Планы регулятора по повышению киберустойчивости финансового рынка

В первом номере методического журнала "Внутренний контроль в кредитной организации" № 1 (33)\2017 (выходит раз в квартал) было опубликовано обширное интервью с заместителем начальника Главного управления безопасности и защиты информации Банка России Артемом Сычевым. В этом интервью были достаточно подробно анонсированы ближайшие планы Банка России по повышению киберустойчивости финансового рынка.

Прошло полгода. Подведём промежуточные итоги по планируемым меропритиям Банка России по информационной безопасности.

В III и IV кварталах 2017 г. планировалось ввести ГОСТ Р “Безопасность финансовых (банковских) операций. Базовый состав информационных и технических мер защиты”.

ГОСТ принят 8 августа, а вступает в силу с 1 января 2018 года. В первом полугодии 2018 г. должна быть разработана Методика оценки соответствия информационной безопасности финансовой организации требованиям нового ГОСТ Р Банка России. Ждём первого полугодия 2018 г.

Было объявлено о разработке Банком России двух новых стандартов:

-СТО БР ИБСС / ГОСТ "Обеспечение защиты информации для цели непрерывности деятельности финансовых организаций";

-СТО БР ИБСС / ГОСТ "Аутсорсинг защиты информации и взаимодействие с поставщиками информационных услуг" (название предварительное).

Про первый стандарт/ГОСТ пока ничего не слышно, а проект второго уже активно обсуждается банковским сообществом.

Также было объявлено о том, что в рамках оптимизации методики заполнения формы Банка России 0403203 вопросы технической реализации инцидентов нарушения информационной безопасности из формы отчетности 0403203 будут исключены.

В конце августа 2017 г. банки получили возможность ознакомиться с проектом указания “О внесении изменений в Указание Банка России от 9 июня 2012 г. № 2831-У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств”.

Объявлено о том, что будет создана система личных кабинетов для участников информационного обмена в рамках FinCERT. Личных кабинетов пока ещё нет, но уровень безопасности при информационном обмене с FinCERT это бы повысило.

Объявлено, что в планах Банка России исключить самооценку ИБ в кредитных организациях как метод подтверждения соответствия требованиям. Банки напряглись (да и наработки жалко), аудиторы и интеграторы плотоядно потирают руки.

Объявлено о том, что будет создан стандарт по требованиям к квалификации сотрудников ИБ в банках. Уже есть проект РС «Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации».

Банком России принято решение о создании на основе этого стандарта с использованием методических документов ФСТЭК типовой программы профессиональной переподготовки по обеспечению информационной безопасности для специалистов организаций кредитно-финансовой сферы (с последующим утверждением в Федеральной службе по техническому и экспортному контролю России).

Эта программа (500 часов) будет положена в основу обучения на базе высшего образования в учебных заведениях в 2018 году и даст специалистам представление и знания в соответствии с сегодняшней ситуацией в сфере безопасности. Планировалось к середине 2017 года придать ей соответствующий статус. Пока не придали, ждём.

Также на 2017 год запланирована разработка профессионального стандарта "Специалист по информационной безопасности кредитно-финансовой сферы".

Частота и важность новостей от Банка России заставляет по привычке вздрагивать банковского специалиста по ИБ, но при последующем внимательном ознакомлении с выпускаемыми документами приходит понимание необходимости точечного нормативного регулирования важных на сегодняшний день областей информационной безопасности банков.