Было «своевременно», стало — «3 часа на инцидент»: что меняет ЦБ в ИБ-правилах
NewsMakerФинансовый рынок ждёт перегрузка.
Банк России опубликовал 9 июля проект изменений к указанию №821-П, которые предусматривают ужесточение требований к обеспечению защиты информации при осуществлении переводов денежных средств. Документ вводит обязательное применение криптографии класса не ниже КС1 (начальный уровень криптографической защиты) и усиленной электронной подписи . Также впервые формулируются требования для трансграничных переводов. Ранее участники рынка должны были соответствовать оценочному уровню доверия (ОУД4), установленному ГОСТ.
В новой редакции документа планируется расширить сферу регулирования обеспечения защиты информации за счет операций с биометрией и уточнив участие филиалов иностранных банков, а также операторов электронных платформ. Изменения касаются сроков отчётности по инцидентам: если раньше они обозначались как «своевременно», то теперь банкам даётся 3 часа на информирование и до 30 дней на расследование инцидента.
Эксперты отмечают, что изменения ужесточают требования к защите информации — в частности, в части использования средств криптографической защиты, сертификации программного обеспечения и трансграничных переводов. По их словам, акцент сделан на стандартизации процессов оценки защищённости и усилении контроля со стороны Банка России.
Наиболее значимыми для финансового сектора эксперты считают новые требования к обеспечению целостности электронных сообщений и информации, связанной с биометрическими данными, для которых предусмотрено применение усиленной электронной подписи.
Участники рынка поясняют, что требуется применение механизмов и протоколов, обеспечивающих защиту электронных сообщений и биометрических данных от искажения, фальсификации, переадресации и несанкционированного доступа. Также подчёркивается требование, согласно которому для регистрации действий с защищаемой информацией операторы обязаны синхронизировать время на объектах информационной инфраструктуры не реже одного раза в 24 часа с использованием системы ГЛОНАСС . Допустимое расхождение времени не должно превышать 3 секунд для критических участков и 5 секунд для остальных.
Кроме того, отмечается, что при передаче персональных данных по каналам связи они должны шифроваться с использованием российских криптографических средств. Указывается, что в качестве второго фактора подтверждения клиента может использоваться биометрия. При этом сама биометрия не передаётся — только её цифровой отпечаток, который подлежит обязательному шифрованию.
Крупные банки, как правило, реализуют данный функционал самостоятельно, тогда как мелкие и средние чаще пользуются сторонними сервисами. Дополнительно подчёркивается, что остаётся небольшой сегмент банков из числа средних, у которых есть собственные интернет-банки и которым потребуется доработка необходимого функционала.
Также указывается, что стоимость исполнения требований Центробанка зависит от масштаба ИТ-инфраструктуры организации. По оценке участников рынка, для среднего сегмента она может составлять около 20 млн рублей. Оценка соответствия проводится специализированными организациями и стоит от 1 млн рублей.
В документе также конкретизируется, какие участники платёжного рынка подпадают под действие новых требований. В их числе — банковские платёжные агенты, операторы услуг информационного обмена, поставщики платёжной инфраструктуры, филиалы иностранных банков и другие организации.
Ранее Банк России в обзоре операций, совершённых без согласия клиентов в 2024 году, отмечал, что рост числа компьютерных инцидентов у организаций финансовой сферы связан с компрометацией подрядных организаций, и подчёркивал необходимость превентивного реагирования на такие угрозы.
Участники рынка подчёркивают, что ранее часть организаций, не являвшихся банками, но участвовавших в платёжных взаимодействиях, не была прямо определена по требованиям. Теперь от них потребуется внедрение всего комплекса мер по информационной безопасности. Это затрагивает значительный сегмент, что потребует дополнительных финансовых затрат, найма персонала и, вероятно, приведёт к снижению маржинальности, так как повышение тарифов может не получить поддержки со стороны клиентов.
Банк России опубликовал 9 июля проект изменений к указанию №821-П, которые предусматривают ужесточение требований к обеспечению защиты информации при осуществлении переводов денежных средств. Документ вводит обязательное применение криптографии класса не ниже КС1 (начальный уровень криптографической защиты) и усиленной электронной подписи . Также впервые формулируются требования для трансграничных переводов. Ранее участники рынка должны были соответствовать оценочному уровню доверия (ОУД4), установленному ГОСТ.
В новой редакции документа планируется расширить сферу регулирования обеспечения защиты информации за счет операций с биометрией и уточнив участие филиалов иностранных банков, а также операторов электронных платформ. Изменения касаются сроков отчётности по инцидентам: если раньше они обозначались как «своевременно», то теперь банкам даётся 3 часа на информирование и до 30 дней на расследование инцидента.
Эксперты отмечают, что изменения ужесточают требования к защите информации — в частности, в части использования средств криптографической защиты, сертификации программного обеспечения и трансграничных переводов. По их словам, акцент сделан на стандартизации процессов оценки защищённости и усилении контроля со стороны Банка России.
Наиболее значимыми для финансового сектора эксперты считают новые требования к обеспечению целостности электронных сообщений и информации, связанной с биометрическими данными, для которых предусмотрено применение усиленной электронной подписи.
Участники рынка поясняют, что требуется применение механизмов и протоколов, обеспечивающих защиту электронных сообщений и биометрических данных от искажения, фальсификации, переадресации и несанкционированного доступа. Также подчёркивается требование, согласно которому для регистрации действий с защищаемой информацией операторы обязаны синхронизировать время на объектах информационной инфраструктуры не реже одного раза в 24 часа с использованием системы ГЛОНАСС . Допустимое расхождение времени не должно превышать 3 секунд для критических участков и 5 секунд для остальных.
Кроме того, отмечается, что при передаче персональных данных по каналам связи они должны шифроваться с использованием российских криптографических средств. Указывается, что в качестве второго фактора подтверждения клиента может использоваться биометрия. При этом сама биометрия не передаётся — только её цифровой отпечаток, который подлежит обязательному шифрованию.
Крупные банки, как правило, реализуют данный функционал самостоятельно, тогда как мелкие и средние чаще пользуются сторонними сервисами. Дополнительно подчёркивается, что остаётся небольшой сегмент банков из числа средних, у которых есть собственные интернет-банки и которым потребуется доработка необходимого функционала.
Также указывается, что стоимость исполнения требований Центробанка зависит от масштаба ИТ-инфраструктуры организации. По оценке участников рынка, для среднего сегмента она может составлять около 20 млн рублей. Оценка соответствия проводится специализированными организациями и стоит от 1 млн рублей.
В документе также конкретизируется, какие участники платёжного рынка подпадают под действие новых требований. В их числе — банковские платёжные агенты, операторы услуг информационного обмена, поставщики платёжной инфраструктуры, филиалы иностранных банков и другие организации.
Ранее Банк России в обзоре операций, совершённых без согласия клиентов в 2024 году, отмечал, что рост числа компьютерных инцидентов у организаций финансовой сферы связан с компрометацией подрядных организаций, и подчёркивал необходимость превентивного реагирования на такие угрозы.
Участники рынка подчёркивают, что ранее часть организаций, не являвшихся банками, но участвовавших в платёжных взаимодействиях, не была прямо определена по требованиям. Теперь от них потребуется внедрение всего комплекса мер по информационной безопасности. Это затрагивает значительный сегмент, что потребует дополнительных финансовых затрат, найма персонала и, вероятно, приведёт к снижению маржинальности, так как повышение тарифов может не получить поддержки со стороны клиентов.