ЦБ усиливает требования к информационной безопасности в сфере переводов

Frank Media

Банк России представил проект изменений в указание №821-П, существенно усиливающий нормы к защите информации при денежных переводах. Документ, опубликованный 9 июля, обязывает участников платежного рынка использовать криптографические средства не ниже уровня КС1 и применять усиленную электронную подпись. Кроме того, вводятся специальные требования для трансграничных операций, отмечает «Коммерсантъ».

ЦБ усилит требования к информационной безопасности в сфере переводов
© РИА Новости

Если раньше участники рынка должны были соответствовать оценочному уровню доверия ОУД4 по ГОСТ, то теперь регулятор предлагает конкретизировать технические и процедурные меры. Также под регулирование попадают операции с биометрическими данными, деятельность филиалов зарубежных банков и операторов цифровых платформ.

Одним из ключевых новшеств стало уточнение сроков отчётности по инцидентам: вместо расплывчатого «в разумные сроки» теперь устанавливается обязанность сообщить о происшествии в течение трёх часов и завершить расследование в срок до 30 дней.

По информации Центробанка, только в первом квартале 2025 года было зафиксировано почти 300 тысяч случаев незаконного списания средств на сумму 6,9 млрд рублей. Хакеры использовали более 700 фишинговых схем, десятки DDoS-атак и вредоносное ПО.

Эксперты указывают на усиление контроля за криптографической защитой и акцент на сертификации программного обеспечения. Особое внимание уделяется обеспечению подлинности и целостности электронных сообщений, включая те, что содержат биометрические данные.

Директор по работе с финсектором SafeTech Ирина Чурикова подчёркивает, что теперь необходимо защищать такие данные от фальсификации и несанкционированного доступа, а также синхронизировать время в IT-инфраструктуре не реже одного раза в сутки по данным ГЛОНАСС. При этом допустимое расхождение времени не должно превышать 3 секунды на критически важных участках.

По словам главы департамента кибербезопасности Абсолют-банка Руслана Ложкина, при передаче персональных данных, включая биометрию в формате цифрового слепка, шифрование средствами отечественной криптографии станет обязательным. В крупных банках такая защита уже внедрена, а средним игрокам предстоит адаптировать свои системы — что может обойтись в десятки миллионов рублей.

Кроме того, теперь под действие требований подпадают не только банки, но и более широкий круг организаций, задействованных в процессах информационного обмена и платежной инфраструктуры. По оценке главы комитета по ИБ Ассоциации российских банков Андрея Федорца, новые правила затронут тысячи компаний и приведут к росту издержек. По его словам, многим из них предстоит пройти дорогостоящую процедуру оценки соответствия.