ЦБ усиливает требования к информационной безопасности в сфере переводов
Банк России представил проект изменений в указание №821-П, существенно усиливающий нормы к защите информации при денежных переводах. Документ, опубликованный 9 июля, обязывает участников платежного рынка использовать криптографические средства не ниже уровня КС1 и применять усиленную электронную подпись. Кроме того, вводятся специальные требования для трансграничных операций, отмечает «Коммерсантъ».
Если раньше участники рынка должны были соответствовать оценочному уровню доверия ОУД4 по ГОСТ, то теперь регулятор предлагает конкретизировать технические и процедурные меры. Также под регулирование попадают операции с биометрическими данными, деятельность филиалов зарубежных банков и операторов цифровых платформ.
Одним из ключевых новшеств стало уточнение сроков отчётности по инцидентам: вместо расплывчатого «в разумные сроки» теперь устанавливается обязанность сообщить о происшествии в течение трёх часов и завершить расследование в срок до 30 дней.
По информации Центробанка, только в первом квартале 2025 года было зафиксировано почти 300 тысяч случаев незаконного списания средств на сумму 6,9 млрд рублей. Хакеры использовали более 700 фишинговых схем, десятки DDoS-атак и вредоносное ПО.
Эксперты указывают на усиление контроля за криптографической защитой и акцент на сертификации программного обеспечения. Особое внимание уделяется обеспечению подлинности и целостности электронных сообщений, включая те, что содержат биометрические данные.
Директор по работе с финсектором SafeTech Ирина Чурикова подчёркивает, что теперь необходимо защищать такие данные от фальсификации и несанкционированного доступа, а также синхронизировать время в IT-инфраструктуре не реже одного раза в сутки по данным ГЛОНАСС. При этом допустимое расхождение времени не должно превышать 3 секунды на критически важных участках.
По словам главы департамента кибербезопасности Абсолют-банка Руслана Ложкина, при передаче персональных данных, включая биометрию в формате цифрового слепка, шифрование средствами отечественной криптографии станет обязательным. В крупных банках такая защита уже внедрена, а средним игрокам предстоит адаптировать свои системы — что может обойтись в десятки миллионов рублей.
Кроме того, теперь под действие требований подпадают не только банки, но и более широкий круг организаций, задействованных в процессах информационного обмена и платежной инфраструктуры. По оценке главы комитета по ИБ Ассоциации российских банков Андрея Федорца, новые правила затронут тысячи компаний и приведут к росту издержек. По его словам, многим из них предстоит пройти дорогостоящую процедуру оценки соответствия.
Источник: Frank Media