ЦБ РФ обрисовал стратегию развития информационной безопасности на финансовом рынке

Банк России обнародовал стратегическую программу ИБ-развития до 2021 года, одобренную Советом директоров. Реализация программы, как предполагается, позволит ЦБ РФ к концу этого периода сформировать полное видение уровня риска отдельных банков и других кредитно-финансовых организаций и их готовность противостоять кибератакам.

Документ под названием «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов» размещен на официальном сайте ЦБ РФ и «призван конкретизировать цели Банка России по обеспечению устойчивости финансового рынка и повышению уровня его информационной безопасности».

Документ описывает задачи мегарегулятора по обеспечению защиты инфраструктуры банков и иных учреждений финансовой сферы, их прикладного ПО и финансовых технологий, сотрудничества на международном уровне, защите прав потребителей финансовых услуг, активного участия в развитии программы импортозамещения, а также участие в реализации федерального проекта «Информационная безопасность». Затронуты и такие аспекты, как информационная безопасность технологий обработки данных, подготовка кадровых специалистов по информбезопасности, внедрение методов криптографической защиты и регулирование роботизации.

Как следует из текста программы, оценивать риск ИБ в каждой кредитно-финансовой организации, поднадзорной ЦБ РФ, последний будет по установленным метрикам. На основе этой оценки Банк России будет определять, насколько эффективно ИБ-обеспечение в масштабе всей кредитно-финансовой сферы России. Одной из таких метрик станет соответствие требованиям государственных стандартов в части защиты информации, непрерывности деятельности, управления рисками и аутсорсинга. Критерием оценки уровня защиты приложений станет сертификация.

Точки риска в информационных технологиях, которые используют организации кредитно-финансовой сферы, будут выявляться на основе анализа данных с применением технологии Big Data.

Нейтрализовать выявленные риски Банк России предполагает с помощью методологии расчета минимального размера финансового обеспечения, требуемого для покрытия потенциального ущерба, которые регулятор собирается разрабатывать.

Основные направления развития ИБ, как указано в документе, соответствуют лучшим мировым практикам. Так, при разработке программы использовался опыт Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST), Европейской службы банковского надзора (European Banking Authority, EBA), Международной организации комиссий по ценным бумагам (International Organization of Securities Commissions, IOSCO) и других финансовых и регулирующих институтов.

За слабое обеспечение информационной безопасности, в том числе плохую защиту от кибератак, компании будут наказаны. Об этом представителям СМИ сообщил первый замдиректора ИБ-департамента ЦБ РФ Артем Сычев на полях форума АБР «Банки России - XXI век», который проходил в Сочи с 11 по 14 сентября. До конца 2019 года Банк России сформирует для финансовых организаций риск-профили, которые будут отражать их уровень информационной безопасности. Низкий риск-профиль может стать причиной штрафных санкций.

Как сообщают СМИ, инициативы регулятора участники рынка восприняли пока настороженно, назвав часть из них нереалистичными, и еще часть – неясными.

К примеру, бизнес-консультант по безопасности Cisco Алексей Лукацкий считает, что планы по регулированию Банком России применения больших данных, искусственного интеллекта, роботизации и IoT в кредитно-финансовой сфере выглядят, как минимум, необычно, особенно с учетом того, что в мире подобные направления вообще не регулируются.

Идея введения аккредитации аудиторских организаций по информационной безопасности, численность которых у мегарегулятора в настоящее время составляет порядка 20 тыс., может привести к созданию искусственного спроса и росту затрат, продолжил эксперт. К тому же, такой аудитор, кроме аккредитации ЦБ РФ, должен иметь и лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Спорными, с точки зрения экспертов, являются и перспективы инициативы мегарегулятора по массовому применению криптографии на финансовом рынке, которая может столкнуться с серьезными правовыми и административными барьерами. Так, по словам директора компании FBK CyberSecurity Александр Черненко, ФСБ чаще всего занимает достаточно жесткую позицию в этом вопросе. К примеру, история разработки ключевых нормативных документов ЦБ РФ в сфере ИБ показывает, что довольно часто ФСБ и Банку России договориться непросто.