ЦБ разработал для банков требования к обеспечению защиты информации

• Вика Рябова
• 05.09.2018
• Категории: Безопасность, Кибербезопасность, Новости, проекты НПА, Регулирование, Финансы
• Теги: банки, информационная безопасность, центробанк

Банк России направил на независимую антикоррупционную экспертизу проект положения об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.

Требования относятся к:

• информации, подготавливаемой, обрабатываемой и хранимой в целях осуществления банковских операций, определенных в статье 5 Федерального закона от 2 декабря 1990 года №395-1 «О банках и банковской деятельности»;
• информации об осуществленных банковских операциях;
• информации, содержащейся в первичных документах на осуществление банковских операций, формируемых работниками кредитных организаций (далее – работники) и (или) клиентами кредитных организаций (далее – клиенты);
• информации, необходимой для идентификации и аутентификации клиентов при осуществлении банковских операций и удостоверения клиентами права на осуществление банковских операций;
• ключевой информации средств криптографической защиты информации (СКЗИ), используемой при подготовке и осуществлении банковских операций;
• информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, используемых для осуществления банковской деятельности в целях обработки защищаемой информации;
• информации о конфигурации, определяющей параметры работы технических средств защиты информации, используемых для осуществления банковской деятельности в целях обработки защищаемой информации;
• информации, подлежащей обязательной защите в соответствии с пунктом 2.1 положения Банка России от 9 июня 2012 года №382-П.

В документе перечислены уровни защиты информации, которые должны быть обеспечены для различных банков и объектов; мероприятия, которые обязаны проводить кредитные организации (в том числе, например, знакомство клиента с инструкцией по безопасной эксплуатации программного обеспечения, используемого клиентом при осуществлении банковских операций); описан алгоритм действия в различных ситуациях, угрожающих безопасности информации.

При необходимости устранения последствий заражения IT-систем вредоносным кодом банки должны приостанавливать деятельность, отмечается в документе.

Для проведения работ по обеспечению защиты информации банки могут привлекать организации, имеющие соответствующие лицензии.

Независимая антикоррупционная экспертиза продлится до 17 сентября.