Если посмотреть на упоминаемое мной уже письмо 42-Т от 14-го марта 2014 года «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», то в предпоследнем абзаце данного письма есть интересный пассаж: «Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 N 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах«.
Недостатки внутреннего контроля — это серьезно. Например, согласно статьи 48 177-ФЗ от 23.12.2003 «О страховании вкладов физических лиц в банках Российской Федерации» такой недостаток может послужить причиной прекращения права банка на привлечение во вклады денежных средств физлиц и на открытие и ведение банковских счетов физлиц. Т.е. по сути плохая обработка персональных данных может стать причиной невозможности заниматься основной деятельностью кредитной организации.
Кстати, стоит обратить внимание на готовящуюся новую редакцию 242-П, в которой также расширен раздел по вопросам информационной безопасности. В частности в рамках СВК обязана проверять «соблюдение кредитной организацией требований Банка России и внутренних документов кредитной организации к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе с использованием электронных средств платежа«.
А если вспомнить последний документ ЦБ, подписанный тем же Симановским, по защите от вредоносного кода?.. А недавно разосланный опросник по 382-П на 60 с лишним вопросов (в чем его смысл, если банки и так должны были 202-ю форму отчетности уже отослать)?.. А обновления документов по надзору и инспекционным проверкам?.. Вообще за последние несколько месяцев ЦБ обновил свыше 80 своих документов. Банки задумываются… Может зря, а может и нет.
Но для информационной безопасности это может быть и хорошо. Важность ИБ-рисков, как и вообще ИБ повышается, т.к. их недооценка может стать той самой последней каплей, которая позволит Банку России сделать вывод о низком качестве внутреннего контроля и корпоративного управления в кредитной организации, о невыполнении требований документов Банка России. А за этим выводом может последовать и отзыв лицензии 🙁 Правда, есть и неприятная сторона — число банковских безопасников, оставшихся без работы, может возрасти, а бюджеты банковских служб ИБ могут быть в условиях неопределенности заморожены. Так что для кого-то эти изменения представляют угрозу, а для кого-то новые возможности. Как посмотреть….
Как пример реального обеспечения хваленой банковской безопасности для меня показательны комментарии к сегодняшней статье про уязвимость в OpenSSL.
Комментаторы проверяют известные сайты, например alfabank.ru, выявляют наличие уязвимости, через два часа ее нет, потому что "Уже запатчили. Я с приятелем обзваниваю и мылю всем банкам, платежным системам и VPN-провайдерам."
То есть безопасники известного банка узнают об этой уязвимости от комментаторов с хабра??
А откуда им узнавать? Threat Intelligence мало где реализована :-;