Банк России продлил на год отсрочку для банков по выполнению требований к ПО

 

ЦБ РФ предоставил банкам до 1 июля 2021 года отсрочку по выполнению требований к используемому для банковских или финансовых операций программному обеспечению, следует из информационного письма регулятора. Эксперты и банки называют данную меру своевременной и нужной в условиях ограничений из-за коронавируса и уверяют, что она не отразится на безопасности в сфере защиты информации при переводе денежных средств.

 

Банки должны были с 1 января этого года использовать при проведении финансовых операций сертифицированное прикладное программное обеспечение или программное обеспечение (ПО), прошедшее анализ уязвимости с участием организаций, имеющих соответствующую лицензию. По словам консультанта Центра информационной безопасности компании "Инфосистемы Джет" Александра Бакина, к такому программному обеспечению, например, относятся мобильные банковские приложения и ряд внутренних систем финансовых организаций. Однако ЦБ решил снова предоставить отсрочку на выполнение этого требования.

 

Так, аналогичное информационное письмо регулятор выпустил 31 декабря 2019 года, в котором говорилось о переносе даты на 1 июля 2020 года. Новым письмом ЦБ перенес сроки еще на год, указал Бакин. Тем временем, адвокат "BMS Law Firm" Александр Иноядов обращает внимание на то, что сами требования сохраняются, а речь идёт только "о временном моратории на применение санкций за их несоблюдение".

 

ОТРАСЛЬ НЕ ГОТОВА

 

"Несмотря на то, что данное требование было опубликовано еще в 2018 году с отложенной датой, отрасль оказалась совершенно не готова его выполнять", — отметил Бакин.

 

По словам директора экспертно-аналитического центра ГК InfoWatch Михаила Смирнова, анализ ПО на отсутствие уязвимостей, реализация в нем новых требований, а затем внедрение – "дело не быстрое", поэтому финансовые организации получили "хороший шанс сделать все спокойно и качественно".

 

С экспертом согласны и в Промсвязьбанке (ПСБ). "На это, конечно, необходимо время, и Банк России своим решением его банкам дает", — пояснил директор службы информационной безопасности банка Дмитрий Миклухо.

 

Между тем в пресс-службе ВТБ отметили, что выполнение данных требований зависит не только от кредитных организаций, но и от наличия соответствующего сертифицированного ПО, методик анализа ПО на уязвимости, а также способности лицензиатов проводить такой анализ в требуемые банкам сроки.

 

"Очевидно, что в период карантинных мер многие процессы по обеспечению выполнения указанных требований существенно замедлились. Поэтому мы считаем предоставленную Банком России отсрочку своевременной и объективно обоснованной", — отметили в ВТБ.

 

Консультант Центра информационной безопасности компании "Инфосистемы Джет" Бакин утверждает, что перенос срока исполнения данного требования "снимает существенную головную боль" с департаментов информационной безопасности финансовых организаций, а также возможные регуляторные риски с участников рынка.

 

ОТРАЗИТСЯ ЛИ НА БЕЗОПАСНОСТИ?

 

"Послабления со стороны регулятора не отразятся на безопасности в сфере защиты информации при переводе денежных средств в худшую сторону. По большому счету, все останется, как было долгие годы, еще на один год", — уверен Бакин.

 

При этом он отметил, что данное информационное письмо снимает ответственность за невыполнение лишь малой части положений ЦБ РФ в сфере защиты информации, все остальные остаются в силе. В ВТБ также заверили, что снижения безопасности банковских систем не произойдет, так как указанные требования имеют в большей степени "профилактическую направленность".

 

Руководитель службы безопасности "РГС Банка" Валерий Антонов заверил, что на текущий момент банк соблюдает все необходимые требования ЦБ к защите информации при переводе денежных средств.

 

Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов уверен, что банки сейчас "очень ответственно походят к кибербезопасности, поэтому смогут оценить возникающие риски и минимизировать их".