Об отчетности ЦБ по ИБ

Об отчетности ЦБ по ИБ
На днях ЦБ выпустил обзор несанкционированных переводов денежных средств за 2016-й год, то есть опубликовал результаты анализа 203-й формы отчетности, которую операторы по переводу денежных средств и иные участники Национальной платежной системы должны ежемесячно подавать регулятору. Чтобы мне хотелось сказать по факту выхода данной отчетности:
  • Подготовка сводного обзора по итогам анализа присланных банками отчетов перешла уже официально от ДНПС в ГУБЗИ, что сразу же сказалось в лучшую сторону на самом отчете. Прошлые отчеты, а последний был опубликован 2 года назад (в прошлом году были только предварительные цифры на Уральском форуме), носили PR-характер и никакой пользы для банковских безопасников не имели. Зато журналисты с радостью хватались за суммы похищенных и готовящихся к хищению средств. В нынешнем же отчете помимо сумм и числа инцидентов добавили также информацию о местах совершения инцидентов, а также о их причинах и фактах обращения в правоохранительные органы. Да, это не все, что попадает в 203-ю отчетность, но все же лучше, чем было.
  • Сейчас подготовлен проект новой 203-й формы, по которому можно уже сказать, что ЦБ усиливает роль FinCERT в деле работы со статистикой по инцидентам. Сейчас банки обязаны уведомлять об инцидентах FinCERT только в рамках 552-П (по АРМ КБР). Однако судя по тому, какой станет 203-я отчетность (только общие цифры по суммам и числу инцидентов), могу предположить, что FinCERT подомнет под себя техническую отчетность и по остальным направлениям регулирования.



  • 258-я отчетность (по инцидентам с платежными картами) с 203-й уже не сольется - они будут жить отдельно.
  • Не исключаю, что по мере наделения ЦБ правом регулирования вопросов ИБ во всех своих "подведомственных" отраслях, а не только в банках и НПС, ЦБ установит требования по отчетности и для них. В конце концов, обратная связь о том, насколько действенны мероприятия по защите, устанавливаемые растущим числом нормативных актов ЦБ, надо как-то отслеживать.
Пока никем неозвученной остается вопрос с отчетностью по СТО БР ИББС. По сути эта отчетность сейчас является вырожденной. СТОБР плавно, но верно движется в сторону ГОСТа, в котором ни слова про необходимость отправлять отчетность. Вообще в новом ГОСТе для финансовых организаций эта тема обойдена вниманием и я полагаю, что это неслучайно. Если вспомнить идею ЦБ про разделение своих требований по ИБ на два уровня, то логично, что требование по отчетности будет стоять выше ГОСТа. Отчетность по СТОБР уходит в ГУБЗИ, но туда теперь уходить отчетность и по 2831-У. Зачем ГУБЗИ две отчетности, базирующиеся на общих требованиях, - обязательная (202-я) и рекомендательная? Ну и, наконец, в условиях роста важности FinCERT и перехода к более оперативной отчетности, результаты по СТОБР опять становятся малоинтересными. Отсюда делаю вывод - относительно скоро отчетность по СТО БР должна отмереть по моему скромному разумению. По крайней мере, это выглядело бы логичным.
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!