Российские банки обязаны информировать обо всех компьютерных инцидентах Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. Такое требование содержится во вступивших в силу 01 июля 2018 года Поправках к положению ЦБ №382-П, уточняющих требования к информационной безопасности участников национальной платежной системы.
Однако, как сообщает “
КоммерсантЪ”, кредитные учреждения могут столкнуться с трудностями в связи с необходимостью направлять регулятору информацию обо всех спам-рассылках, содержащих вредоносные программы. Как следствие, за неполное раскрытие информации банкам грозит наказание от ЦБ РФ.
Эксперты рассказали источнику о том, что основное затруднение в выполнении требований Банка России состоит в том, что среди общего объема электронных писем спам может занимать более половины (60–80%). Участники рынка добавили, что сейчас сообщают регулятору о спам-рассылках выборочно, исключая, к примеру, те письма, которые автоматически блокируются системами безопасности банков. И это вполне соответствует требованиям ЦБ РФ, ведь в положении «О требованиях к защите информации…» определена обязанность финансовых организаций сообщать об инцидентах, связанных с обнаружением вредоносного ПО внутри организации на участке платежной системы Банка России.
Теоретически неинформирование обо всех случаях получения спам-рассылки, содержащей вредоносное ПО, может быть отнесено к нарушению. Однако эксперты уверены, что если банк сообщает хотя бы о каких-то спам-рассылках, привлечь его к ответственности будет затруднительно.
Zaim.com