Банк России опубликовал 9 июля проект изменений к указанию №821-П, которые предусматривают ужесточение требований к обеспечению защиты информации при осуществлении переводов денежных средств

Банк России опубликовал 9 июля проект изменений к указанию №821-П, которые предусматривают ужесточение требований к обеспечению защиты информации при осуществлении переводов денежных средств. Документ вводит обязательное применение криптографии класса не ниже КС1 (начальный уровень криптографической защиты) и усиленной электронной подписи . Также впервые формулируются требования для трансграничных переводов. Ранее участники рынка должны были соответствовать оценочному уровню доверия (ОУД4), установленному ГОСТ.

В новой редакции документа планируется расширить сферу регулирования обеспечения защиты информации за счет операций с биометрией и уточнив участие филиалов иностранных банков, а также операторов электронных платформ. Также уточняется время предоставления отчетности по инцидентам: сейчас оно формулируется как «своевременно», в новом варианте банкам дается 3 часа на информирование и до 30 дней — на расследование инцидента.

Эксперты отмечают, что изменения ужесточают требования к защите информации — в частности, в части использования средств криптографической защиты, сертификации программного обеспечения и трансграничных переводов. По их словам, акцент сделан на стандартизации процессов оценки защищённости и усилении контроля со стороны Банка России.

Наиболее значимыми для финансового сектора эксперты считают новые требования к обеспечению целостности электронных сообщений и информации, связанной с биометрическими данными, для которых предусмотрено применение усиленной электронной подписи.

Участники рынка поясняют, что требуется применение механизмов и протоколов, обеспечивающих защиту электронных сообщений и биометрических данных от искажения, фальсификации, переадресации и несанкционированного доступа. Также подчёркивается требование, согласно которому для регистрации действий с защищаемой информацией операторы обязаны синхронизировать время на объектах информационной инфраструктуры не реже одного раза в 24 часа с использованием системы ГЛОНАСС . Допустимое расхождение времени не должно превышать 3 секунд для критических участков и 5 секунд для остальных.

Также указывается, что стоимость исполнения требований Центробанка зависит от масштаба ИТ-инфраструктуры организации. По оценке участников рынка, для среднего сегмента она может составлять около 20 млн рублей. Оценка соответствия проводится специализированными организациями и стоит от 1 млн рублей.

В документе также конкретизируется, какие участники платёжного рынка подпадают под действие новых требований. В их числе — банковские платёжные агенты, операторы услуг информационного обмена, поставщики платёжной инфраструктуры, филиалы иностранных банков и другие организации.

Подробнее: https://www.securitylab.ru/news/561210.php