Об отчетности ЦБ по ИБ
|
03 марта 2017 |
|
На днях ЦБ выпустил
обзор несанкционированных переводов денежных средств за 2016-й год, то
есть опубликовал результаты анализа 203-й формы отчетности, которую
операторы по переводу денежных средств и иные участники Национальной
платежной системы должны ежемесячно подавать регулятору. Чтобы мне
хотелось сказать по факту выхода данной отчетности:
- Подготовка сводного обзора по итогам
анализа присланных банками отчетов перешла уже официально от ДНПС в
ГУБЗИ, что сразу же сказалось в лучшую сторону на самом отчете. Прошлые
отчеты, а последний был опубликован 2 года назад (в прошлом году были только предварительные цифры на Уральском форуме), носили PR-характер
и никакой пользы для банковских безопасников не имели. Зато журналисты
с радостью хватались за суммы похищенных и готовящихся к хищению
средств. В нынешнем же отчете помимо сумм и числа инцидентов добавили
также информацию о местах совершения инцидентов, а также о их причинах и
фактах обращения в правоохранительные органы. Да, это не все, что
попадает в 203-ю отчетность, но все же лучше, чем было.
- Сейчас
подготовлен проект новой 203-й формы, по которому можно уже сказать, что
ЦБ усиливает роль FinCERT в деле работы со статистикой по инцидентам.
Сейчас банки обязаны уведомлять об инцидентах FinCERT только в рамках
552-П (по АРМ КБР). Однако судя по тому, какой станет 203-я отчетность
(только общие цифры по суммам и числу инцидентов), могу предположить,
что FinCERT подомнет под себя техническую отчетность и по остальным
направлениям регулирования.
- 258-я отчетность (по инцидентам с платежными картами) с 203-й уже не сольется - они будут жить отдельно.
- Не
исключаю, что по мере наделения ЦБ правом регулирования вопросов ИБ во
всех своих "подведомственных" отраслях, а не только в банках и НПС, ЦБ
установит требования по отчетности и для них. В конце концов, обратная
связь о том, насколько действенны мероприятия по защите, устанавливаемые
растущим числом нормативных актов ЦБ, надо как-то отслеживать.
Пока
никем неозвученной остается вопрос с отчетностью по СТО БР ИББС. По
сути эта отчетность сейчас является вырожденной. СТОБР плавно, но верно
движется в сторону ГОСТа, в котором ни слова про необходимость
отправлять отчетность. Вообще в новом ГОСТе для финансовых организаций
эта тема обойдена вниманием и я полагаю, что это неслучайно. Если
вспомнить
идею
ЦБ про разделение своих требований по ИБ на два уровня, то логично,
что требование по отчетности будет стоять выше ГОСТа. Отчетность по
СТОБР уходит в ГУБЗИ, но туда теперь уходить отчетность и по 2831-У.
Зачем ГУБЗИ две отчетности, базирующиеся на общих требованиях, -
обязательная (202-я) и рекомендательная? Ну и, наконец, в условиях роста
важности FinCERT и перехода к более оперативной отчетности, результаты
по СТОБР опять становятся малоинтересными. Отсюда делаю вывод -
относительно скоро отчетность по СТО БР должна отмереть по моему
скромному разумению. По крайней мере, это выглядело бы логичным.
Источник
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.