Поделиться
Центробанк объявил нормативы киберустойчивости банков
Центробанк России опубликовал проект положения об обязательных для банков требованиях к операционной надежности, разработанный с учетом имеющегося международного опыта. В частности, максимальный простой банковских онлайн-сервисов теперь не должен превышать двух часов. Для систем передачи биометрии в единую биометрическую систему норматив составляет от получаса до двух часов в зависимости от размера банка.Операционная надежность банков
Центральный банк (ЦБ) России представил для общественного обсуждения проект положения о требованиях по киберустойчивости, обязательных для исполнения всеми российскими банками. Документ, опубликованный на сайте ЦБ, в частности, определяет допустимое время простоя техпроцессов банка – в том числе, систем передачи персональной биометрии в единую биометрическую систему (ЕБС).
В проекте постановления приводится список параметров операционной надежности – идентификация критичной архитектуры; управление изменениями, конфигурациями и уязвимостями; выявление, регистрация, реагирование на инциденты информационных угроз и восстановление после их реализации; взаимодействие с поставщиками услуг, планирование непрерывности деятельности и тестирование операционной надежности; управление риском внутреннего нарушителя, обеспечение осведомленности об актуальных информационных угрозах.
Проект разработан на основе международного опыта организаций, образующих стандарты в финансовой сфере – таких как Комитет по платежам и рыночным инфраструктурам, Международная организация комиссий по ценным бумагам, Базельский комитет по банковскому надзору Банка международных расчетов и др., уточняется в пояснительной записке к документу.
Экспертные заключения в рамках общественного обсуждения проекта принимаются до 5 сентября 2021 г. Предполагаемый срок вступления документа в силу – 1 октября 2022 г.
Нормативы киберустойчивости банков
Согласно сформулированному в документе определению, под операционной надежностью понимается способность банка обеспечить непрерывность критически важных процессов с соблюдением показателей уровня операционного риска в случае отказа или сбоя оборудования, информационных, технологических и других систем, а также киберрисков по установленным ЦБ показателям.
По большинству сервисов банков устанавливается максимальное время простоя не более двух часов – в том числе, по открытию счетов, переводу средств, привлечению и размещению вкладов физических и юридических лиц, а также онлайн-сервисам дистанционного обслуживания банка. Такой же норматив устанавливается для сервиса идентификации или аутентификации с использованием биометрии физлиц, в том числе, без их личного присутствия.
Самые жесткие сроки простоя технологического процесса, обеспечивающего размещение и обновление персональной биометрии в ЕБС – не более получаса, устанавливаются для банков с активами от 500 млрд руб. и более. Для банков с универсальной лицензией и активами менее 500 млрд руб., а также для всех остальных банков и небанковских кредитных организаций, этот критерий составляет не более двух часов.
Продолжительность сбоя технологического процесса, который обеспечивает выполнение операций на финансовых рынках, не должна превышать 24 часа для банков любого размера, отмечается в документе.
В тексте также отмечена особая роль крупных российских банков с объемом активов более 500 млрд руб. в совместной с ЦБ организации реагирования на угрозы проведения целевых компьютерных атак. Таким банкам вменяется осуществление мер противодействия целевым компьютерным атакам, проведение моделирования сценариев компьютерных атак и плановых учений при возникновении угрозы целевых компьютерных атак, а также проведение внеплановой оценки защищенности критичной архитектуры и устранение выявленных недостатков.
Согласно проекту постановления, банкам также вменяется определить собственные сигнальные и контрольные значения целевых показателей операционной надежности, и не реже раза в год проводить анализ необходимости пересмотра этих показателей.
Кибербезопасность в российских банках
В июне 2021 г. CNews рассказал о разработанном ФСБ проекте постановления Правительства России, которым предлагается определить порядок проведения проверок контроля и надзора за обеспечением безопасности персональных данных и применения средств защиты данных при использовании ЕБС госорганами, банками, ИП, нотариусами и др.
Согласно документу, контроль и надзор осуществляются ФСТЭК и ФСБ путем проведения плановых и внеплановых выездных проверок. Для плановой проверки создается комиссия в составе не менее трех человек. Срок контрольных мероприятий не должен превышать 20 рабочих дней. Для внеплановых мероприятий предусмотрено как минимум два проверяющих, а срок проверки ограничен 10 рабочими днями. В исключительных случаях, например, при расследованиях срок может затянуться, но не более чем на 20 рабочих дней.
Проверка операторов, которые используют информсистемы на правах собственности и аренды, или которым принадлежат эти системы (Минобороны, Служба внешней разведки, ФСО и Главное управление специальных программ Президента), проводится по согласованию с руководителями указанных органов.
В октябре 2020 г. ЦБ впервые объявил о готовности стандартов открытых банковских интерфейсов (API), которые Открытые обеспечат бесшовный обмен данными о клиенте по единым для всех правилам взаимодействия и станут основой широкого спектра сервисов.
Предполагается, что разработанные Центробанком банковские API обеспечат передачу данных между инфосистемами различных компаний финансового рынка, при этом открытый характер API обеспечит снижение затрат и сроков ввода новых финансовых продуктов, упростит их развитие и масштабирование.
В январе 2019 г. CNews рассказал о законопроекте, позволяющем ЦБ России блокировать интернет-нарушителей законодательства в финансовой сфере. Документ предоставляет ЦБ полномочия по внесудебной блокировке сайтов, вводящих в заблуждение клиентов банков относительно принадлежности информации – в том числе, сайтов со сходным доменным именем, оформлением и содержанием.
Также под блокировку попадают сайты, связанные с предложением и предоставлением финансовых услуг лицами, не имеющими права их оказывать в соответствие с российским законодательством, и сайты, рекламирующие в интернете финансовые пирамиды.
Короткая ссылка
