Банк России: практика самооценки банками своего соответствия требованиям ИБ останется в прошлом

При этом он подчеркнул, что Банк России остается верен своей практике не прибегать без крайней необходимости к ужесточению требований: «каждый банк строит свою работу, руководствуясь, с одной стороны, строгими нормативами регулятора, а с другой – рекомендациями, следовать которым или нет, а если следовать, то в какой мере, он решает самостоятельно. Мы не сторонники режима ручного управления и стремимся ограничиваться мерами рекомендательного характера везде, где это только целесообразно».

Говоря о тех мерах воздействия на банки с низким уровнем информационной безопасности, которые планирует применять Банк России, Артем Сычёв уточнил, что «сам принцип остается прежним – он соответствует принципам, заложенным в документах Базельского комитета. В случае низкой оценки эффективности работы конкретного банка с операционными рисками Банком России выносится требование об увеличении данной кредитной организацией либо своих резервов для компенсации возможных потерь от мошенничества, либо – уставного капитала. Какой из этих вариантов предпочтительнее и каковы должны быть суммы такого рода отчислений, пока обсуждается, но ключевой принцип воздействия на участников рынка, не желающих повышать уровень ИБ, в целом очевиден и носит сугубо финансовый характер. В принципе, если говорить о суммах, то они легко просчитываемы и должны прямо коррелироваться с рисками. Сегодня речь идет о среднедневном остатке по корсчету банка – если кредитная организация не желает соответствовать требованиям регулятора в плане обеспечения ИБ, то, по логике, именно на такую сумму она должна быть готова увеличить свой капитал».

Полный текст интервью заместителя начальника Главного управления безопасности и защиты информации Банка России (вторая часть) читайте в августовском номере журнала «ПЛАС». Первую часть интервью А. Сычева читайте в июльском номере журнала.

По материалам PLUSworld.ru