Сервисы
Managed IT
Решения
Security
Импортозамещение
Партнерам
О компании

Новая стратегия Центробанка по развитию ИБ на финансовом рынке

Недавно Банк России опубликовал доклад, посвященный планам по регулированию информационной безопасности (далее ИБ) в кредитно-финансовой сфере до 2021 года. С одной стороны документ — стратегическая программа регулятора, с другой — набор рекомендаций по обеспечению ИБ, который финансовым организациям уже необходимо учитывать. Согласно докладу, ИБ кредитных и некредитных финансовых организаций должна обеспечиваться на уровне инфраструктуры, приложений и прикладного ПО.

Некоторые из предложений Центробанк обнародовал ранее, некоторые — новые. Например, планируется регулировать использование искусственного интеллекта, больших данных, роботизации, интернета вещей и других технологий. Как всегда, есть и спорные пункты, один из них — необходимость массового внедрения криптографии.

Основные задачи ЦБ РФ

В своем докладе ЦБ РФ описывает ключевые задачи, которые планирует реализовать силами Департамента информационной безопасности Банка в период с 2019 по 2021: обеспечение ИБ и киберустойчивости каждого из участников кредитно-финансового рынка, защита прав потребителей, противодействие кибератакам, обеспечение непрерывности деятельности и операционной надежности финансовых организаций (ФИ).

Как указано в докладе, ЦБ РФ будет учитывать лучшие мировые практики и опыт зарубежных регулирующих организаций: NIST, IOSCO, EBA, BIS и других.

Центробанк планирует оценивать уровень ИБ инфраструктуры и ПО каждой поднадзорной ФИ по специальным метрикам. Среди них — соответствие требованиям госстандартов по защите информации, управлению рисками ИБ, непрерывности деятельности организации и аутсорсинга. Для устранения выявленных рисков Центробанк вводит методику, по которой будет рассчитывать минимальный размер финансового обеспечения для компенсации минимального ущерба.

За недостаточное обеспечение ИБ, включая слабую защиту от кибератак, регулятор будет штрафовать. Уровень информационной безопасности будет отражаться в так называемом риск-профиле каждой ФИ, который Центробанк планирует разработать до конца года.

Помимо этого, ЦБ планирует готовить специалистов по ИБ на базе собственного университета, ввести соответствующий профстаднарт и проводить аттестацию сотрудников ФИ. Последнее стало особенно актуально, в связи с тем, что с середины прошлого года ФИ запретили проводить самооценку по Положению 382-П, а лицензиатов ФСТЭК — более трех тысяч.

Темные места

Некоторые специалисты по ИБ, комментируя доклад Банка России, отмечают, что планы регулировать применение передовых технологий в кредитно-финансовой сфере — таких как ИИ, большие данные, IoT, роботизация — вызывают вопросы, и что в других странах такое вообще не встречается.

Еще один спорный момент — массовое внедрение криптографии, в реальность которого верят далеко не все безопасники, поскольку здесь регулятор вступает на «территорию» ФСБ. Реализация этих планов может натолкнуться на административно-правовой барьер.

Что дальше

Стратегия Центробанка подразумевает, что к 2021 году у регулятора будет полное представление об уровне риска ИБ каждой подконтрольной ФИ. А также — готовности ФИ противодействовать киберугрозам в контексте отработки рисков кибератак и возможности финансового покрытия ущерба от них. Стоит также отметить, что с 2021 года вступают в силу требования об оценке соответствия по ГОСТ Р 57580.