Банкам предложили найти замену иностранной информбезопасности

ЦБ фактически устранился от проблем банковской информационной безопасности, которые возникли из-за ухода с российского рынка профильных иностранных компаний, пишет «Коммерсант» со ссылкой на письмо Банка России, в котором регулятор просто требует от кредитных организаций неких «компенсирующих мер», не уточняя, что именно нужно сделать.

Отмечается, что наличие обновлений и сертификация оборудования и ПО также являются нормативными требованиями. В Центробанке пояснили, что письмо выпущено «для поддержки участников финансового рынка» и что регулятор «принял решение пересмотреть порядок применения мер в отношении банков за нарушения». В то же время в ЦБ не ответили, что именно делать банкам и готовятся ли дополнительные разъяснения, отослав к ГОСТ «Безопасность финансовых (банковских) операций…». Опрошенные эксперты говорят, что и там не описаны конкретные меры.

Участники рынка ожидали разъяснения позиции регулятора и внесения изменений в нормативные акты, которые позволят им искать аналоги используемого ПО и оборудования без риска предписаний со стороны ЦБ. Однако, по словам собеседника в банке топ-30, так и нет понимания, что «конкретно можно считать достаточными мерами». В банке топ-20 уточнили, что такие меры можно подобрать далеко не всегда, особенно если приходят сообщения о большом количестве уязвимостей при отсутствии обновлений. «Компенсирующие меры были и в действовавшем с 2012 года положении 383-П, и банки периодически пытались их применять, однако случаи, когда ЦБ счел их достаточными, неизвестны», — рассказал бывший сотрудник ЦБ.