Security Lab

Письмо ЦБ №27-Т - новый драйвер рынка ИБ?

Письмо ЦБ №27-Т - новый драйвер рынка ИБ?
В конце февраля многие мои коллеги из банковской сферы получили письмо ЦБ РФ №27-Т "О запросе и получении от кредитных организаций информации" с текстом:
"В целях расширения информационной основы банковского надзора в части применения кредитными организациями информационных технологий, в том числе интернет-технологий и других технологий дистанционного банковского обслуживания, прошу запросить и получить от кредитных организаций информацию в соответствии с прилагаемым перечнем вопросов (анкетой).

Полученную от кредитных организаций информацию прошу направить в Департамент банковского надзора в срок до 30 апреля 2013 года."
Вот банки и стали в срочном порядке (ответить-то надо до 30.04) собирать информацию. Но это оказалось не так-то просто. ЦБ прислал довольно "увесистый" опросник, в котором основной темой стала именно информационная безопасность. Спрашивают по следующим темам:
  1. Общая информация о кредитной организации (КО), 5 вопросов.
  2. Информация об организации противодействия противоправной деятельности с использованием информационных технологий (ПДИИТ), 22 вопроса.
  3. Информация об организации внутреннего контроля (ВК) в части противодействия ПДИИТ, 2 вопроса.
  4. Информация об организации финансового мониторинга в части противодействия ПДИИТ, 6 вопросов.
  5. Информация об организации службы информационной безопасности (ИБ) в части противодействия ПДИИТ, 16 вопросов.
  6. Информация об организации противодействия ПДИИТ при ДБО клиентов с применением программно-технических устройств, предназначенных для совершения операций с использованием платёжных карт (ПТУПК), 6 вопросов.
  7. Информация об организации противодействия ПДИИТ при осуществлении взаимодействия с клиентами - пользователями систем ДБО, 25 вопросов.
  8. Мнение КО, 3 вопроса.
Отвечать предлагают просто "Да", "Нет", "НВП" ("Невозможно предоставить", в случае, если подготовка ответов на те или иные вопросы анкеты вызывает существенные затруднения или требует чрезмерных трудозатрат) или "ИОД" (Если затребуемые сведения не могут быть предоставлены ввиду того, что КО в соответствии с требованиями внутренних документов относит их к информации ограниченного доступа). При этом желатьельно ответы давать с комментариями. Кстати, полагаю, что "Нет" на вопросы регулятора лучше не отвечать...

Похоже, что это такой пробный "проход" по банкам с целью понять состояние безопасности, и, видимо, скоро уже пойдут с проверками и соответствующими санкциями... 

Коллеги-интеграторы, готовьтесь к спросу на консалтинг по ИБ для банков!


P.S. Кстати, если еще не видели обновление требований по ПДн, то эта презентация для Вас -  http://www.securitylab.ru/blog/personal/80na20/29063.php
ИБ и БС Про ИБ
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире