XII Уральский форум
Информационная безопасность финансовой сферы

Новости / Итоги XII Уральского форума от Алексея Лукацкого

В заключении третьего дня XII Уральского форума «Информационная безопасность финансовой сферы» Алексей Лукацкий, бизнес-консультант по ИБ, подвел своеобразный итог всех прошедших выступлений.

По его убеждению, сегодня концепция ИБ-аудита регулятора меняется в сторону непрерывного мониторинга, проверки реализуются с помощью разных каналов, к которым подводится законодательная база: пентесты, анализы защищенности, киберучения, информирование ФинЦЕРТа об инцидентах и рисках. Меняются и ключевые показатели, по которым будут оцениваться финансовые организации, не только кредитные, – для того, чтобы у них не было возможности манипулировать отчетностью, завышая свой уровень оценки соответствия. Появляются новые механизмы отчетности, связанные с анализом данных об инцидентах, «бумажная» составляющая сдвигается на второй план. 

Спикер рассказал о том, как будут проходит новые мероприятия Центробанка: регулярные киберучения. Опираясь на данные, которые поступают в ФинЦЕРТ и другие источники, Банк России подготовит различные сценарии для поднадзорных организаций, чтобы проверить, насколько они способны отрабатывать реальные кейсы ИБ: «не просто отработать проверку, а отработать то, что позволяет злоумышленнику красть деньги». Это могут быть целевые атаки, взаимодействие злоумышленника с внутренним инсайдером и т. д. 

Важные изменения будут в области открытых API, необходимых для того, чтобы облегчить обмен информацией о клиентах финансовых организаций. «Открытые API являются неким стандартом де-факто во всем мире, и сейчас приходят в Россию. Разрабатываются два стандарта: один описывает сами открытые программные интерфейсы, второй – требования к ним по ИБ», – рассказал Алексей Лукацкий. 

Отдельный вопрос – взаимодействие финансовых организаций и ФСТЭК. Для финансовых организаций, каждая из которых является объектом КИИ, важно знать, что требования ФСТЭК ожесточаются. Такая ситуация связана с распоряжением Правительства о том, что всё прикладное ПО, которое используется на значимых объектах КИИ, должно соответствовать определенному уровню доверия, организации необходимо предоставлять исходные коды на весь прикладной софт, который используется на значимых объектах КИИ. Кроме того, существует план перевода значимых объектов КИИ на такие российские средства защиты информации, которые используют «железо» из реестра Минпромторга (к 2024 году) и российские процессоры (к 2028 году). «Если вы разрабатываете инвестиционные планы по внедрению различных технологий на несколько лет вперед, с точки зрения безопасности, применительно к значимым объектам вам надо будет оглядываться на требования ФСТЭК», – предупредил спикер. 

С точки зрения персональных данных – количество утечек по итогам 2019 года приведет также к еще более жесткому контролю регулятора за ними. Сейчас в Госдуму внесено несколько соответствующих законопроектов: например, могут быть введены некоторые требования GDPR, новые термины, связанные с обезличенными персональными данными, появится административная и уголовная ответственность за торговлю персональными данными. 

«Далеко не все довольны теми большими нормативными изменениями, которые готовит Банк России. Наверное, это объясняется, тем, что мы сейчас находимся на переходе от комплаенс-ориентированного подхода к ИБ в сторону риск-ориентированного, и появление новых полномочий регулятора как раз означает появление новых документов, которые раньше ничем и никем не закрывались. К счастью, различные формы взаимодействия с регулятором позволяют нам надеяться, что мнение отрасли будет услышано в новых нормативных актах или в обновлениях существующих, которые готовит ЦБ», – резюмировал спикер.

Источник: BIS Journal


ВСЕ НОВОСТИ

26.02.2020 ИБ: от регуляторики бумажных запретов к пониманию ответственности

26.02.2020 Скобелкин – об ужесточении ответственности за утечку данных

26.02.2020 В сфере ИБ-образования необходим заказ на определённую квалификацию

26.02.2020 Тема персональных данных требует законодательных изменений

26.02.2020 ЦБ будет пропагандировать рискориентированный подход к безопасности

26.02.2020 За 2019 год число попыток похитить пользовательские данные выросло в 29 раз

26.02.2020 Неделя на взлом

26.02.2020 Наладить взаимодействие граждан, банков, правоохранительных и судебных органов, – а лучше перевести их в электронный вид – основная задача!

26.02.2020 Рынок ИБ: стимулировать или регулировать?

26.02.2020 На Уральском форуме обсудили технологию распределенного реестра в реальном мире и процесс разработки ПО

26.02.2020 ИБ-риски как базовые риски при ведении банковской деятельности

26.02.2020 Банк России заявил о пятикратном росте ИБ-нарушений

26.02.2020 Перспективные технологии обеспечения ИБ

26.02.2020 Представители Всемирного банка и центробанков трёх государств – о киберрисках

26.02.2020 Скобелкин: «Наша задача – не наказать, а обеспечить стабильность и безопасность финансовой системы государства»

26.02.2020 Тулин: «На участников рынка должна действовать сама перспектива применения карательных мер»

26.02.2020 Злоумышленники перевели 5,7 миллиарда рублей со счетов россиян в 2019 году

26.02.2020 Максимальный интерес для злоумышленников представляют хищения через системы ДБО

26.02.2020 Главные меры по борьбе с киберпреступностью

26.02.2020 «Киберриски – это транснациональная проблема»

26.02.2020 Объём операций в СБП приближается к 80 млрд рублей

26.02.2020 «У вас несчастные случаи на стройке были?... Будут!»

26.02.2020 Банк России не одобряет комиссии в 1,5-2% за межбанковский перевод

26.02.2020 Любой бизнес-анализ начинается с потока «сырых» данных

26.02.2020 Аутентификация как основа доверия online-транзакциям

26.02.2020 Система быстрых платежей: безопасность или иллюзия?

26.02.2020 Способен ли Банк России как высокотехнологичный регулятор выполнять роль драйвера на финансовом рынке?

25.02.2020 Эльвира Набиуллина обозначила ключевые задачи регулятора

25.02.2020 Банк России назвал факторы повышения значимости ИБ финансового рынка

25.02.2020 К автоматизированной системе обработки инцидентов подключено 826 организаций

25.02.2020 Скобелкин: Доля хищений по картам составила 0,0023%

25.02.2020 Социальная инженерия – главный риск финансовой кибербезопасности?

10.02.2020 Нас уже более 550 человек, и регистрация участников продолжается!

06.02.2020 Интеллектуальная игра от «Инфосистемы Джет» и Palo Alto Networks для участников Уральского форума

29.01.2020 Мастер-классы и реальные кейсы — только на Уральском форуме!

27.01.2020 Все о Threat Intelligence в SOC на Уральском форуме 2020

23.01.2020 Что из тысяч метрик лучше всего подойдёт для финансовой организаций?

20.01.2020 Распределенный реестр в реальном мире: доклад об удачном использовании и приглашение на сессию от «КриптоПро»

17.01.2020 «Быстро, дешево, безопасно» - о чем именно будет сессия на предстоящем Уральском форуме

16.01.2020 Ассоциация банков России представит проект развития аутсорсинга для малых и средних банков

15.01.2020 Да начнутся битвы!

27.12.2019 В Новом году Уральский форум обновится по всем фронтам

15.10.2019 Регистрация на XII Уральский форум открыта!

23.09.2019 17–21 февраля 2020 года в Республике Башкортостан состоится XII Уральский форум