Банку России важно разобраться в технологии обработки информации и сейчас эта работа активно ведётся, причем именно в отношении блока некредитных финансовых организаций. На что нацелены усилия регулятора рассказал заместитель директора — начальник Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России Андрей Выборнов в ходе Осенней сессии Уральского форума.
Представитель регулятора отметил, что перед Банком России стоит задача разобраться, из каких конкретных операций состоит процесс обработки защищённой информации в отношении их поднадзорных и их видов деятельности. Регулятор пытается оценивать риски реализации компьютерных атак на каждом из технологических участков. Банк России будет активно использовать опыт международных площадок, где эта тема сейчас активно развивается.
Все регулирование должно отталкиваться от понимания бизнеса процессов и обработки информации и концентрироваться на трёх уровнях, подчеркнул Андрей Выборнов. Первый уровень - это выбор технологических мер защиты информации. Это все, что связано с обеспечением целостности и достоверности информации, которая обрабатывается в рамках проводимых операций.
Второй уровень - это требования к безопасности программного обеспечения и регулятор такую работу ведёт.
Третий уровень - это требования к инфраструктуре. Существует ГОСТ по защите информации, который многим уже известен. Ведутся иакже активные работы по разработке другого ГОСТа. Это инфраструктурные требования, направленные на защиту информации.