ЦБ намерен ужесточить требования к платежным сервисам по защите информации

Банк России планирует значительно ужесточить требования к обеспечению защиты информации при осуществлении переводов денежных средств. Это следует из опубликованных 9 июля изменений в указание ЦБ №821-П. В частности, документом вводится обязательное использование криптографии класса не ниже КС1 (начальный уровень криптографической защиты) и усиленной электронной подписи, а также вводятся требования для трансграничных переводов. До сих пор банки и другие участники платежного рынка должны были соответствовать оценочному уровню доверия (ОУД4), установленному ГОСТом и показывающему текущий уровень защищенности программного обеспечения.

Также в положении ЦБ планируется расширить сферу регулирования обеспечения защиты информации за счет операций с биометрией и уточнив участие филиалов иностранных банков, а также операторов электронных платформ. Кроме того, уточняется время предоставления отчетности по инцидентам: сейчас оно формулируется как «своевременно», в новом варианте банкам дается 3 часа на информирование и до 30 дней — на расследование инцидента.

По данным Банка России, в первом квартале 2025 года было совершено 296,6 тыс. несанкционированных списаний средств со счетов граждан и компаний на общую сумму 6,9 млрд руб. При этом регулятор отмечает, что злоумышленниками было проведено 714 фишинговых атак, 70 DDoS-атак и 9 атак с использованием вредоносного программного обеспечения.

Эксперты отмечают, что изменения ужесточают требования к защите информации, особенно в части использования средств криптографической защиты информации, сертификации ПО и трансграничных переводов. По их мнению, акцент сделан на стандартизации процессов оценки защиты и на контроле со стороны Банка России.

Наиболее существенными для финсектора изменениями, на взгляд экспертов, являются новые требования к обеспечению целостности электронных сообщений и информации, связанной с биометрическими данными, для которых требуется применение усиленной электронной подписи.

По словам директора по работе с финансовым сектором компании SafeTech Ирины Чуриковой, требуется применение механизмов и протоколов, обеспечивающих защиту электронных сообщений и биометрических данных от искажения, фальсификации, переадресации и несанкционированного доступа. Также, по ее словам, важным является требование, согласно которому для регистрации действий с защищаемой информацией операторы обязаны синхронизировать время на объектах информационной инфраструктуры не реже одного раза в 24 часа с использованием ГЛОНАСС. Допустимое расхождение времени не должно превышать 3 секунд для критических участков и 5 секунд для остальных.

Кроме того, участники рынка отмечают введение требований, касающихся защиты персональных данных, которые при передаче по каналам связи должны шифроваться российской криптографией. По словам директора департамента кибербезопасности Абсолют-банка Руслана Ложкина, имеется в виду подтверждение клиента в виде второго фактора, которым может быть биометрия.

«Сама биометрия никуда не передается, только ее цифровой отпечаток, который нужно обязательно шифровать криптографией», — пояснил он. При этом крупные банки этот функционал реализуют сами, мелкие и средние банки чаще пользуются сторонними сервисами. Остается небольшой сегмент банков из числа средних, которые имеют свой интернет-банк и которым придется доработать необходимый функционал.

Эксперты отмечают, что стоимость исполнения требований ЦБ зависит от масштаба сети организации. Для среднего сегмента это примерно 20 млн рублей.

По теме: Россия вошла в топ-10 стран мира по расходам на кибербезопасность