18.10.16

ЦБ требует от страховщиков заняться защитой от DDoS-атак

ЦБ подготовил требования к работе сайтов страховщиков и Российского союза автостраховщиков (РСА), направленные на обеспечение бесперебойности работы при продажах электронных полисов ОСАГО, и которые вступают в силу с 1 января 2017 года (именно тогда можно будет приобретать ОСАГО в электронном виде). Данный проект НПА продолжает серию документов Банка России по регулированию вопросов обеспечения бесперебойности функционирования различных систем. У ЦБ, например, уже был документ по обеспечению беспоробойного функционирования платежных систем. И вот новые требования уже для страховщиков.

Хотя в заголовке данной заметки говорится о DDoS, на самом деле ЦБ говорит о любых причинах, которые могут повлечь за собой нарушение функционирования сайта страховщика. Это могут быть и обычные атаки, и DoS (а не DDoS), и проблемы с обработкой форм на сайте и т.п. Но поскольку речь идет именно о сайтах, то первой угрозой для них будет именно DDoS. Согласно требованиям ЦБ, сайт страховой компании не должен простаивать более 4-х часов в месяц. Простой сайта более 2-х минут уже считается нарушением! 2 минуты!!!! Если нарушение, приведшее к недоступности сайта, не устранено в течение 2-х часов, то это нарушение считается критическим.

Помимо применения технических мер недопущения перебоев в функционирования сайтов от страховщиков также требуется (среди прочего):

  • проводить моделирование угроз (анализ произошедших нарушений бесперебойности функционирования и прогнозирование вероятности наступления таких нарушений)
  • уведомлять ЦБ о факте сбоя с указанием времени оставшегося до восстановления работоспособности в режиме обратного отсчета.
Страховщикам стоит задуматься о внедрении различных технологий защиты сайтов от нарушения их бесперебойного функционирования - сканеры безопасности, Web Application Firewall (WAF или МСЭ типа "Г" по версии ФСТЭК), средства или сервисы по защите от DDoS-атак.

ЗЫ. Кстати, на февральском форуме по ИБ в финансовой сфере в Магнитогорске теме ИБ страховщиков будет уделено особое внимание.

1 коммент.:

Артур Борис  комментирует...
Этот комментарий был удален администратором блога.