В заключении третьего дня XII Уральского форума «Информационная безопасность финансовой сферы» Алексей Лукацкий, бизнес-консультант по ИБ, подвел своеобразный итог всех прошедших выступлений.

По его убеждению, сегодня концепция ИБ-аудита регулятора меняется в сторону непрерывного мониторинга, проверки реализуются с помощью разных каналов, к которым подводится законодательная база: пентесты, анализы защищенности, киберучения, информирование ФинЦЕРТа об инцидентах и рисках. Меняются и ключевые показатели, по которым будут оцениваться финансовые организации, не только кредитные, – для того, чтобы у них не было возможности манипулировать отчетностью, завышая свой уровень оценки соответствия. Появляются новые механизмы отчетности, связанные с анализом данных об инцидентах, «бумажная» составляющая сдвигается на второй план. 

Спикер рассказал о том, как будут проходит новые мероприятия Центробанка: регулярные киберучения. Опираясь на данные, которые поступают в ФинЦЕРТ и другие источники, Банк России подготовит различные сценарии для поднадзорных организаций, чтобы проверить, насколько они способны отрабатывать реальные кейсы ИБ: «не просто отработать проверку, а отработать то, что позволяет злоумышленнику красть деньги». Это могут быть целевые атаки, взаимодействие злоумышленника с внутренним инсайдером и т. д. 

Важные изменения будут в области открытых API, необходимых для того, чтобы облегчить обмен информацией о клиентах финансовых организаций. «Открытые API являются неким стандартом де-факто во всем мире, и сейчас приходят в Россию. Разрабатываются два стандарта: один описывает сами открытые программные интерфейсы, второй – требования к ним по ИБ», – рассказал Алексей Лукацкий. 

Отдельный вопрос – взаимодействие финансовых организаций и ФСТЭК. Для финансовых организаций, каждая из которых является объектом КИИ, важно знать, что требования ФСТЭК ожесточаются. Такая ситуация связана с распоряжением Правительства о том, что всё прикладное ПО, которое используется на значимых объектах КИИ, должно соответствовать определенному уровню доверия, организации необходимо предоставлять исходные коды на весь прикладной софт, который используется на значимых объектах КИИ. Кроме того, существует план перевода значимых объектов КИИ на такие российские средства защиты информации, которые используют «железо» из реестра Минпромторга (к 2024 году) и российские процессоры (к 2028 году). «Если вы разрабатываете инвестиционные планы по внедрению различных технологий на несколько лет вперед, с точки зрения безопасности, применительно к значимым объектам вам надо будет оглядываться на требования ФСТЭК», – предупредил спикер. 

С точки зрения персональных данных – количество утечек по итогам 2019 года приведет также к еще более жесткому контролю регулятора за ними. Сейчас в Госдуму внесено несколько соответствующих законопроектов: например, могут быть введены некоторые требования GDPR, новые термины, связанные с обезличенными персональными данными, появится административная и уголовная ответственность за торговлю персональными данными. 

«Далеко не все довольны теми большими нормативными изменениями, которые готовит Банк России. Наверное, это объясняется, тем, что мы сейчас находимся на переходе от комплаенс-ориентированного подхода к ИБ в сторону риск-ориентированного, и появление новых полномочий регулятора как раз означает появление новых документов, которые раньше ничем и никем не закрывались. К счастью, различные формы взаимодействия с регулятором позволяют нам надеяться, что мнение отрасли будет услышано в новых нормативных актах или в обновлениях существующих, которые готовит ЦБ», – резюмировал спикер.

21 февраля, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки
02.07.2025
Греф — о цифровом рубле: Я не понимаю, зачем он нужен
01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
01.07.2025
ruID как пред-«Госуслуги». Новый сервис для приезжающих в Россию

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных