А. ВЫБОРНОВ: «В регулировании вопросов защиты информации на финрынке мы намерены исходить в первую очередь из анализа бизнес-процессов поднадзорных субъектов»   

Цель регулирования и надзора — не просто установить некие абстрактные требования к защите информации, а обеспечить защиту клиентов и условий для стабильного развития технологий, заявил заместитель директора – начальник Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России Андрей Выборнов, Это, безусловно, требует изменения подходов — в то же время спектр организаций, которые попали под регулирование, требует от нас формирования определённых стандартных схем, которые затем можно было бы адаптировать под конкретные объекты регулирования.

Нам бы хотелось, чтобы первым этапом при установлении требований был бы анализ бизнес-процессов наших поднадзорных субъектов. Зная их, понимая особенности обработки информации, мы будем вырабатывать меры регулирования как к самим бизнес-процессам, так и к информационной инфраструктуре. По сути, у нас должны будут сформироваться четыре основных домена: домен по защите информации, домен по обеспечению информационной надёжности, домен по управления киберрисками при аутсорсинге и использовании сторонних информационных сервисов, и домен по управлению инцидентами ИБ.
 
Очевидно, что очень актуальной темой является обеспечение безопасности приложений. Если говорить об общем подходе, то мы его сформулировали так: приложения, которые передаются клиентам, и приложения, которые находятся во фронт-офисах организациях, должны в первую очередь проверяться на наличие уязвимостей.   
 
Следующее направление, над которым мы активно работаем — это формирование для каждой категории поднадзорных организаций своего профиля риска, поскольку метод формирования этого профиля сильно зависит от специфики деятельности тех или иных поднадзорных организаций. Для того, чтобы это сделать, необходимо обеспечить сбор достоверной информации, и затем на основе анализа этой информации достичь понимания того, как компьютерные атаки могут привести к осуществлению незаконных операций, к прерыванию деятельности компании или банка, к отказу от предоставления ими финансовых услуг своим клиентам.