Банк России ужесточает требования к кибербезопасности для организаций

Банк России ужесточает требования к кибербезопасности для организаций, участвующих в переводе денежных средств. Только за первый квартал злоумышленники вывели со счетов граждан и компаний почти 7 млрд руб. В частности, вводится обязательное использование более высокого уровня криптозащиты и усиленной электронной подписи. Также банкам придется внедрять средства криптозащиты для подтверждения операций по биометрии. Однако гораздо большие затраты ждут других участников платежного рынка, для которых раньше требования по кибербезопасности были существенно мягче.

Банк России планирует значительно ужесточить требования к обеспечению защиты информации при осуществлении переводов денежных средств. Это следует из опубликованных 9 июля изменений в указание ЦБ №821-П. В частности, документом вводится обязательное использование криптографии класса не ниже КС1 (начальный уровень криптографической защиты) и усиленной электронной подписи, а также вводятся требования для трансграничных переводов. До сих пор банки и другие участники платежного рынка должны были соответствовать оценочному уровню доверия (ОУД4), установленному ГОСТом и показывающему текущий уровень защищенности программного обеспечения.

Также в положении ЦБ планируется расширить сферу регулирования обеспечения защиты информации за счет операций с биометрией и уточнив участие филиалов иностранных банков, а также операторов электронных платформ. Кроме того, уточняется время предоставления отчетности по инцидентам: сейчас оно формулируется как «своевременно», в новом варианте банкам дается 3 часа на информирование и до 30 дней — на расследование инцидента.