07.02.2013

Какие нормативы регулируют защиту ДБО?

Позавчера на Инфофоруме, в секции по НПС звучало немало нелестных слов от банкиров, которых видимо уже достало увеличение числа нормативных требований по защите, которые навешивают на них регуляторы. Они хотели бы жить по западным правилам игры, когда особых требований к защите ДБО никто не предъявляет и каждый банк исходит из принципа разумной достаточности и экономической целесообразности. У нас же все иначе.

Сегодня требований по безопасности систем ДБО пруд пруди:
  • раздел 7.6 СТО БР ИББС, за который отвечает ГУБиЗИ Банка России
  • Положение 382-П, за которое отвечает ДРР Банка России
  • упомянутые вчера требования по защите ДБО, разработанные ДИС Банка России вместе с Российской Академией Наук
  • требования ФСТЭК по защите персональных данных, т.к. до сих пор так никто ответа и не дал, как же защищать персданные при осуществлении денежных переводов - по 161-ФЗ или по 152-ФЗ
  • требования ФСБ по применению СКЗИ, в т.ч. и для ДБО
  • рекомендации НП НПС и АРБ по реагированию на инциденты в ДБО
  • Письмо 60-Т от 27.04.2007 "Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)"
  • Письмо 197-Т от 7.12.2007 "О рисках при дистанционном банковском обслуживании"
  • Письмо 36-Т от 31.03.2008 "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
  • Письмо 11-Т от 30.01.2009 "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
  • Письмо 141-Т от 26.10.2010 "О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания".
Визуально это выглядит так:

Внушительный список. Где-то это обязательные требования, где-то рекомендации. Но вопрос, которым задаются банки, в другом. Почему нет требований к разработчикам АБС и систем ДБО? Почему регулируют только банки? Потому что у них есть деньги? Или потому что у них есть отраслевой регулятор, а у разработчиков ДБО нет?

А ведь помимо разработчиков АБС немалое число проблем приносят злоумышленники, которых либо не ловят, а если ловят, то дают условные сроки или вовсе отпускают. А еще есть клиенты, малознакомые с вопросами информационной безопасности. А почему нет роликов по повышению осведомленности клиентов в области информационной безопасности? Предусматривает ли программа повышения финансовой грамотности россиян, о которой так давно говорят наши власти, вопросы ИБ при осуществлении финансовых транзакций?

Но ни преступников, ни клиентов особо не трогают, концентрируя весь набор требований на банках. Оно и понятно - проще. Это вам не внесение изменений в Уголовно-процессуальный кодекс. И не написание разъяснений для судей и следователей. И не регулярное их обучение. И не поиск баланс в 9-й статьей ФЗ-161. На все это требуется время и усилия по продвижению изменений. А выпустить требования по защите гораздо проще. Только вот в какой-то момент должно произойти переполнение чаши терпения. И вот тогда я даже не берусь предсказывать, к чему это все может привести...

4 коммент.:

Turkish комментирует...

Не все-так просто с суточным лимитом. Если ПЦ "свой", то несколько проще, если ПЦ "не свой", то обмен инфой о транзакциях происходит несколько раз в сутки и отследить превышение можно только постфактум, когда это попадет в АБС. Это надо не банкам вкатывать требования, но и на других участников платежных систем.
Ну и какие суточные лимиты? Вы о чем, тут бы клиентов отучить записывать пин на пластике или приклеивать его на бумажке сверху.
Да и кому нужны суточные лимиты как мера безопасности, если сегодня тебе нужно 500 рублей, а завтра может быть покупка на 50 тыс. Граждане (если дать им такую возможность) будут ставить себе максимально возможный, ибо остальное неудобно...

Turkish комментирует...

Упс, не в тот пост :(

Сергей Любимцев комментирует...

А что конкретно имеется ввиду под требованиями и методическими рекомендациями ФСБ по применению СКЗИ? Я недавно начал работать в данной сфере и не очень хорошо ориентируюсь во всем многообразии документов.

Алексей Лукацкий комментирует...

ПКЗ-2005, 152-я инструкция, методички по ПДн...