1.3.17

Об отчетности ЦБ по ИБ

На днях ЦБ выпустил обзор несанкционированных переводов денежных средств за 2016-й год, то есть опубликовал результаты анализа 203-й формы отчетности, которую операторы по переводу денежных средств и иные участники Национальной платежной системы должны ежемесячно подавать регулятору. Чтобы мне хотелось сказать по факту выхода данной отчетности:
  • Подготовка сводного обзора по итогам анализа присланных банками отчетов перешла уже официально от ДНПС в ГУБЗИ, что сразу же сказалось в лучшую сторону на самом отчете. Прошлые отчеты, а последний был опубликован 2 года назад (в прошлом году были только предварительные цифры на Уральском форуме), носили PR-характер и никакой пользы для банковских безопасников не имели. Зато журналисты с радостью хватались за суммы похищенных и готовящихся к хищению средств. В нынешнем же отчете помимо сумм и числа инцидентов добавили также информацию о местах совершения инцидентов, а также о их причинах и фактах обращения в правоохранительные органы. Да, это не все, что попадает в 203-ю отчетность, но все же лучше, чем было.
  • Сейчас подготовлен проект новой 203-й формы, по которому можно уже сказать, что ЦБ усиливает роль FinCERT в деле работы со статистикой по инцидентам. Сейчас банки обязаны уведомлять об инцидентах FinCERT только в рамках 552-П (по АРМ КБР). Однако судя по тому, какой станет 203-я отчетность (только общие цифры по суммам и числу инцидентов), могу предположить, что FinCERT подомнет под себя техническую отчетность и по остальным направлениям регулирования.



  • 258-я отчетность (по инцидентам с платежными картами) с 203-й уже не сольется - они будут жить отдельно.
  • Не исключаю, что по мере наделения ЦБ правом регулирования вопросов ИБ во всех своих "подведомственных" отраслях, а не только в банках и НПС, ЦБ установит требования по отчетности и для них. В конце концов, обратная связь о том, насколько действенны мероприятия по защите, устанавливаемые растущим числом нормативных актов ЦБ, надо как-то отслеживать.
Пока никем неозвученной остается вопрос с отчетностью по СТО БР ИББС. По сути эта отчетность сейчас является вырожденной. СТОБР плавно, но верно движется в сторону ГОСТа, в котором ни слова про необходимость отправлять отчетность. Вообще в новом ГОСТе для финансовых организаций эта тема обойдена вниманием и я полагаю, что это неслучайно. Если вспомнить идею ЦБ про разделение своих требований по ИБ на два уровня, то логично, что требование по отчетности будет стоять выше ГОСТа. Отчетность по СТОБР уходит в ГУБЗИ, но туда теперь уходить отчетность и по 2831-У. Зачем ГУБЗИ две отчетности, базирующиеся на общих требованиях, - обязательная (202-я) и рекомендательная? Ну и, наконец, в условиях роста важности FinCERT и перехода к более оперативной отчетности, результаты по СТОБР опять становятся малоинтересными. Отсюда делаю вывод - относительно скоро отчетность по СТО БР должна отмереть по моему скромному разумению. По крайней мере, это выглядело бы логичным.