Новые требования Банка России по безопасности финансовых операций и пути их реализации

19 мая 2021 г. состоялся вебинар по теме «Безопасность финансовых операций. Новые требования и пути их реализации», подготовленный Комитетом АРБ по банковской безопасности и компанией «ДиалогНаука» при поддержке Банка России.

В январе 2022 года перестает действовать Положение Банка России № 382-П, на смену которого принято новое Положение Банка России № 719-П, требования которого гармонизированы с другими актуальными нормативными документами Банка России по защите информации, в том числе и ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», который является обязательными к исполнению как для кредитных, так и некредитных финансовых организаций.

На вебинаре были рассмотрены актуальные вопросы, связанные как с Положением Банка России 719-П, так и ГОСТом Р 57580.1-2017, а также особенности реализации требований для кредитных и некредитных финансовых организаций, изложенные в положениях Банка России 747-П, 683-П и 684-П.

Перед кредитными и некредитными финансовыми организациями при реализации требований нормативных актов Банка России остро встают практическиt вопросы:

• Когда надо провести первую внешнюю оценку соответствия и продемонстрировать достижения установленных Банком России требований к уровням соответствия?
• Каким образом кредитная организация может задокументировать разногласия с выводами аудитора при проведении внешней оценки соответствия требованиям ГОСТ Р 57580.1-2017, если эти разногласия влияют на итоговый уровень соответствия?
• Отдельные требования Положения Банка России 719-П говорят о необходимости сертификации прикладного ПО для операторов по переводу денежных средств (кредитных организаций), хотя в Положении 683-П говорится о выборе между сертификацией и анализом уязвимостей по ОУД-4. Какому из требований стоит следовать?
• В связи с массовым переходом на дистанционную работу многие кредитных организации столкнулись с необходимостью выполнения требований к 8 процессу из ГОСТ Р 57580.1-2017 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств». Что следует относить к мобильным (переносным) устройствам (отсутствует определение к нормативных документах)?
• Надо ли кредитным организациям при моделировании угроз безопасности информации (например, в собственных системах, ЕБС) в дополнение к перечню актуальных угроз, определенных нормативными документами Банка России, использовать новую методику ФСТЭК?
• Положение Банка России 683-П говорит о безопасности банковских операций (определяются статьей 5 Федеральным законом «О банках и банковской деятельности»). Надо ли относить АС, реализующие брокерскую деятельность Банка, в контур безопасности?
• Каковы планы Банка России по разработке/доработке документов по защите информации на 2021 год? И др.

На эти и другие вопросы, поступившие в процессе вебинара, ответили Выборнов Андрей Олегович, заместитель директора ДИБ Банка России, а также эксперты АРБ в области информационной безопасности в финансовой сфере Велигура Александр Николаевич, Голованов Владимир Борисович и Окулесский Василий Андреевич.

Ознакомиться с записью вебинара и презентацией можно в нашем видеоархиве по ссылке:
https://arb.ru/arb/videos/10472790