Для повышения удобства работы и хранения данных веб-сайт aktiv-company.ru использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.

Банки в России обяжут проводить ежегодные пентесты своего ПО

Операторы денежных переводов должны будут проверять свое ПО на соответствие стандартам. Никита Нецкин, руководитель направления по работе с финансовым сектором компании «Актив», прокомментировал инициативу Банка России.

Банк России разработал проект указания о внесении изменений в Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.

Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.

Никита Нецкин

Руководитель направления по работе с финансовым сектором, Актив

Документ призван поднять уровень безопасности денежных переводов и как минимум заставит банки более внимательно отнестись к проблеме мошенничества в данной сфере. О многих изменениях речь шла довольно давно, и дальновидные банки уже подготовились к нововведениям.

В системах дистанционного банковского обслуживания от ведущих разработчиков уже реализована поддержка решений класса TrustScreen, что позволяет клиенту осуществлять подтверждение реквизитов платежа в доверенной среде вне операционной системы. Но нужно быть внимательным, так как не все представленные на рынке решения имеют сертификат на СКЗИ.

Информирование о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, также пойдет рынку на пользу. К сожалению, в банковском секторе есть недобросовестные игроки, которые экономят на безопасности, и соответственно, переносят свои собственные риски на клиентов. Бороться с ними можно только введением нормативных документов.

Комментарии остальных экспертов доступны в полной версии статьи на сайте SecurityLab.ru.