20 февраля. ФИНМАРКЕТ - Банк России выступает за внесение изменений в требования по защите информации при осуществлении переводов электронных денежных средств (ЭДС). Об этом сообщил вчера замдиректора департамента национальной платежной системы Банка России Роман Прохоров на VI Уральском форуме по информационной безопасности банков в Башкирии.
Он назвал 4 основные темы, связанные с защитой информации при осуществлении переводов: банкоматы и платежные терминалы, системы интернет-банкинга, мобильного банкинга и использование платежных карт.
Как уточнил Р.Прохоров, изменения носят и концептуальный, и технический характер. Так, концептуально регулятор предлагает акцентировать внимание на взаимодействии с клиентом, на повышении безопасности электронных систем платежей, на информации об инцидентах при реализации требований по безопасности. Технические изменения включают в себя уточнение способов выполнения требований по безопасности, мер по обеспечению осведомленности клиента о мерах безопасности, требований к разработке программного обеспечения систем дистанционного банковского обслуживания.
При использовании банкоматов и платежных терминалов предлагается классифицировать их, диверсифицировав защитные меры, проводить контроль состояния устройств. Кроме того, предлагается размещать информацию на лицевой панели банкомата и терминала, ввести новый порядок взаимодействия с банковскими платежными агентами, детализировать факторы, на основе которых принимаются решения о применении отдельных мер защиты.
В отношении интернет-банкинга регулятор предлагает установить лимиты на операции в системах банкинга, распространять обновления программного обеспечения для устранения уязвимостей, контролировать использование клиентами актуальных версий ПО, запретить оказание платежных услуг при изменении информации о клиенте, блокировать банкинг по сообщению клиента, определить требования к использованию одноразовых паролей.
В числе требований при использовании мобильного банкинга Центробанк считает необходимым наряду с требованиями, предъявляемыми к интернет-банкингу, определить особенности распространения систем через репозитории, обеспечить защиту информации от несанкционированного доступа.
Платежные карты, эмитированные после 1 января 2015 года, должны быть обязательно оснащены микропроцессорами (чипами). При этом продолжится обслуживание карт, эмитированных до 1 января 2015 года и оснащенных только магнитной полосой. По словам Р.Прохорова, ЦБР выдвинул такие предложения "после обсуждения с сообществом и принимая во внимание, что большинство крупных операторов самостоятельно приняли решение по переходу на карточки, которые используют чип".
Указанные изменения были обсуждены в рамках Технического комитета №122 "Стандарты финансовых операций" на совещаниях с профессиональными объединениями участников рынка. Вступление документа в действие планируется в течение 180 дней с даты его принятия.
По данным Р.Прохорова, ежемесячно фиксируется от 1,5 тыс. до 2,5 тыс. инцидентов, связанных с осуществлением платежей. В результате таких инцидентов около половины из них влекут несанкционированные переводы, отметил он.