ЦБ требует от страховщиков заняться защитой от DDoS-атак

ЦБ подготовил требования к работе сайтов страховщиков и Российского союза автостраховщиков (РСА), направленные на обеспечение бесперебойности работы при продажах электронных полисов ОСАГО, и которые вступают в силу с 1 января 2017 года (именно тогда можно будет приобретать ОСАГО в электронном виде). Данный проект НПА продолжает серию документов Банка России по регулированию вопросов обеспечения бесперебойности функционирования различных систем. У ЦБ, например, уже был документ по обеспечению беспоробойного функционирования платежных систем. И вот новые требования уже для страховщиков.

Хотя в заголовке данной заметки говорится о DDoS, на самом деле ЦБ говорит о любых причинах, которые могут повлечь за собой нарушение функционирования сайта страховщика. Это могут быть и обычные атаки, и DoS (а не DDoS), и проблемы с обработкой форм на сайте и т.п. Но поскольку речь идет именно о сайтах, то первой угрозой для них будет именно DDoS. Согласно требованиям ЦБ, сайт страховой компании не должен простаивать более 4-х часов в месяц. Простой сайта более 2-х минут уже считается нарушением! 2 минуты!!!! Если нарушение, приведшее к недоступности сайта, не устранено в течение 2-х часов, то это нарушение считается критическим.

Помимо применения технических мер недопущения перебоев в функционирования сайтов от страховщиков также требуется (среди прочего):

  • проводить моделирование угроз (анализ произошедших нарушений бесперебойности функционирования и прогнозирование вероятности наступления таких нарушений)
  • уведомлять ЦБ о факте сбоя с указанием времени оставшегося до восстановления работоспособности в режиме обратного отсчета.
Страховщикам стоит задуматься о внедрении различных технологий защиты сайтов от нарушения их бесперебойного функционирования — сканеры безопасности, Web Application Firewall (WAF или МСЭ типа «Г» по версии ФСТЭК), средства или сервисы по защите от DDoS-атак.
ЗЫ. Кстати, на февральском форуме по ИБ в финансовой сфере в Магнитогорске теме ИБ страховщиков будет уделено особое внимание.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Артур Борис 

    Этот комментарий был удален администратором блога.

    Ответить