08.04.2014

ЦБ закручивает гайки?..

Пока госорганы бомбили ФСТЭК запросами о том, что делать с сертифицированной Windows XP, срок поддержки которой закончился аккурат сегодня (а вчера ФСТЭК опубликовала сообщение по этому поводу), банки задумывались совсем по другому поводу - не начинает ли их кошмарить Банк России вопросами ИБ. Эти вопросы возникали в Фейсбуке, на прошедшей РусКрипто (кстати, материалы с нее уже выложили), в частных беседах. Основания для этого есть :-(

Если посмотреть на упоминаемое мной уже письмо 42-Т от 14-го марта 2014 года "Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан", то в предпоследнем абзаце данного письма есть интересный пассаж: "Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 N 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах".

Недостатки внутреннего контроля - это серьезно. Например, согласно статьи 48 177-ФЗ от 23.12.2003 "О страховании вкладов физических лиц в банках Российской Федерации" такой недостаток может послужить причиной прекращения права банка на привлечение во вклады денежных средств физлиц и на открытие и ведение банковских счетов физлиц. Т.е. по сути плохая обработка персональных данных может стать причиной невозможности заниматься основной деятельностью кредитной организации.

Кстати, стоит обратить внимание на готовящуюся новую редакцию 242-П, в которой также расширен раздел по вопросам информационной безопасности. В частности в рамках СВК обязана проверять "соблюдение кредитной организацией требований Банка России и внутренних документов кредитной организации к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе с использованием электронных средств платежа".

А если вспомнить последний документ ЦБ, подписанный тем же Симановским, по защите от вредоносного кода?.. А недавно разосланный опросник по 382-П на 60 с лишним вопросов (в чем его смысл, если банки и так должны были 202-ю форму отчетности уже отослать)?.. А обновления документов по надзору и инспекционным проверкам?.. Вообще за последние несколько месяцев ЦБ обновил свыше 80 своих документов. Банки задумываются... Может зря, а может и нет.

Но для информационной безопасности это может быть и хорошо. Важность ИБ-рисков, как и вообще ИБ повышается, т.к. их недооценка может стать той самой последней каплей, которая позволит Банку России сделать вывод о низком качестве внутреннего контроля и корпоративного управления в кредитной организации, о невыполнении требований документов Банка России. А за этим выводом может последовать и отзыв лицензии :-( Правда, есть и неприятная сторона - число банковских безопасников, оставшихся без работы, может возрасти, а бюджеты банковских служб ИБ могут быть в условиях неопределенности заморожены. Так что для кого-то эти изменения представляют угрозу, а для кого-то новые возможности. Как посмотреть....

2 коммент.:

Евгений комментирует...

Как пример реального обеспечения хваленой банковской безопасности для меня показательны комментарии к сегодняшней статье про уязвимость в OpenSSL.
Комментаторы проверяют известные сайты, например alfabank.ru, выявляют наличие уязвимости, через два часа ее нет, потому что "Уже запатчили. Я с приятелем обзваниваю и мылю всем банкам, платежным системам и VPN-провайдерам."

То есть безопасники известного банка узнают об этой уязвимости от комментаторов с хабра??

Алексей Лукацкий комментирует...

А откуда им узнавать? Threat Intelligence мало где реализована :-;