Банк России потребовал от российских банков принятия неких «компенсирующих мер», не уточнив при этом, что именно должны сделать отечественные кредитные учреждения на фоне ухода с рынка иностранных ИБ-вендоров. Эксперты уверены, что ЦБ РФ просто устраняется от возникших в банковской отрасли проблем информационной безопасности, сообщает «Коммерсантъ».
Банк России 28 марта направил в российские банки письмо, в котором финрегулятор потребовал от кредитных учреждений применить «компенсирующие меры» для обеспечения необходимого уровня кибербезопасности систем на фоне западных санкций и ухода с рынка РФ профильных зарубежных организаций.
При этом наличие сертификации и обновления используемого оборудования и программного обеспечения – это нормативное требование, но многие иностранные ИБ-вендоры прекратили оказывать корпоративным клиентам техподдержку.
В ЦБ РФ заявили, что письмо направлено «для поддержки участников российского финрынка», а финрегулятор «решил пересмотреть порядок применения мер в отношении кредитных учреждений за нарушения».
При этом в ЦБ РФ не стали отвечать на вопрос относительно того, что должны делать российские банки в рамках «компенсирующих мер».
Журналисты отмечают, что банковская сфера ожидает дополнительных разъяснений от ЦБ РФ, а также внесения изменений в нормативные акты, что могло бы позволить российским банкам использовать отечественные аналоги применяемого в своей работе иностранного программного обеспечения и оборудования без риска каких-либо санкций со стороны Банка России.
При этом один из источников заявил, что крупнейшие российские банки сейчас не имеют понимания относительного того, что Банк России будет считать «достаточными компенсирующими мерами» в сфере ИБ.
Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM, прокомментировал: "Говоря про компенсирующие меры, в первую очередь нужно определить, в части каких мер невозможно выполнить требования ЦБ напрямую. Для определения компенсирующих мер нужно исходить из оценки вектора, который должен закрываться прямой мерой. Так, например, в некоторых случаях возможно воспользоваться шифрованием данных.
Очень часто финансовые организации пренебрегают этим простым и популярным инструментом защиты. По сути, в части компенсационных мер защита сводится не к выстраиванию системы ЗИ, а к обоснованию для ЦБ, что принятые меры в достаточной степени закрывают необходимый вектор. Однако, в части выполнения требований ЦБ стоит задуматься, что дешевле: выполнить меру ГОСТа с компенсацией и пройти требование реализации, или закрыть вектор со сниженной оценкой за реализацию".
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: | VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.