные при осуществлении денежных переводов — по 161-ФЗ или по 152-ФЗ
- требования ФСБ по применению СКЗИ, в т.ч. и для ДБО
- рекомендации НП НПС и АРБ по реагированию на инциденты в ДБО
- Письмо 60-Т от 27.04.2007 «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)»
- Письмо 197-Т от 7.12.2007 «О рисках при дистанционном банковском обслуживании»
- Письмо 36-Т от 31.03.2008 «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга»
- Письмо 11-Т от 30.01.2009 «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»
- Письмо 141-Т от 26.10.2010 «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания».
Визуально это выглядит так:
Внушительный список. Где-то это обязательные требования, где-то рекомендации. Но вопрос, которым задаются банки, в другом. Почему нет требований к разработчикам АБС и систем ДБО? Почему регулируют только банки? Потому что у них есть деньги? Или потому что у них есть отраслевой регулятор, а у разработчиков ДБО нет?
А ведь помимо разработчиков АБС немалое число проблем приносят злоумышленники, которых либо не ловят, а если ловят, то дают условные сроки или вовсе отпускают. А еще есть клиенты, малознакомые с вопросами информационной безопасности. А почему нет роликов по повышению осведомленности клиентов в области
информационной безопасности? Предусматривает ли программа повышения
финансовой грамотности россиян, о которой так давно говорят наши власти,
вопросы ИБ при осуществлении финансовых транзакций?
Но ни преступников, ни клиентов особо не трогают, концентрируя весь набор требований на банках. Оно и понятно — проще. Это вам не внесение изменений в Уголовно-процессуальный кодекс. И не написание разъяснений для судей и следователей. И не регулярное их обучение. И не поиск баланс в 9-й статьей ФЗ-161. На все это требуется время и усилия по продвижению изменений. А выпустить требования по защите гораздо проще. Только вот в какой-то момент должно произойти переполнение чаши терпения. И вот тогда я даже не берусь предсказывать, к чему это все может привести…
Не все-так просто с суточным лимитом. Если ПЦ "свой", то несколько проще, если ПЦ "не свой", то обмен инфой о транзакциях происходит несколько раз в сутки и отследить превышение можно только постфактум, когда это попадет в АБС. Это надо не банкам вкатывать требования, но и на других участников платежных систем.
Ну и какие суточные лимиты? Вы о чем, тут бы клиентов отучить записывать пин на пластике или приклеивать его на бумажке сверху.
Да и кому нужны суточные лимиты как мера безопасности, если сегодня тебе нужно 500 рублей, а завтра может быть покупка на 50 тыс. Граждане (если дать им такую возможность) будут ставить себе максимально возможный, ибо остальное неудобно…
Упс, не в тот пост 🙁
А что конкретно имеется ввиду под требованиями и методическими рекомендациями ФСБ по применению СКЗИ? Я недавно начал работать в данной сфере и не очень хорошо ориентируюсь во всем многообразии документов.
ПКЗ-2005, 152-я инструкция, методички по ПДн…