В соответствии с новыми требованиями, кредитные организации обязаны последовательно, в определенные сроки, внедрять указанные в документе Банка России изменения, начиная с 1 июля 2018-го по 1 января 2031 года. В частности, с 1 июля финансовые организации, операторы НПС, обязаны в онлайн-режиме направлять в Банк России информацию об инцидентах, связанных с переводами в ГосСОПКУ и ФинЦЕРТ. Фактически, эта обязанность вступит в силу после того, как будут определены соответствующие форматы передачи данных на сайте Банка России. Также с 1 июля банки обязуются обеспечить проведение ежегодного тестирования на проникновение и анализ уязвимостей информационной безопасности объектов IT-инфраструктуры. Эти процедуры должны проводиться с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

«Новые требования Банка России не были полной неожиданностью для рынка, но, тем не менее, многие еще не осознали масштаб задач по внедрению изменений 382-П, – говорит Игорь Легезин, директор направления информационной безопасности «Диасофт». – Одно из важных нововведений касается необходимости (до 31 декабря 2018-го и в последующем ежегодно) проводить абсолютно новую для банков процедуру – тестирование и анализ уязвимостей информационной безопасности объектов IT-инфраструктуры. Результаты этих процедур мы рекомендуем использовать, в первую очередь, как вектор развития и доработки систем информационной безопасности, в том числе в банковской системе «Диасофт». Возможно, модель угроз и IT-ландшафт вашего банка потребуют доработок в самой АБС или модификации бизнес-процессов. Мы готовы вам в этом помочь, так как постоянно работаем над тем, чтобы наши продукты полностью соответствовали требованиям законодательства и помогали заказчикам внедрять изменения заранее и с минимальными затратами. Мы внимательно отслеживаем заявления регуляторов по поводу того, какое ППО потребует доработок и какие технологии разделения допустимы. Информацию о более поздних изменениях мы также будем получать оперативно и из первых рук – в «Диасофт» ситуация под контролем».

Отметим, что одни из последующих требований, которые вступают в силу с 1 января 2020 года, коснутся вопросов сертификации прикладного программного обеспечения для осуществления денежных переводов и разделения информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента о переводе денежных средств. Сроки по исполнению других нововведений, указанных в документе, – 1 января 2024-го и 1 января 2031 года.

Источник: Компания «Диасофт»