Что грядёт на смену 552-П

Валерий Естехин как всегда оперативно прочитал проект нового нормативного акта Банка России о защите информации в платежной системе Банка России и написал в своём блоге мнение о новом проекте

Перепечатаем весь текст статьи без купюр:

"Ознакомившись с проектом нового Положения “О требованиях к защите информации в платежной системе Банка России", которое в скором времени придет на смену Положению от 24 августа 2016 г. № 552-П с тем же названием, сначала испытываешь шок от радикальности “обновления” документа.

Роднит эти два нормативных документа с одним и тем же названием только тот факт, что документы подготовлены Банком России. В остальном от 552-П почти ничего не осталось.

Что же поменялось в нормативном регулировании банковской сферы с даты регистрации Положения № 552-П в Минюсте – 06.12.2016, что так или иначе имело отношение к защите информации в платежной системе Банка России? Давайте разбираться.

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…
: Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.

Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим. …).

В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе(Прим. далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.

Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.

За что сразу цеплятся глаз “бумажного безопасника”? Например, за то, что с 4-ой главы Положения начинает мелькать термин “цифровая инфраструктура”, хотя и в законе №187-ФЗ “О безопасности критической информационной инфраструктуры”, и в ГОСТ Р 57580.1-2017 используется устоявшийся термин “информационная инфраструктура”. Кто-то из рисковиков-разработчиков проекта поддался магии “цифровой экономики”. Но вот в Приложении 2 к Положению всё же встречаем традиционный термин “информационная инфраструктура”, хотя в п.1.3 Приложения 2 опять упоминается “цифровая инфраструктура”.

продолжение здесь

ЦБ планирует отслеживать сомнительные транзакции в режиме онлайн

Центробанк готов взяться на усовершенствование своей системы мониторинга транзакций. 

Конечной целью этих действий является возможность в режиме реального времени выявлять сомнительные операции, что, естественно, положительно скажется на оперативности реагирования на киберинциденты. 

Соответствующей информацией поделился зампред Центрального банка Василий Поздышев. Выступая перед журналистами, он отметин следующее: 

«Мы предлагаем с помощью цифровых технологических решений доработать эту систему, чтобы и банки, и Центральный банк могли в онлайн-режиме проводить мониторинг текущих операций, в том числе с использованием системы быстрых платежей и системы перевода Банка России». 

Поздышев отметил, что на данный момент весь мониторинг транзакций основывается на ручном режиме выявления подозрительной активности. 

«Мы передаем банкам списки клиентов, которые замешаны в теневых операциях. Банки, опираясь на эти списки, ежеквартально их обрабатывают и, как думаем, должны не проводить операции с этими клиентами или, по крайней мере, прежде чем проводить, проверять операции с этими клиентами. Это такой ручной режим», — передал ТАСС слова зампреда ЦБ. 

Помимо этого, в Банке России задумались над усовершенствованием системы получения отчетности банков. Здесь регулятор интересует возможность получения необходимой информации непосредственно из банка.

Источник: https://www.anti-malware.ru/news/2018-10-10-1447/27708

Вебинар "Законодательство о безопасности КИИ"

На сайте Банка России опубликована карта точек банковского обслуживания, где можно сдать биометрические данные

Банк России разработал специальную карту точек банковского обслуживания, где все желающие могут сдать биометрические данные, чтобы впоследствии иметь возможность дистанционно получать банковские продукты и сервисы в любой кредитной организации с помощью удаленной идентификации.

Ресурс позволяет узнать адрес и часы работы офисов банков, которые предоставляют такую услугу. Для этого достаточно выбрать в специальном окне город и наиболее удобную точку обслуживания.

В настоящий момент на карте отмечены точки банковского обслуживания в 81 субъекте РФ. Данные будут постоянно обновляться.

Для получения банковских услуг с помощью удаленной идентификации необходимо один раз пройти первичную идентификацию в уполномоченном банке. Такой банк в присутствии физического лица проверит его паспорт и СНИЛС, зарегистрирует обратившегося в Единой системе идентификации и аутентификации (ЕСИА), а также снимет необходимые биометрические данные (изображение лица и запись голоса). В дальнейшем для дистанционного открытия счета (вклада), получения кредита или осуществления перевода в новом банке гражданину нужно будет пройти авторизацию в ЕСИА и подтвердить свои биометрические данные с помощью смартфона, планшета или компьютера с использованием камеры и микрофона.

Банки постепенно налаживают сбор биометрических данных в структурных подразделениях по мере готовности своей технологической инфраструктуры. До конца этого года данный сервис должны предоставлять не менее 20% подразделений банка в каждом регионе присутствия, к 30 июня 2019 года – 60%, до конца 2019 года – 100%.

Источник: http://www.cbr.ru/Press/event/?id=2137