ЦБ РФ требует обезопасить переводы
Комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."
Центробанк счёл положение 382-П недостаточным и внёс ряд изменений, которые в большинстве своём повысят нагрузку на банки. Прежде всего, это касается регистрации действий в банковских системах.
Указание №3007-У Банка России от 05.06.2013 года "О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"".
В указании вводится понятие инцидента — события, которое возникло вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств: не соблюдены сроки проведения платежа, платёж произведён неправомерно или информация в нём искажена. При этом все инциденты нужно регистрировать.
Также усиливаются требования по регистрации действий в банковской системе как своих работников, так и клиентов. При этом должна собираться информация не только о времени и идентификаторе действий клиента, а также его собственном идентификаторе, но и об устройстве, с которого осуществляется действие: "IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства".
"Большого смысла все попытки фиксировать IP, MAC, IMEI, номер телефона и т.п. не имеют. Злоумышленники могут их легко обойти, а вкладывать инвестиции в более надёжные способы нецелесообразно. Особенно в условиях, когда, даже обнаруженный и пойманный, злоумышленник может выйти сухим из воды из-за пробелов в отечественном законодательстве. Мне кажется, что для борьбы с мошенниками все силы надо бросать на изменение Уголовного и Уголовно-процессуального кодексов, а также на обучение сотрудников правоохранительных и судебных органов. Технические меры, безусловно, важны, но и заменить ими организационно-правовые методы борьбы с киберпреступниками не получится", — писал по этому поводу в своем блоге эксперт по информационной безопасности Алексей Лукацкий.
Есть и хорошая для банков новость — если ранее считалось, что получать сертификат ФСБ нужно на все средства криптозащиты информации, то теперь указание уточняет, что наличие сертификата обязательно только для СКЗИ российских производителей.
Участникам платёжной системы предписывается привести системы в соответствие 382-П через шесть месяцев со дня вступления указания в силу, то есть к началу 2014 года. Правда, в части, касающейся регистрации действий в системе, в частности, дана отсрочка ещё на 180 дней.
Мнение эксперта
Сергей Котов, эксперт по информационной безопасности "Аладдин Р.Д."
Уточняющие положения 3007-У явно идут на пользу исходному документу 382-П (понятие инцидента и кто их регистрирует). Однако требования по регистрации действий клиента и персонала, а также установление реальных сроков отчётности по форме 202 у многих вызывают озабоченность. На мой взгляд, всё это только на пользу (любая определенность — лучше, чем её отсутствие). Дополнительные затраты будут, но они не так велики, хотя в розничных банках они будут повыше. В серьёзных банках и раньше многое, если не всё из перечисленного, подвергалось логированию. Трудозатраты на разработку некоторого количества дополнительных документов и дополнительную отчётность тоже вполне приемлемы. С другой стороны, доступность этих данных — шаг на пути к более объективному ранжированию кредитных организаций по уровню безопасности размещённых в них клиентских денег.