ЦБ закручивает гайки?..

Пока госорганы бомбили ФСТЭК запросами о том, что делать с сертифицированной Windows XP, срок поддержки которой закончился аккурат сегодня (а вчера ФСТЭК опубликовала сообщение по этому поводу), банки задумывались совсем по другому поводу — не начинает ли их кошмарить Банк России вопросами ИБ. Эти вопросы возникали в Фейсбуке, на прошедшей РусКрипто (кстати, материалы с нее уже выложили), в частных беседах. Основания для этого есть 🙁

Если посмотреть на упоминаемое мной уже письмо 42-Т от 14-го марта 2014 года «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», то в предпоследнем абзаце данного письма есть интересный пассаж: «Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 N 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах«.

Недостатки внутреннего контроля — это серьезно. Например, согласно статьи 48 177-ФЗ от 23.12.2003 «О страховании вкладов физических лиц в банках Российской Федерации» такой недостаток может послужить причиной прекращения права банка на привлечение во вклады денежных средств физлиц и на открытие и ведение банковских счетов физлиц. Т.е. по сути плохая обработка персональных данных может стать причиной невозможности заниматься основной деятельностью кредитной организации.

Кстати, стоит обратить внимание на готовящуюся новую редакцию 242-П, в которой также расширен раздел по вопросам информационной безопасности. В частности в рамках СВК обязана проверять «соблюдение кредитной организацией требований Банка России и внутренних документов кредитной организации к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе с использованием электронных средств платежа«.

А если вспомнить последний документ ЦБ, подписанный тем же Симановским, по защите от вредоносного кода?.. А недавно разосланный опросник по 382-П на 60 с лишним вопросов (в чем его смысл, если банки и так должны были 202-ю форму отчетности уже отослать)?.. А обновления документов по надзору и инспекционным проверкам?.. Вообще за последние несколько месяцев ЦБ обновил свыше 80 своих документов. Банки задумываются… Может зря, а может и нет.

Но для информационной безопасности это может быть и хорошо. Важность ИБ-рисков, как и вообще ИБ повышается, т.к. их недооценка может стать той самой последней каплей, которая позволит Банку России сделать вывод о низком качестве внутреннего контроля и корпоративного управления в кредитной организации, о невыполнении требований документов Банка России. А за этим выводом может последовать и отзыв лицензии 🙁 Правда, есть и неприятная сторона — число банковских безопасников, оставшихся без работы, может возрасти, а бюджеты банковских служб ИБ могут быть в условиях неопределенности заморожены. Так что для кого-то эти изменения представляют угрозу, а для кого-то новые возможности. Как посмотреть….

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Евгений

    Как пример реального обеспечения хваленой банковской безопасности для меня показательны комментарии к сегодняшней статье про уязвимость в OpenSSL.
    Комментаторы проверяют известные сайты, например alfabank.ru, выявляют наличие уязвимости, через два часа ее нет, потому что "Уже запатчили. Я с приятелем обзваниваю и мылю всем банкам, платежным системам и VPN-провайдерам."

    То есть безопасники известного банка узнают об этой уязвимости от комментаторов с хабра??

    Ответить
  2. Алексей Лукацкий

    А откуда им узнавать? Threat Intelligence мало где реализована :-;

    Ответить