В соответствии с новыми требованиями, кредитные организации обязаны последовательно, в определенные сроки, внедрять указанные в документе Банка России изменения, начиная с первого июля 2018-го по первое января 2031 года.

В частности, с первого июля финансовые организации, операторы НПС, обязаны в онлайн-режиме направлять в Банк России информацию об инцидентах, связанных с переводами в ГосСОПКУ и ФинЦЕРТ. Фактически, эта обязанность вступит в силу после того, как будут определены соответствующие форматы передачи данных на сайте Банка России. Также с первого июля банки обязуются обеспечить проведение ежегодного тестирования на проникновение и анализ уязвимостей информационной безопасности объектов IT-инфраструктуры. Эти процедуры должны проводиться с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

«Новые требования Банка России не были полной неожиданностью для рынка, но, тем не менее, многие еще не осознали масштаб задач по внедрению изменений 382-П, – говорит Игорь Легезин, директор направления информационной безопасности «Диасофт». – Одно из важных нововведений касается необходимости (до 31 декабря 2018-го и в последующем ежегодно) проводить абсолютно новую для банков процедуру – тестирование и анализ уязвимостей информационной безопасности объектов IT-инфраструктуры. Результаты этих процедур мы рекомендуем использовать, в первую очередь, как вектор развития и доработки систем информационной безопасности, в том числе в банковской системе «Диасофт». Возможно, модель угроз и IT-ландшафт банка потребуют доработок в самой АБС или модификации бизнес-процессов. Мы внимательно отслеживаем заявления регуляторов по поводу того, какое ПО потребует доработок и какие технологии разделения допустимы».

Отметим, что одни из последующих требований, которые вступают в силу с первого января 2020 года, коснутся вопросов сертификации прикладного программного обеспечения для осуществления денежных переводов и разделения информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента о переводе денежных средств. Сроки по исполнению других нововведений, указанных в документе, – первого января 2024-го и первого января 2031 года.

Источник: «Диасофт»