С 1 июля кредитные организации в обязательном порядке будут информировать Банк России о хакерских атаках

хакерские атаки

Регулятор принял решение с указанной даты ужесточить требования к обеспечению защиты информации при переводах денежных средств. В частности, перевести уведомления со стороны кредитных организаций о хакерских атаках из добровольных в обязательные (указание Банка России от 7 мая 2018 г. № 4793-У "О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"). Это будет касаться информации как об уже выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении денежных переводов, так и о планируемых мероприятиях по их раскрытию. Как поясняет регулятор, полученные данные будут использоваться им для выработки рекомендаций участникам финансового рынка по противодействию выявленным киберугрозам. В частности, речь идет о несанкционированном доступе к устройству, эксплуатации уязвимости, вредоносном коде, DDoS-атаках, подборе паролей и фишинге.

Кроме того, с 1 января 2020 года кредитные организации будут обязаны использовать для перевода денежных средств только сертифицированное программное обеспечение и проводить его ежегодное тестирование. С указанной даты станет обязательным и использование раздельных технологий для подготовки электронных сообщений, содержащих распоряжения клиента о переводе денежных средств, и передачи клиентами подтверждений об исполнении таких распоряжений. Также с этого момента при реализации ограничений по параметрам операций по осуществлению денежных переводов будут применяться ограничения на:

  • максимальную сумму перевода денежных средств за одну операцию и (или) за определенный период времени;
  • перечень возможных получателей денежных средств;
  • временной период, в который могут быть совершены переводы денежных средств;
  • географическое местоположение устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;
  • перечень идентификаторов устройств, с использованием которых может осуществляться подготовка и подтверждение клиентом электронных сообщений;
  • перечень предоставляемых услуг, связанных с осуществлением переводов денежных средств.

При этом указанный перечень не будет закрытым.

Напомним, что с 26 сентября текущего года банки получат право блокировать счета клиентов при совершении подозрительных операций.