Безопасность банковских платежей: новые вопросы A− A= A+
12 декабря в Банке России состоялось внеочередное заседание подкомитета ПК1 «Безопасность финансовых (банковских) операций») Технического комитета ТК122.
На заседании большинством голосов был утвержден новый методический документ («Профиль защиты…»), упорядочивающий деятельность разработчиков программного обеспечения. «Профиль защиты…» требует, чтобы разработчики всякий раз подтверждали отсутствие уязвимостей нового релиза программного обеспечения силами специальной сторонней лаборатории. Разработкой нового ПО часто занимаются сами банки, особенно, крупные, нормативы ЦБ существенно усложняют эту работу. Напряженность при обсуждении документа снял первый замглавы департамента информационной безопасности ЦБ Артем Сычев, он дал временной лаг всем игрокам рынка - в течение года разработчиков не будут наказывать за неисполнение требований документа.
«Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций»
Оценивая документ в целом, отмечу, что он обстоятельный и непростой, тем более, что подготовлен в период реформ процедур оценки продуктов со стороны ФСТЭК. Так, ФСТЭК сообщила, что в 2019 года сертификация на контроль отсутствия НДВ (НДВ — недекларированные возможности в информационной безопасности) прекращена, а все имеющиеся сертификаты "НДВ" и "ОУД" до 01.01.2020 г. должны быть переоформлены по новым требованиям или в противном случае будут аннулированы.
В ходе обсуждений было много разумных предложений по редакции текста. Рабочая группа ПК1 за 2 месяца, в течение которых она работала на документом, дала более 400 предложений, практически все они были учтены.. Я голосовал «за» принятие документа, против выступили представители Сбербанка, ВТБ, Московской биржи и некоторые другие, занимающиеся разработкой ПО «инхаус». Большинством голосов документ был утвержден.
Отмечу в заключение, что введение любых ужесточающих норм, как правило, торпедируется банковскими лоббистами. Как пример, напомню обсуждение пресловутой статьи 9 закона 161-ФЗ, требующей от банка вернуть все похищенные средства клиенту. Статья при обсуждениях в ЦБ полностью отвергалась всеми банковскими ассоциациями - они голосовали против. Считалось, что клиенты будут воровать деньги сами у себя, потом требовать у банков их получения и так далее. Теперь, когда в банках убедились, что клиент сам у себя ничего не ворует и, более того, можно вообще ничего ему не возвращать, всякий раз обвиняя в нарушении правил пользования платёжным инструментом, банки успокоились. Другого какого-то отношения к новому документу ожидать вряд ли стоило.