Банк России продлил на год отсрочку для банков по выполнению требований к ПО
ЦБ РФ предоставил банкам до 1 июля 2021 года отсрочку по выполнению требований к используемому для банковских или финансовых операций программному обеспечению, следует из информационного письма регулятора. Эксперты и банки называют данную меру своевременной и нужной в условиях ограничений из-за коронавируса и уверяют, что она не отразится на безопасности в сфере защиты информации при переводе денежных средств.
Банки должны были с 1 января этого года использовать при проведении финансовых операций сертифицированное прикладное программное обеспечение или программное обеспечение (ПО), прошедшее анализ уязвимости с участием организаций, имеющих соответствующую лицензию. По словам консультанта Центра информационной безопасности компании "Инфосистемы Джет" Александра Бакина, к такому программному обеспечению, например, относятся мобильные банковские приложения и ряд внутренних систем финансовых организаций. Однако ЦБ решил снова предоставить отсрочку на выполнение этого требования.
Так, аналогичное информационное письмо регулятор выпустил 31 декабря 2019 года, в котором говорилось о переносе даты на 1 июля 2020 года. Новым письмом ЦБ перенес сроки еще на год, указал Бакин. Тем временем, адвокат "BMS Law Firm" Александр Иноядов обращает внимание на то, что сами требования сохраняются, а речь идёт только "о временном моратории на применение санкций за их несоблюдение".
ОТРАСЛЬ НЕ ГОТОВА
"Несмотря на то, что данное требование было опубликовано еще в 2018 году с отложенной датой, отрасль оказалась совершенно не готова его выполнять", - отметил Бакин.
По словам директора экспертно-аналитического центра ГК InfoWatch Михаила Смирнова, анализ ПО на отсутствие уязвимостей, реализация в нем новых требований, а затем внедрение - "дело не быстрое", поэтому финансовые организации получили "хороший шанс сделать все спокойно и качественно".
С экспертом согласны и в Промсвязьбанке (ПСБ). "На это, конечно, необходимо время, и Банк России своим решением его банкам дает", - пояснил директор службы информационной безопасности банка Дмитрий Миклухо.
Между тем в пресс-службе ВТБ отметили, что выполнение данных требований зависит не только от кредитных организаций, но и от наличия соответствующего сертифицированного ПО, методик анализа ПО на уязвимости, а также способности лицензиатов проводить такой анализ в требуемые банкам сроки.
"Очевидно, что в период карантинных мер многие процессы по обеспечению выполнения указанных требований существенно замедлились. Поэтому мы считаем предоставленную Банком России отсрочку своевременной и объективно обоснованной", - отметили в ВТБ.
Консультант Центра информационной безопасности компании "Инфосистемы Джет" Бакин утверждает, что перенос срока исполнения данного требования "снимает существенную головную боль" с департаментов информационной безопасности финансовых организаций, а также возможные регуляторные риски с участников рынка.
ОТРАЗИТСЯ ЛИ НА БЕЗОПАСНОСТИ?
"Послабления со стороны регулятора не отразятся на безопасности в сфере защиты информации при переводе денежных средств в худшую сторону. По большому счету, все останется, как было долгие годы, еще на один год", - уверен Бакин.
При этом он отметил, что данное информационное письмо снимает ответственность за невыполнение лишь малой части положений ЦБ РФ в сфере защиты информации, все остальные остаются в силе. В ВТБ также заверили, что снижения безопасности банковских систем не произойдет, так как указанные требования имеют в большей степени "профилактическую направленность".
Руководитель службы безопасности "РГС Банка" Валерий Антонов заверил, что на текущий момент банк соблюдает все необходимые требования ЦБ к защите информации при переводе денежных средств.
Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов уверен, что банки сейчас "очень ответственно походят к кибербезопасности, поэтому смогут оценить возникающие риски и минимизировать их".
Источник: Агентство экономической информации ПРАЙМ https://1prime.ru/finance/20200519/831469852.html
19.05.2020
