Основные темы

• Формирование риск-профиля финансовых организаций.
• Киберустойчивость, операционная надежность, непрерывность, бесперебойность.
• Развитие киберкультуры.
• Защита персональных данных.

Ключевые вопросы

• Сдвиг от compliance к реальной оценке способности финансовых организаций противостоять угрозам ИБ.
• Разработка нормативных актов по управлению рисками.
• Киберучения ЦБ.
• Взаимодействие с операторами связи.
• Цифровые финансовые активы.
• Цифровой профиль граждан.
• Социальный инжиниринг.
• Open API.
• Кадры.
• Цифровой суверенитет.
• Персональные данные.

Основные тезисы

• Если раньше оценку состояния информационной безопасности проводили от одной аудиторской проверки до другой, то сейчас тенденция смещается в сторону непрерывного мониторинга.
• Изменяются показатели оценки финансовых организаций в целях лишения организаций возможности манипулировать отчетностью. Помимо уже имеющихся механизмов проверки появятся другие показатели риск-профиля: показатель несанкционированных операций, показатель операционной надежности, показатель оценки соответствия, качество управления рисками и информационный фон. Для оценки введенных показателей будут разработаны новые нормативные акты Банка России, после чего начнет формироваться единый профиль риска для каждой финансовой организации.
• Усиление контроля и внимания со стороны регулятора будет зависеть от значений показателей риск-профиля.
• Во втором квартале 2020 года ожидается опубликование Положения о системе управления операционными и информационными рисками.
• На основании данных ФинЦЕРТ планирует подготовить сценарии атак на бизнес-процессы. Эти сценарии в качестве задания будут предоставляться поднадзорным организациям для их отработки как кейсов.
• Дорабатывается принятый в первом чтении законопроект № 514780-7 «Об обмене информацией между операторами связи и финансовыми организациями в части создания Единой информационной системы проверки сведений об абоненте».
• Ожидается проведение второго чтения законопроекта № 419059-7 «О цифровых активах и о внесении изменений в отдельные законодательные акты Российской Федерации».
• Планируется усиление требований по антифроду для профилактики мошеннических операций через социальный инжинеринг, когда пострадавшая сторона по своей воле осуществляет перевод денежных средств мошенникам.
• Разрабатывается два открытых стандарта IPA: первый описывает открытые программные интерфейсы, второй предназначен для требований по информационной безопасности.
• Ожидается выпуск профессионального стандарта для специалистов по информационной безопасности в кредитно-финансовой сфере.
• Ужесточение требований Федеральной службы по техническому и экспортному контролю к объектам критической информационной инфраструктуры (КИИ): все прикладное программное обеспечение, используемое на значимых объектах КИИ, должно соответствовать уровню доверия ДСП; перевод значимых объектов КИИ на российские средства защиты информации, к которым также предъявляются требования.
• Готовится ряд законопроектов по ужесточению требований, касающихся персональных данных. Планируется введение требований GDPR по обязательному уведомлению об утечке персональных данных, также будет предусмотрена административная и уголовная ответственность за торговлю персональными данными.

Презентация Алексея Лукацкого >>