В заключении третьего дня XII Уральского форума «Информационная безопасность финансовой сферы» Алексей Лукацкий, бизнес-консультант по ИБ, подвел своеобразный итог всех прошедших выступлений.

По его убеждению, сегодня концепция ИБ-аудита регулятора меняется в сторону непрерывного мониторинга, проверки реализуются с помощью разных каналов, к которым подводится законодательная база: пентесты, анализы защищенности, киберучения, информирование ФинЦЕРТа об инцидентах и рисках. Меняются и ключевые показатели, по которым будут оцениваться финансовые организации, не только кредитные, – для того, чтобы у них не было возможности манипулировать отчетностью, завышая свой уровень оценки соответствия. Появляются новые механизмы отчетности, связанные с анализом данных об инцидентах, «бумажная» составляющая сдвигается на второй план. 

Спикер рассказал о том, как будут проходит новые мероприятия Центробанка: регулярные киберучения. Опираясь на данные, которые поступают в ФинЦЕРТ и другие источники, Банк России подготовит различные сценарии для поднадзорных организаций, чтобы проверить, насколько они способны отрабатывать реальные кейсы ИБ: «не просто отработать проверку, а отработать то, что позволяет злоумышленнику красть деньги». Это могут быть целевые атаки, взаимодействие злоумышленника с внутренним инсайдером и т. д. 

Важные изменения будут в области открытых API, необходимых для того, чтобы облегчить обмен информацией о клиентах финансовых организаций. «Открытые API являются неким стандартом де-факто во всем мире, и сейчас приходят в Россию. Разрабатываются два стандарта: один описывает сами открытые программные интерфейсы, второй – требования к ним по ИБ», – рассказал Алексей Лукацкий. 

Отдельный вопрос – взаимодействие финансовых организаций и ФСТЭК. Для финансовых организаций, каждая из которых является объектом КИИ, важно знать, что требования ФСТЭК ожесточаются. Такая ситуация связана с распоряжением Правительства о том, что всё прикладное ПО, которое используется на значимых объектах КИИ, должно соответствовать определенному уровню доверия, организации необходимо предоставлять исходные коды на весь прикладной софт, который используется на значимых объектах КИИ. Кроме того, существует план перевода значимых объектов КИИ на такие российские средства защиты информации, которые используют «железо» из реестра Минпромторга (к 2024 году) и российские процессоры (к 2028 году). «Если вы разрабатываете инвестиционные планы по внедрению различных технологий на несколько лет вперед, с точки зрения безопасности, применительно к значимым объектам вам надо будет оглядываться на требования ФСТЭК», – предупредил спикер. 

С точки зрения персональных данных – количество утечек по итогам 2019 года приведет также к еще более жесткому контролю регулятора за ними. Сейчас в Госдуму внесено несколько соответствующих законопроектов: например, могут быть введены некоторые требования GDPR, новые термины, связанные с обезличенными персональными данными, появится административная и уголовная ответственность за торговлю персональными данными. 

«Далеко не все довольны теми большими нормативными изменениями, которые готовит Банк России. Наверное, это объясняется, тем, что мы сейчас находимся на переходе от комплаенс-ориентированного подхода к ИБ в сторону риск-ориентированного, и появление новых полномочий регулятора как раз означает появление новых документов, которые раньше ничем и никем не закрывались. К счастью, различные формы взаимодействия с регулятором позволяют нам надеяться, что мнение отрасли будет услышано в новых нормативных актах или в обновлениях существующих, которые готовит ЦБ», – резюмировал спикер.

21 февраля, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.03.2024
Сколько денег тратят на маркетинг лидеры российского рынка инфобеза
18.03.2024
Microsoft закроет доступ к облачным сервисам для российских компаний
18.03.2024
От операторов связи потребовали ограничить продажу «симок»
18.03.2024
Жертва социнженеров пыталась поджечь отделение «Сбера»
18.03.2024
Системы МВФ были взломаны впервые за 13 лет
15.03.2024
ИИ поможет бизнесу выявлять брак и маркировать продукцию
15.03.2024
Минцифры поручено и дальше цифровизировать всё вокруг
15.03.2024
Стоит с настороженностью относиться к сообщениям о перевыпуске SIM-карты
15.03.2024
IDC: Больше всех на «облака» в этом году потратит Польша
14.03.2024
Вендоры хотят ограничить госкомпании в закупках зарубежного харда

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных