Регулятор вынуждает банки Казахстана лучше предохраняться

12179

До 1 декабря 2018 финансовым учреждениям страны надо приготовиться по-новому защищать себя и клиентов от киберугроз

Фото: © Depositphotos.com/makidotvn

В прошлом году сразу несколько казахстанских банков подверглись беспрецедентным хакерским нападениям. В частности, массивной DDoS-атакой пытались парализовать работу цифрового банкинга Qazkom. Нацбанк Казахстана считает кибератаки новым риском для банковской системы, а Ассоциация финансистов Казахстана призвала банковских вкладчиков к повышенной осторожности при проведении операций в интернете. По оценкам специалистов в области высокотехнологичных преступлений, рынок киберпреступности в СНГ удваивается каждые 2 года.

Год назад мир узнал о WannaCry — вымогателе, поразившем работу тысяч организаций по всему миру. В общей сложности от червя пострадало более 400 тыс. компьютеров планеты. Казахстан же отделался малой кровью - в стране было заражено около 100 компьютеров. В целом же ежегодно каждый третий промышленный компьютер в стране подвергается атаке извне, и такие случаи учащаются. А в некоторых странах ущерб от виртуальных преступлений уже превышает от убытки от «офлайн»-криминала.

Олег Прокудин
Олег Прокудин

Это и многое другое подвигло Нацбанк Казахстана ужесточить требования к информационной безопасности банков и других организаций, которые занимаются некоторыми видами банковских операций. Об этом во вторник, 28 августа, говорили эксперты PwC Казахстан на встрече в Алматы.

Как рассказал менеджер компании Олег Прокудин, постановление было принято в марте 2018 и полностью вступит в силу 1 декабря этого года.

- Предыдущее постановление было принято ещё в 2001 году и помещалось на пяти страницах распечатанного текста. Новое содержит 11 параграфов и 161 пункт требований, - сообщил г-н Прокудин. – Думаю, за 17 лет не только в стране, но и в мире многое поменялось, поменялись технологии. Например, 17 лет назад к паролям были требование только по длине и сложности. Сейчас требования приблизились к мировым – добавили частоту смены и т.д. У банков Казахстана осталось на подготовку три месяца. К 1 декабря надо будет разработать политику и процедуры в сфере информационной безопасности. Да и инфраструктурный список большой.

В PwC рассказывают, что некоторые, особенно крупные, банки и ранее внедряли в компаниях значительно больше процессов по обеспечению безопасности, чем того требовал Нацбанк. Но некоторые новые требования будет непросто исполнить даже им, и на этой уйдёт немало денег и времени. Что уж говорить о небольших банках! В частности, это касается требования по установке системы видеонаблюдения, архив которой должен храниться 3 месяца. А информация об инцидентах – попытках взлома, атаках и т.д. - должна храниться в банке 5 лет.

Борис Мазец
Борис Мазец

- Одно из главных нововведений – банки по сути должны иметь системы управления информационной безопасностью, - рассказал старший менеджер PwC Борис Мазец.А это - наличие людей, процессов и информационных систем. Чётко определены участники системы и их обязанности. Теперь в процесс вовлечены совет директоров, правление, отдел кадров, юристы и т.д. – порядка 11 сторон.  

Теперь информационная безопасность должна быть отделена от IT-подразделений, и безопасники должны подчиняться члену правления, который не руководит IT-подразделением, или напрямую председателю правления.

Теперь Нацбанк требует, чтобы до 10 января каждого года банки отправляли регулятору отчёты о состоянии информационной безопасности в банке. Кроме того, в Нацбанк необходимо будет незамедлительно отправлять сведения об инцидентах, которые происходят в системе защиты. А ещё ежеквартально посылать отчёты об обработанных инцидентах. Ну и приготовиться раз в три года к приходу «гостей» из Нацбанка, которые будут проверять банк на соответствие новым требованиям.

   Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter

Орфографическая ошибка в тексте:

Отмена Отправить