Банковское обозрение

Финансовая сфера


26.02.2020 Аналитика
ИБ в ходе трансформации надзора

Итоги XII Уральского форума «Информационная безопасность финансовой сферы» подвел Алексей Лукацкий, эксперт в области ИБ. Предлагаем ознакомиться с тезисами его выступления


Дмитрий Олейников
Обозреватель «Б.О»

Основные темы

  • Формирование риск-профиля финансовых организаций.
  • Киберустойчивость, операционная надежность, непрерывность, бесперебойность.
  • Развитие киберкультуры.
  • Защита персональных данных.

Ключевые вопросы

  • Сдвиг от compliance к реальной оценке способности финансовых организаций противостоять угрозам ИБ.
  • Разработка нормативных актов по управлению рисками.
  • Киберучения ЦБ.
  • Взаимодействие с операторами связи.
  • Цифровые финансовые активы.
  • Цифровой профиль граждан.
  • Социальный инжиниринг.
  • Open API.
  • Кадры.
  • Цифровой суверенитет.
  • Персональные данные.

Основные тезисы

  • Если раньше оценку состояния информационной безопасности проводили от одной аудиторской проверки до другой, то сейчас тенденция смещается в сторону непрерывного мониторинга.
  • Изменяются показатели оценки финансовых организаций в целях лишения организаций возможности манипулировать отчетностью. Помимо уже имеющихся механизмов проверки появятся другие показатели риск-профиля: показатель несанкционированных операций, показатель операционной надежности, показатель оценки соответствия, качество управления рисками и информационный фон. Для оценки введенных показателей будут разработаны новые нормативные акты Банка России, после чего начнет формироваться единый профиль риска для каждой финансовой организации.
  • Усиление контроля и внимания со стороны регулятора будет зависеть от значений показателей риск-профиля.
  • Во втором квартале 2020 года ожидается опубликование Положения о системе управления операционными и информационными рисками.
  • На основании данных ФинЦЕРТ планирует подготовить сценарии атак на бизнес-процессы. Эти сценарии в качестве задания будут предоставляться поднадзорным организациям для их отработки как кейсов.
  • Дорабатывается принятый в первом чтении законопроект № 514780-7 «Об обмене информацией между операторами связи и финансовыми организациями в части создания Единой информационной системы проверки сведений об абоненте».
  • Ожидается проведение второго чтения законопроекта № 419059-7 «О цифровых активах и о внесении изменений в отдельные законодательные акты Российской Федерации».
  • Планируется усиление требований по антифроду для профилактики мошеннических операций через социальный инжинеринг, когда пострадавшая сторона по своей воле осуществляет перевод денежных средств мошенникам.
  • Разрабатывается два открытых стандарта IPA: первый описывает открытые программные интерфейсы, второй предназначен для требований по информационной безопасности.
  • Ожидается выпуск профессионального стандарта для специалистов по информационной безопасности в кредитно-финансовой сфере.
  • Ужесточение требований Федеральной службы по техническому и экспортному контролю к объектам критической информационной инфраструктуры (КИИ): все прикладное программное обеспечение, используемое на значимых объектах КИИ, должно соответствовать уровню доверия ДСП; перевод значимых объектов КИИ на российские средства защиты информации, к которым также предъявляются требования.
  • Готовится ряд законопроектов по ужесточению требований, касающихся персональных данных. Планируется введение требований GDPR по обязательному уведомлению об утечке персональных данных, также будет предусмотрена административная и уголовная ответственность за торговлю персональными данными.

Презентация Алексея Лукацкого >>




Сейчас на главной