Банки могут столкнуться с трудностями в связи с необходимостью направлять информацию в ЦБ обо всех спам-рассылках, содержащих вредоносные программы. Однако за неполное раскрытие информации перед регулятором кредитные лорганизации рискуют подвергнуться наказанию, пишет «Коммерсант».
С 1 июля вступили в силу поправки к положению ЦБ №382-П, уточняющие требования к информационной безопасности участников национальной платежной системы. Теперь они обязаны информировать о компьютерных инцидентах Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России.
«В соответствии с одобренным текстом проекта нового стандарта Банка России 1.5 об информационном обмене о выявленных инцидентах, спам, в том числе с вредоносным кодом, относится к инцидентам, о которых необходимо в обязательном порядке сообщать в ФинЦЕРТ», — указывает бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. При этом данный стандарт требует уведомлять о каждом спам-сообщении. «В общем объеме e-mail спам сегодня составляет 60–80%, что делает задачу информирования ФинЦЕРТа непростой», — указывает он.
Объем ежедневно получаемого каждым банком электронного спама огромен, подтверждают участники рынка. Вместе с тем они указывают, что сообщают о спам-рассылках выборочно. «Письма с опасным вложением не являются для банка инцидентами, так как они автоматически блокируются нашими системами безопасности. Количество случаев, которые можно рассматривать как инциденты, минимально, и о них мы в установленном порядке уведомляем ФинЦЕРТ», — указывают в ВТБ. В Сбербанке напоминают, что положение ЦБ «О требованиях к защите информации…» обязывает финансовые организации сообщать об инцидентах, связанных с обнаружением вредоносного ПО внутри организации на участке платежной системы Банка России (ПС БР).
Теоретически неинформирование обо всех случаях получения спам-рассылки, содержащей вредоносы, может быть отнесено к нарушению. Коммерческий банк «несет ответственность в соответствии с федеральным законом «О Центральном банке», указывают в пресс-службе регулятора. Однако, уверен Лукацкий, определить факт такого нарушения будет достаточно сложно, если банк будет сообщать хоть о каких-то спам-рассылках.
Комментарии