Банк России идёт в сторону риск-ориентированного надзора. При этом особую важность приобретает то, насколько банки способны организовать реальную защиту своих информационных систем, рассказал в ходе выступления на XI Уральском форуме первый заместитель директора Департамента информационной безопасности Банка России Артём Сычев.
Участников рынка в этом году ждут два нормативных документа в сфере соблюдения требований информационной безопасности, один из которых касается банков, другой — небанковских финансовых организаций. Почему это важно? - Практика жизни показала, что тонкое место у банков не в платёжных технологиях, злоумышленники заходят с той стороны, где открыта калитка. А открыта она оказалась со стороны защита периметра банков.
Мы поняли, что в последнее время злоумышленники используют две уязвимости, и обе они — в программном обеспечении Microsoft. Это один момент. И второй очень важный момент — мы идём в сторону риск-ориентированного надзора: нами уже было проверено 59 банков, сейчас на стадии проверки находится ещё 7 банков. При этом те организации, которые уже прошли через проверку, могли на собственном опыте убедиться, что речь не идёт на ответы на стандартные вопросы — регулятор проверяет, насколько банки реально способны обеспечить свою безопасность.
И в-третьих, вызовом для кредитных организаций оказался базовый уровень образования и профессиональной подготовки сотрудников департаментов и управлений ИБ. Мне сложно представить себе, что сотрудник ИБ может спрашивать у регулятора, какой сертификат имеет то или иное средство защиты, при том, что вся необходимая для ответа на этот вопрос информация опубликована ФСТЭК. Но так бывает, и в этом контексте мы формулируем третий вызов для банковской системы — повышение уровня профессионализма тех, кто отвечает за реальную защиту банковских организаций. Иными словами, подход к разработке «безопасной услуги» должен быть системным.
.jpg)
