ИБ-риски как базовые риски при ведении банковской деятельности

Второй день XII Уральского форума «Информационная безопасность финансовой сферы» начался с сессии «Вам ехать или шашечки?», посвященной практике выполнения требований нормативных документов Банка России. Разумеется, она началась с выступлений представителей именно Центробанка.
 
Андрей Выборнов, начальник отдела методологии обеспечения безопасности информационных ресурсов ГУБиЗИ Банка России, отметил, что за последние год-полтора в стране существенным образом была переработана нормативная база по вопросам защиты информации, полномочия Банка России в этой области расширились. Так, полномочия Банка России по регулированию вопросов защиты информации по отношению к банковской деятельности определены в известном законе 167-ФЗ. Появляются новые законопроекты, почти в каждом из предусматривается участие Ценробанка в регулировании и контроле мероприятий по защите информации: были названы законопроекты о цифровых финансовых активах, о маркетплейсах, о краудфандинговых платформах.
 
Банк России сформировал три основополагающих нормативных акта, которые определяют его подход к регулированию этих вопросов: это положения 683-П («Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента») и 684-П (схожее положение в отношении некредитных финансовых организаций) и изменения в законе о Национальной платежной системе, ведущие к изменению положения 382-П (контроль за переводом денежных средств).
 
Отдельный вопрос, который затронул спикер в своем выступлении, – ГОСТ по управлению рисками. «Задача этого ГОСТа и вообще темы управления рисками – это, в первую очередь, позиционирование рисков ИБ как одного из базовых рисков при ведении банковской деятельности и деятельности всех финансовых рынков. Мы должны обсудить вовлеченность руководства кредитных и финансовых организаций, вопросы ситуационной осведомленности, аналитику возможных атак и на основе нее выбор мер, которые необходимо реализовать. Важно обсудить также вопросы контроля, такие, как внешний аудит и доведение информации о фактическом уровне ИБ до высшего руководства организации», – пояснил Андрей Выборнов. По его словам, один из основных показателей управления рисками станет установление ключевых показателей, которые должны контролироваться и соответствовать реальным рискам финансовых потерь и возможных простоев.
 
Начальник отдела проверок и контроля применения информационных технологий ФинЦЕРТа Банка России Александр Дудка указал на то, что рынок ожидает от Центробанка не установления каких-то жестких нормативных требований, а скорее методических рекомендаций, советов, гибкого регулирования. «Основной целью Банка России является защита интересов кредиторов и вкладчиков кредитных организаций, а теперь еще и клиентов иных поднадзорных организаций. Поэтому банк не может совсем отказаться от требований. В то же время мы понимаем, что устарел тот подход, когда проверки заключались в контроле формального выполнения требований. Сейчас мы стремимся к тому, чтобы проверки не были похожи на ревизию, а воспринимались как аудит, который выявляет источники рисков, помогает оценивать их уровень. Мы пытаемся выстроить надзор, как дистанционный, так и контактный, таким образом, чтобы его результатом стало риск-профилирование каждой организации и их бизнес-групп», – сказал спикер.
 
За 2019 год банком было инициировано 171 требование об устранении выявленных нарушений нормативных актов Банка России, выписано 19 штрафов в связи с допущенными организациями нарушениями.
 
О регулировании цифровой финансовой инфраструктуры и новых законодательных инициативах говорил также начальник управления анализа и регулирования в сфере финансовых технологий Банка России Дмитрий Дубынин. «Сейчас регулирование финансовых технологий никогда не расходится с вопросами финансовой безопасности», – уверен он.

Среди названых спикером проектов Банка России – механизм удаленной биометрической идентификации (Единая биометрическая система) и информационный обмен с операторами связи.

19 февраля, 2020