ЦБ РФ обрисовал стратегию развития информационной безопасности на финансовом рынке

ЦБ РФ обрисовал стратегию развития информационной безопасности на финансовом рынке

ЦБ РФ обрисовал стратегию развития информационной безопасности на финансовом рынке

Банк России обнародовал стратегическую программу ИБ-развития до 2021 года, одобренную Советом директоров. Реализация программы, как предполагается, позволит ЦБ РФ к концу этого периода сформировать
полное видение уровня риска отдельных банков и других кредитно-финансовых организаций и их готовность противостоять кибератакам.

Документ под названием «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов» размещен на официальном сайте ЦБ РФ и «призван конкретизировать цели Банка России по обеспечению устойчивости финансового рынка и повышению
уровня его информационной безопасности».

Документ описывает задачи мегарегулятора по обеспечению защиты инфраструктуры банков и иных учреждений финансовой сферы, их прикладного ПО и финансовых технологий, сотрудничества на международном
уровне, защите прав потребителей финансовых услуг, активного участия в развитии программы импортозамещения, а также участие в реализации федерального проекта «Информационная безопасность».
Затронуты и такие аспекты, как информационная безопасность технологий обработки данных, подготовка кадровых специалистов по информбезопасности, внедрение методов криптографической защиты и
регулирование роботизации.

Как следует из текста программы, оценивать риск ИБ в каждой кредитно-финансовой организации, поднадзорной ЦБ РФ, последний будет по установленным метрикам. На основе этой оценки Банк России будет
определять, насколько эффективно ИБ-обеспечение в масштабе всей кредитно-финансовой сферы России. Одной из таких метрик станет соответствие требованиям государственных стандартов в части защиты
информации, непрерывности деятельности, управления рисками и аутсорсинга. Критерием оценки уровня защиты приложений станет сертификация.

Точки риска в информационных технологиях, которые используют организации кредитно-финансовой сферы, будут выявляться на основе анализа данных с применением технологии Big Data.

Нейтрализовать выявленные риски Банк России предполагает с помощью методологии расчета минимального размера финансового обеспечения, требуемого для покрытия потенциального ущерба, которые регулятор
собирается разрабатывать.

Основные направления развития ИБ, как указано в документе, соответствуют лучшим мировым практикам. Так, при разработке программы использовался опыт Национального института стандартов
и технологий США (National Institute of Standards and Technology, NIST), Европейской службы банковского надзора (European Banking Authority, EBA), Международной организации комиссий
по ценным бумагам (International Organization of Securities Commissions, IOSCO) и других финансовых и регулирующих институтов.

За слабое обеспечение информационной безопасности, в том числе плохую защиту от кибератак, компании будут наказаны. Об этом представителям СМИ сообщил первый замдиректора ИБ-департамента ЦБ РФ
Артем Сычев на полях форума АБР «Банки России – XXI век», который проходил в Сочи с 11 по 14 сентября. До конца 2019 года Банк России сформирует для финансовых организаций риск-профили, которые
будут отражать их уровень информационной безопасности. Низкий риск-профиль может стать причиной штрафных санкций.

Как сообщают СМИ, инициативы регулятора участники рынка восприняли пока настороженно, назвав часть из них нереалистичными, и еще часть – неясными.

К примеру, бизнес-консультант по безопасности Cisco Алексей Лукацкий считает, что планы по регулированию Банком России применения больших данных, искусственного интеллекта, роботизации и IoT в
кредитно-финансовой сфере выглядят, как минимум, необычно, особенно с учетом того, что в мире подобные направления вообще не регулируются.

ЦБ РФ обрисовал стратегию развития информационной безопасности на финансовом рынке

Идея введения аккредитации аудиторских организаций по информационной безопасности, численность которых у мегарегулятора в настоящее время составляет порядка 20 тыс., может привести к созданию
искусственного спроса и росту затрат, продолжил эксперт. К тому же, такой аудитор, кроме аккредитации ЦБ РФ, должен иметь и лицензию Федеральной службы по техническому и экспортному контролю
(ФСТЭК России).

Спорными, с точки зрения экспертов, являются и перспективы инициативы мегарегулятора по массовому применению криптографии на финансовом рынке, которая может столкнуться с серьезными правовыми и
административными барьерами. Так, по словам директора компании FBK CyberSecurity Александр Черненко, ФСБ чаще всего занимает достаточно жесткую позицию в этом вопросе. К примеру, история
разработки ключевых нормативных документов ЦБ РФ в сфере ИБ показывает, что довольно часто ФСБ и Банку России договориться непросто.

Источник: http://www.it-world.ru/it-news/security/148651.html