Регулятор ужесточил требования к кредитным организациям, платежным системам, онлайн-магазинам, а также к иным структурам, которые проводят дистанционные платежи. Свои предписания ЦБ изложил в поправках к положениям «О требованиях к обеспечению защиты информации при денежных переводах».
Мера призвана защитить средства граждан и компаний от хищений при проведении удаленных трансакций. Более того, Центробанк считает необходимым ограничить операции определенными параметрами, пишет «Ъ». Среди основных требований – ежегодный анализ уязвимостей системы, ее тестирование на предмет возможности взлома и использование сертифицированного ПО. Причем привлекать к тестированию компании и сайты обязаны экспертов, которые получили лицензию Федеральной службы по техническому и экспортному контролю.
Регулятор также настаивает на том, чтобы организации проводили платеж и его подтверждение в разных программных средах, а не в одной. При этом пользователь должен видеть все реквизиты платежа до подтверждения.
Предполагается, что поправки в положения вступят в силу с 1 июля следующего года.
Как Вы оцениваете требование ЦБ к усилению мер безопасности при осуществлении дистанционных платежей?
Требования по усилению мер защиты при работе с системами ДБО считаем мерой положительной. Пока, к сожалению, существует такая практика оценки рисков в некоторых Организациях: «поскольку в истории «у нас» пока не происходило негативных инцидентов, связанных с информационной безопасностью, то значит и не будет. А риск можно считать нулевым. К сожалению, подобная позиция распространена и она в корне опасна. Замотивировать всех озаботиться проблемами защиты можно двумя путями – либо через реальные проблемы, происшествия и негативные последствия, либо же путем централизованного выстраивания единого подхода к организации систем защиты. Проблема общая для финансового рынка и, конечно же, работа ЦБ РФ в этом направлении правильная и ожидаемая от участников этого рынка.
Если рассмотреть предметно требования, то они в большей степени формализовали то, что по факту стало «по умолчанию», есть некоторые дополнения, что, конечно же, при внедрении и соблюдении усилит общую защиту.
Есть некоторые требования, которые, на наш взгляд, нуждаются в дополнительной проработке и обсуждении. В частности, требование об использовании сертифицированного программного обеспечения. На практике с сертифицированным ПО существуют определенные сложности. Начиная от банальной невозможности оперативного обновления (оно происходит или через покупку новой версии ПО), либо через большие задержки по времени при выпуске нового ПО. Если же смотреть на угрозы в Интернет, то они появляются очень часто, и, если ждать «обновления» сертификации старой версии СЗИ – это может привести куда к более критичным проблемам.
В целом же, есть много позитивного от мер по усилению защиты, сначала для кого то, сложно будет, но в будущем это даст определенный эффект по уровню общей защиты от угроз.
Как Вы оцениваете требование ЦБ к усилению мер безопасности при осуществлении дистанционных платежей?
Применительно к банкам требования, предложенные в поправках, выглядят положительно. Есть опасение, что новые меры безопасности приведут к частым задержкам платежей при любом подозрении со стороны банка. Вместе с более сложной процедурой совершения платежа такие случаи могут вызвать сильное недовольство клиентов банка. В остальном предложенные поправки действительно должны помочь в борьбе с Интернет-мошенничеством.
То же самое справедливо и для платежных систем, которые, судя по всему, были отнесены к категории "все те сайты, которые принимают платежи".Что же касается интернет-магазинов и прочих сайтов-продавцов, которые были отмечены Никитиным, то их предложенные поправки коснуться не должны, т.к. эти сайты и так принимают платежи не на прямую, а через сайты платежных систем.