Цб обяжет банки проходить аудит на безопасность денежных переводов

Цб обяжет банки проходить аудит на безопасность денежных переводов

С 1 июля 2018 года Банк России может обязать денежные организации проходить аудит сторонних компаний для обеспечения защиты информации при переводе денежных средств. Быть может, необходимыми станут и тестирования на проникновение.

ЦБ совместно с участниками рынка готовит проект новой редакции Положения 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Денежные организации обяжут завлекать сторонних аудиторов с целью проведения оценки уровня защищенности транзакций

О разработке новых мер Банкир.Ру поведали участники совещания комитета, разрабатывающего стандарты для банковской сферы.

Разрабатываемое на данный момент указание о внесении трансформаций в действующее Положение 382-П прописывает новые требования к анализу уязвимостей как в прикладном программном обеспечении, так и на уровне инфраструктуры. Дабы повысить уровень безопасности проведения платежей, денежные организации обяжут завлекать сторонних аудиторов с целью проведения оценки уровня защищенности транзакций. Также в планах ввести необходимое тестирование на проникновение.

На данный момент банки вправе самостоятельно оценивать, как они делают требования безопасности. И это формирует важные угрозы передаваемым данным. «Не секрет, что многие банки по незнанию либо намерено завышают себе оценки и рапортуют о них в ЦБ. Нам известны случаи, в то время, когда банк отрапортовал в ЦБ о 90% исполнении требований, но по окончании свободного аудита оказалось, что банк делает лишь 25% требований.

Такие случаи нередки, и в ЦБ знают о таком тренде», — поясняет начальник направления аудита денежных организаций Digital Security Андрей Гайко.

Для получения более высокой оценки банки будут вынуждены реализовывать защитные меры полностью

«Многие банки, проводя самооценку, «подгоняют задачу под ответ»: заполняя опросные страницы, они стремятся не столько объективно оценить принимаемые ими меры защиты, сколько показать ростом показателей собственные настоящие либо фиктивные упрочнения по увеличению эффективности мер защиты. Логично, что в этом случае регулятор перестает доверять итогам таковой «самооценки» и заменяет ее внешним аудитом», — думает директор по стандартизации и методологии Positive Technologies Дмитрий Кузнецов.

Аудиторы показывают на то, что в отличие от банковских сотрудников они будут наблюдать не только документы, но и фактическое исполнение требований по безопасности на техническом уровне. В следствии, для получения более высокой оценки банки будут вынуждены реализовывать защитные меры полностью.

Уязвимости банковской инфраструктуры опрошенные специалисты в области безопасности именуют угрозой национального уровня. Согласно их точке зрения, инициатива ЦБ закроет уязвимости банковской платёжных приложений и инфраструктуры, разрешающих преступником выводить из финансовой системы миллиарды рублей. 

Системы денежных переводов. А. Лайков.

Похожие статьи, которые вам, наверника будут интересны: