ЦБ усилит контроль за IT-безопасностью банков

Банк России совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) разрабатывает стандарты и механизмы контроля качества IT-аудиторов, заявил заместитель главы департамента информационной безопасности регулятора Артем Сычев.

Он отметил, что необходимо усилить контроль за устойчивостью кредитных организаций к кибератакам, поскольку именно от этого зависит безопасность средств граждан и корпораций.

По каким именно критериям будут оценивать уровень проверок, представитель ЦБ не уточнил, объяснив, что пока преждевременно говорить о деталях. Предполагается, что одним из основных стандартов для IT-аудиторов будет полноценная имитация кибератаки с привлечением так называемых белых хакеров – специалистов по информационной безопасности, которые обладают аналогичными настоящим взломщикам навыками.

Регулятор обязал банки проводить независимую оценку защищенности своих систем в апреле 2019 года. Согласно документам ЦБ, кредитные организации должны ежегодно тестировать свою платежную инфраструктуру на проникновение (например, приложение для мобильного телефона, беспроводные сети) с помощью внешних независимых компаний. Однако пока нормативной базы для таких проверок нет, и каждая кредитная организация руководствуется собственными критериями качества при найме IT-аудиторов.

В России проводить качественные тесты на проникновение в банковскую инфраструктуру могут прежде всего организации, детально расследующие киберпреступления. В полноценное тестирование на проникновение входит, в частности, проверка инфраструктуры организации (например, сетей), публичных сервисов, имитация взлома программного обеспечения и пр.

Источник новости