Международный опыт регулирования вопросов информационной безопасности и киберустойчивости, а также управления операционными рисками в финансовых организациях обсуждался на панельной дискуссии второго дня XII Уральского форума «Информационная безопасность финансовой сферы». Как обычно, направление дискуссии задали представители Банка России.
Оказалось, что Центробанк имеет сложную структуру управления рисками операционной безопасности. На вершине этой структуры – два блока. Первый – Департамент информационной безопасности, который разрабатывают технологические стандарты и обеспечивает оперативный контроль за их соблюдением кредитными организациями. Второй – блок банковского надзора и регулирования, который предъявляет нормативные требования к системе управления, выстраивает систему надзора за ней и организует основы управления рисками организаций через предписания, штрафы и требования к организациям иметь капитал для покрытия рисков.
Представители Банка России посетовали на то, что в связи с нарушением банками рыночных практик, в том числе практик ИБ, клиенты этих банков оказываются подвержены различным рискам потери средств. При этом, если произошла утечка средств, кредитная организация, как правило, отгораживается от проблем клиента, если тот не может доказать вину банка. При разработке нового положения, касающегося управления рисками (будет принят в этом году), эксперты Центробанка ввели в число операционных рисков такое понятие, как потери клиента – как особый вид потерь, которые финансовая организация будет обязана аккумулировать и на которые должна будет реагировать.
Артем Сычев, первый заместитель начальника департамента информационной безопасности Банка России, подробнее рассказал о целях Центробанка в рамках регулирования и надзора в области защиты информации в организациях кредитно-финансовой сферы. Эти цели – обеспечение финансовой устойчивости и операционной надежности организаций, защита интересов клиентов-потребителей финансовых услуг, обеспечение стабильности финансового рынка. Эти цели будут достигаться за счет трех факторов: риск-ориентированный надзор, оценка обеспечения операционной надежности организаций и оценка качества управления риском ИБ.
Спикер указал на то, что после издания Положения о СУОР во 2 квартале 2020 года в течение последующих двух лет организации должны перейти на более эффективный информационный обмен между своими службами ИБ и операционных рисков (который сейчас практически отсутствует). Служба ИБ должна будет передавать коллегам информацию об инцидентах ИБ, а те, в свою очередь, – оценивать потери и организовывать меры по минимизации рисков.
В дискуссии приняли участие также представители иностранных финансовых организаций – Всемирного банка, ЦБ Индии и ЦБ Республики Беларусь.
