Председатель комитета по информационной безопасности, заместитель председателя правления Сбербанка Станислав Кузнецов рассказал о ходе выполнения плана работы комитета в 2018 году. Он отметил, что организация заседания в офисе ВТБ не случайна - комитет планирует чередовать места проведения заседаний и стараться использовать опыт построения систем безопасности разных членов Ассоциации банков России.
Станислав Кузнецов напомнил, что стандартизация включает как управление процессами, так и построение систем и правил, и эта работа требует больших усилий: Сбербанк не менее полугода стандартизировался по ISO через лондонский институт. "Мне кажется, подобная структура должна возникнуть и у нас в России, чтобы все банки в конечном счете были стандартизированы", - считает он.
И.о. директора Департамента информационной безопасности Банка России Артем Сычев в ответ отметил: "чтобы появился орган, который будет этим заниматься, или такая задача появилась у действующего органа, нужны изменения в законодательстве. А для того, чтобы изменения произошли, нужна фактура, которая показывает, что это действительно необходимо, нужны конкретные предложения. Поэтому я еще раз призываю Ассоциацию и банки - давайте подумаем на эту тему, потому что мы иногда сосредотачиваемся на решении технических вопросов и не видим за ними процессной части - как именно будет обеспечиваться соблюдение стандартов. А она будет очень сильно зависеть от того, что мы предложим в качестве изменений в законодательство. Мы как Центральный банк очень заинтересованы в такой совместной работе".
Заместитель директора - начальник Управления Департамента информационной безопасности Банка России Андрей Выборнов рассказал о работе регулятора над стандартизацией вопросов защиты информации для широкого спектра организаций, работающих на финансовом рынке. Толчком для этой работы послужил Федеральный закон 167-ФЗ от 27 июня 2018 года, который существенно расширяет полномочия Банка России в плане регулирования защиты информации в финансовом секторе.
По словам Андрея Выборнова, с учетом международного опыта необходимо сформировать набор стандартов: переработать отраслевые стандарты, которые носят рекомендательный характер, дополнить их, усовершенствовать и сформировать шесть доменов ГОСТов.
Использование ГОСТов позволит стандартизировать требования, распространить их на весь финансовый рынок, обеспечить обязательность применения стандартов и учет полноты их реализации в надзорной практике Банка России, подчеркнул он.
Регулятор стремится сформировать общие документы, которые будут определять три уровня защищенности и, в зависимости от размера бизнеса, объема финансовых операций и уровня риска, распространять тот или иной уровень защищенности по каждому из доменов на конкретные категории финансовых организаций.
В настоящее время завершена стандартизация в домене защиты информации - вышли ГОСТы по защите информации и по методике оценки соответствия. Готовящиеся сейчас нормативные акты устанавливают обязательность применения этих ГОСТов.
В домене управления киберриском готовится документ, который должен определить общую схему управления такими рисками с точки зрения киберустойчивости и финансовых показателей. Он направлен на оценку рисков, в первую очередь операционных, связанных с проблемами кибербезопасности и информационной безопасности, сообщил Андрей Выборнов.
Для организации надзора за выполнением стандартов в перспективе планируется использовать механизм внешнего аудита. Для этого необходимо создать систему аккредитации аудиторских организаций, результатам проверок которых можно доверять в рамках надзорной практики.
По информации Андрея Выборнова, результаты внешнего аудита будут учитываться в надзорной практике Банка России при расчете показателей, характеризующих управление операционным риском. Эти показатели будут входить в формулу, которая определяет требования к капиталу кредитных организаций.
Кроме того, в соответствии с законом 167-ФЗ, к началу октября 2018 года готовится нормативный акт, определяющий порядок направления информации об инцидентах в сфере кибербезопасности в Банк России, ее получения и использования кредитными организациями в рамках мероприятий противодействия киберугрозам.
Одновременно разрабатывается стандарт, который описывает формат предоставления информации, содержащий два блока - данные о плательщике и получателе несанкционированно переведенных денежных средств и описание технической реализации компьютерных атак. Этот блок данных максимально гармонизирован с наработками Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), сообщил Андрей Выборнов.
Вице-президент Ассоциации банков России Алексей Войлуков предложил вынести на совместное заседание комитета по информационной безопасности и комитета по рискам документ, касающийся управления рисками с точки зрения киберустойчивости и финансовых показателей.
Управляющий директор - начальник Управления методологии кибербезопасности Департамента безопасности Сбербанка Алексей Волков рассказал о том, насколько развито сегодня регулирование различных областей информационной безопасности.
Он отметил, что проблемной областью являются требования к объемам и частоте предоставления отчетности. Так, в Сбербанке ежегодно проводится более 10 проверок, имеющих отношение к кибербезопасности, поступает более 400 запросов на предоставление данных в рамках этих проверок. Кроме того, банку необходимо готовить 250 внутренних отчетов в год, чтобы консолидировать, обработать необходимые данные и передать их регулятору.
По словам Алексея Волкова, необходима унификация и гармонизация требований регуляторов для сокращения объема запрашиваемой информации, количества проверок и автоматизация предоставления отчетности.
В ходе обсуждения вопросов стандартизации кибербезопасности начальник управления по обеспечению информационной безопасности ВТБ Сергей Пазизин отметил, что сегодня существует масса документов, которые так и или иначе регулируют вопросы информационной безопасности. Для банков было бы удобнее, чтобы все нормативные акты, рекомендации и приказы были бы гармонизированы с документами мегарегулятора, и кредитные организации понимали: если они выполняют требования Банка России, то они тем самым выполняют требования остальных регулирующих организаций.
Сергей Пазизин также отметил, что ВТБ поддерживает работу, которую ведет комитет Ассоциации банков России по информационной безопасности в плане совершенствования нормативной базы и организации взаимодействия между кредитными организациями.
Глава центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России Артем Калашников рассказал развитии АСОИ ФинЦЕРТ.
Исполнительный директор - начальник отдела реагирования на киберугрозы Сбербанка Василий Лесной выступил с докладом "Коллаборация, информационное взаимодействие крупных корпоративных, государственных и сервисных SOCов".
Руководитель практики кибербезопасности и непрерывности бизнеса PwC в России Роман Чаплыгин сделал обзор практик взаимодействия государства и бизнеса в области защиты критичной инфраструктуры.
19 октября 2023 года
23 марта 2023 года
