С сегодняшнего дня у нас появились реальные рычаги, которые позволят заставить банки «залатать дыры» в своем ПО, а также сменить устаревшее железо.
Сегодня, 16.03.2015г. вступило в силу Указание Центрального Банка Российской Федерации N 361-У от 14 августа 2014 г. (Текст опубликован в вестнике Банка России № 83 на стр. 41).
Указание N 361-У вносит изменения в Положение Банка России от 9 июня 2012 года N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Помимо описания того, какие именно защитные механизмы должно содержать «программное обеспечение, предназначенное для использования клиентами при осуществлении переводов денежных средств», Указание N 361-У также вносит в вышеуказанное Положение новый пункт 2.5.10 следующего содержания:
2.5.10. Оператор по переводу денежных средств регламентирует и контролирует внесение изменений в программное обеспечение, средства вычислительной техники в составе объектов информационной инфраструктуры, а также в программное обеспечение, используемое клиентом при осуществлении переводов денежных средств; при этом в обязательном порядке должны вноситься изменения, направленные на устранение ставших известными оператору по переводу денежных средств уязвимостей программного обеспечения, средств вычислительной техники.
Таким образом, Центральный Банк Российской Федерации обязал банки (и прочие организации, осуществляющие переводы денежных средств) реагировать на «ставшие им известными» уязвимости ПО и железа.
Уверен, что теперь поиск уязвимостей в банковском ПО, а также оповещение банков о найденных уязвимостях будет для всех нас занятием более приятным и результативным.
Автор: ITlawRu
