В заключении третьего дня XII Уральского форума «Информационная безопасность финансовой сферы» Алексей Лукацкий, бизнес-консультант по ИБ, подвел своеобразный итог всех прошедших выступлений.
По его убеждению, сегодня концепция ИБ-аудита регулятора меняется в сторону непрерывного мониторинга, проверки реализуются с помощью разных каналов, к которым подводится законодательная база: пентесты, анализы защищенности, киберучения, информирование ФинЦЕРТа об инцидентах и рисках. Меняются и ключевые показатели, по которым будут оцениваться финансовые организации, не только кредитные, – для того, чтобы у них не было возможности манипулировать отчетностью, завышая свой уровень оценки соответствия. Появляются новые механизмы отчетности, связанные с анализом данных об инцидентах, «бумажная» составляющая сдвигается на второй план.
Спикер рассказал о том, как будут проходит новые мероприятия Центробанка: регулярные киберучения. Опираясь на данные, которые поступают в ФинЦЕРТ и другие источники, Банк России подготовит различные сценарии для поднадзорных организаций, чтобы проверить, насколько они способны отрабатывать реальные кейсы ИБ: «не просто отработать проверку, а отработать то, что позволяет злоумышленнику красть деньги». Это могут быть целевые атаки, взаимодействие злоумышленника с внутренним инсайдером и т. д.
Важные изменения будут в области открытых API, необходимых для того, чтобы облегчить обмен информацией о клиентах финансовых организаций. «Открытые API являются неким стандартом де-факто во всем мире, и сейчас приходят в Россию. Разрабатываются два стандарта: один описывает сами открытые программные интерфейсы, второй – требования к ним по ИБ», – рассказал Алексей Лукацкий.
Отдельный вопрос – взаимодействие финансовых организаций и ФСТЭК. Для финансовых организаций, каждая из которых является объектом КИИ, важно знать, что требования ФСТЭК ожесточаются. Такая ситуация связана с распоряжением Правительства о том, что всё прикладное ПО, которое используется на значимых объектах КИИ, должно соответствовать определенному уровню доверия, организации необходимо предоставлять исходные коды на весь прикладной софт, который используется на значимых объектах КИИ. Кроме того, существует план перевода значимых объектов КИИ на такие российские средства защиты информации, которые используют «железо» из реестра Минпромторга (к 2024 году) и российские процессоры (к 2028 году). «Если вы разрабатываете инвестиционные планы по внедрению различных технологий на несколько лет вперед, с точки зрения безопасности, применительно к значимым объектам вам надо будет оглядываться на требования ФСТЭК», – предупредил спикер.
С точки зрения персональных данных – количество утечек по итогам 2019 года приведет также к еще более жесткому контролю регулятора за ними. Сейчас в Госдуму внесено несколько соответствующих законопроектов: например, могут быть введены некоторые требования GDPR, новые термины, связанные с обезличенными персональными данными, появится административная и уголовная ответственность за торговлю персональными данными.
«Далеко не все довольны теми большими нормативными изменениями, которые готовит Банк России. Наверное, это объясняется, тем, что мы сейчас находимся на переходе от комплаенс-ориентированного подхода к ИБ в сторону риск-ориентированного, и появление новых полномочий регулятора как раз означает появление новых документов, которые раньше ничем и никем не закрывались. К счастью, различные формы взаимодействия с регулятором позволяют нам надеяться, что мнение отрасли будет услышано в новых нормативных актах или в обновлениях существующих, которые готовит ЦБ», – резюмировал спикер.