ЦБ будет пропагандировать рискориентированный подход к безопасности

ЦБ будет пропагандировать рискориентированный подход к безопасности

Об этом заявил Заместитель Председателя Банка России Дмитрий Скобелкин 18 февраля на XII Уральском форуме «Информационная безопасность финансовой сферы».

Нередко банки говорят о том, что утечки персональных данных российских граждан – это не их вина, а их других организаций: розничных сетей, интернет-магазинов и т.д. Так ли это и как относится регулятор к таким заявлениям?

«Однозначно ответить на этот вопрос сложно, – считает Дмитрий Скобелкин. – Любая утечка информации и киберриски, которые при этом допускаются и реализуются – это огромные репутационные риски для банка. А это означает потерю клиентов. Естественно, банки будут говорить о том, что они белые и пушистые и что виноват кто угодно, только не банк. С другой стороны, нельзя ставить под сомнение и те доводы, которые приводит банковская организация. Поэтому мы и проводим инспекционные проверки с целью разобраться в ситуации. У нас нет задачи кого-то наказать. Пока мы очень мало организаций подвергли административному наказанию за неисполнение требований ИБ. Я, например, считаю, что здесь нужно более жёстко подходить к вопросу. Но опять же подход должен быть разумным, поскольку банк банку рознь».

Речь идёт о том, что базовый стандарт по информационной безопасности должен соблюдаться в любой кредитной организации. Но при этом необходимо понимать, что каждый банк обладает своей специализацией, банки отличаются по размерам и масштабам деятельности.

«В зависимости от масштаба деятельности того или иного банка должна соответственно развиваться и информационная безопасность и зашита клиентов от киберрисков» – подчеркнул Дмитрий Скобелкин. – Киберзащита стоит немалых средств и эти деньги нужно тратить разумно, чтобы клиенты были реально защищены».

Центральный банк будет пропагандировать рискориентированный подход к безопасности. Одна из форм выражения такого подхода – это проведение киберучений. «Если мы будем видеть проблемы, которые возникают у участников киберучений (они могут выражаться в том, например, что проникновение возможно), значит это станет предметом для дальнейших наших действий».

Дмитрий Скобелкин отметил, что речь не идёт о санкциях со стороны регулятора. Под рискориентированным подходом подразумевается наблюдение за банками, совместная работа над профилактикой проблем и не допущение из реализации.

18 февраля, 2020