ЦБ предложил стандарт по информационной безопасности

Соблюдение стандарта будет добровольным, однако в ЦБ не исключают, что в дальнейшем стандарт станет обязательным для всех компаний, оказывающих участникам финрынка услуги в сфере информационной безопасности.

В минувшем году российский банковский сектор столкнулся с волной киберактак. По данным международного разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности ESET, за год число подобных атак на финансовый сектор выросло почти в полтора раза.

Стандарт предназначен для банков, некредитных финансовых организаций, субъектов национальной платежной системы и других участников финансового рынка, поясняется в сообщении на сайте регулятора. По мнению ЦБ, использование стандарта поможет формировать и поддерживать на приемлемом уровне систему обеспечения информационной безопасности малым и средним организациям, которым обычно не хватает финансовых и кадровых ресурсов.

"Стандарт вступает в силу с 1 июля 2018 года. Его положения носят рекомендательный характер. В дальнейшем при необходимости может быть рассмотрен вопрос об их обязательном применении", - говорится в сообщении ЦБ.

Константин Чумаченко, генеральный директор провайдера сервисов облачной безопасности NGENIX:

"Аутсорсинг обеспечения информационной безопасности - сравнительно новая тема для банковского сектора. Услуги облачных провайдеров, дата-центров, центров реагирования на инциденты и других игроков повышают эффективность банковского ИТ за счет использования передовых технологий и опыта ведущих специалистов в сфере информационной безопасности. Появление стандарта создает общие метрики для оценки рисков и способствует прозрачности рынка и повышению качества услуг, что должно привести к большей востребованности ИБ-аутсорсинга в финансовой сфере".

Андрей Заикин, руководитель направления информационной безопасности КРОК:

Новый стандарт ЦБ направлен в первую очередь на построение процесса управления компаниями, которые финансовые организации привлекают на аутсорсинг. В том числе речь идет и о подрядчиках в области информационной безопасности. Стандарт включает в себя детальные рекомендации по выбору компаний (опыт, репутация, оценка ресурсов, наличие лицензий и пр.), по формированию соглашений о предоставлении услуг, мониторингу их деятельности и оценке рисков информационной безопасности. Именно такие требования должны рассматриваться при управлении компаниями на аутсорсинге, а не стоимость услуг, которая зачастую стоит во главе угла при выборе подрядной организации.

Отдельно стандартом описаны и особенности аутсорсинга процессов ИБ:

• долговременное сотрудничество (на аутсорсинг передаются непрофильные и (или) сложные процессы ИБ, например, мониторинг событий и реагирование на инциденты ИБ);
• среднесрочное сотрудничество (на аутсорсинг временно передаются сложные технологические процессы СОИБ до момента реализации соответствующего процесса самостоятельно организацией БС РФ);
• кратковременное сотрудничество (усиление СОИБ услугами аутсорсинга на время проведения крупных мероприятий, характерных увеличением рисков ИБ. Например, политические саммиты, выборы, спортивные соревнования, международные конкурсы).

Хочу отметить, что стандарт полезен не только организациям банковской сферы, но и потенциальным аутсорсерам, поскольку позволяет привести деятельность компании в соответствие с обновленными требованиями".

По материалам PLUSworld.ru, ЦБ РФ