Представители Сбербанка и ВТБ познакомили с системами управления рисками информационной безопасности при переходе к риск-ориентированному подходу. Переход от регуляторного к риск-ориентированному подходу требует от кредитных организаций инвентаризации инфраструктуры на устойчивость к киберугрозам и уязвимостям, расстановки приоритетов для оптимизации внутренних ресурсов и привлечения внешних контрагентов.
Первый заместитель директора Департамента информационной безопасности Банка России Артем Сычев дал разъяснения по нормативной базе для перехода к риск-ориентированному подходу для банков с универсальной и базовой лицензией.
Директор практики оказания услуг по кибербезопасности из PwC Михаил Курзин рассказал о продвинутом подходе к подсчету капитала на покрытие потерь от реализации рисков информационной безопасности.
Директор департамента бизнеса и консультирования Роман Чаплыгин из Ernst & Young отметил, что регуляторы большинства стран детализируют требования по кибербезопасности и усиливают надзор за их соблюдением. Отдельное внимание уделяется управлению риском кибербезопасности, связанным с контрагентами. Поддержание рисков, связанных с ключевыми поставщиками и их сервисами на заданном уровне, может быть реализовано при определении индикаторов киберриска, а также путем выстраивания надлежащего мониторинга и отчетности.
Представитель Сбербанка поделился практикой проведения киберучений в кредитных организациях и сценариями обучения сотрудников навыками реагирования на киберугрозы.
Участники заседания утвердили перечень вопросов для обсуждения в 2020 году, который включает в себя:
- новые ГОСТ: Обеспечение банковской надежности, управление риском реализации информационных угроз;
- требования по обеспечению информационной безопасности Банка России для биометрических систем банков;
- применение методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций»;
- совершенствование механизмов противодействия мошенничеству в рамках норм Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;
- внедрение SCRUM / Agile в информационной безопасности.
17 декабря 2019 года
Москва,
Сбербанк, зал А4, 4 этаж
23 декабря 2024 года