9 июля Банк России опубликовал проект изменений к указанию №821-П, который предусматривает ужесточение требований к обеспечению защиты информации при осуществлении переводов денежных средств.
Документом вводится обязательное применение криптографии класса не ниже КС1 (начальный уровень) и усиленной электронной подписи, а также формулируются требования для трансграничных переводов. Ранее участники финрынка должны были соответствовать оценочному уровню доверия (ОУД4), установленному ГОСТом.
Наиболее значимыми для финсектора отраслевые эксперты видят изменения в обеспечении целостности электронных сообщений и информации, связанной с биометрией, для которых предусмотрено применение усиленной ЭП: кредитным учреждениям потребуется применение новых механизмов и протоколов, обеспечивающих защиту таких данных от искажения, фальсификации, переадресации и несанкционированного доступа.
Кроме того, теперь при передаче ПДн по каналам связи необходимо будет шифровать их с использованием отечественных криптографических средств (в качестве второго фактора подтверждения личности клиента может использоваться биометрия). При этом сама биометрия не передаётся — только её цифровой отпечаток.
Стоимость исполнения требований ЦБ РФ зависит от масштаба ИТ-инфраструктуры конкретного банка, но в среднем оценивается экспертами в 20 млн рублей. Оценка же соответствия проводится специализированными организациями и стоит от 1 млн рублей.