«СёрчИнформ»: Новые директивы инфобезопасности «толковые» банки и так выполняют, формалистов они не исправят

(Официальное сообщение компании (пресс-релиз))

Данный материал размещен пользователем сайта. Мнение редакции может не совпадать с мнением автора
С 1 июня вступило в силу Положение Центробанка № 683-П (за исключением нескольких требований, которые начнут действовать в 2020 и 2021 году), в котором описаны обязательные требования к защите IT-систем и приложений.

Суть защиты сводится к регулярному аудиту этих самых систем и приложений, которые банки используют при открытии вкладов, выдаче кредитов, оформлении и ведении счетов физических и юридических лиц.
 
В частности, документ обязывает банки один раз в год проводить анализ уязвимостей в ПО с привлечением лицензированных аудиторов по технической защите конфиденциальной информации. И один раз в два года – оценивать соответствие уровня защиты информации требованиям ГОСТа.
 
У банков уже есть кипа международных, федеральных и отраслевых документов с обязательными требованиями к защите данных. Поэтому банковский сектор в целом лучше других отраслей защищен от киберрисков и инсайдерских угроз. Однако, как показывает свежее исследование, 54% банков уязвимы к хищению клиентских денег. Сразу отмечу, эта цифра связана с правилами игры на рынке, а не с тем, что банки не могут выстроить надежную защиту. Им нужно быстрее запустить услугу или новый продукт – и вопрос безопасности отходит на второй план.
 
Возможно именно поэтому к длинному набору требований добавилось еще одно – привлекать на аудит внешних подрядчиков. Все логично, аудитор со стороны оценит ситуацию непредвзято, и это пойдет компании на пользу. Но толковые банки итак привлекают внешние команды для оценки уязвимостей и поиска проблемных мест в цифровой защите. То есть те банки, которые действительно беспокоятся об уровне ИБ и своей репутации, уже выполняют требования Центробанка без дополнительных распоряжений.
 
А вот для банков или их отдельных подразделений, которые подходят к вопросу безопасности формально, документ ЦБ лазейку не закрывает. Положение не дает никаких четких требований к методикам проверки, и по факту банк может выбрать ту компанию, которая обеспечит требуемый от нее результат.
 
По этой причине положение ЦБ выглядит здравым, но недостаточно директивным. Оно вводит новый процесс, описывает его цель и желаемый результат, а как этот результат должен быть получен – не сообщает. Это создает поле для разночтений. Поэтому важно не погубить хорошую идею посредственной реализацией.
 
Автор – руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев    

Автор: Айгуль Чуприна

Рубрики: Финансы, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

13.11.2019 Киберугрозы: что беспокоит российский ритейл

08.11.2019 Цифровое ТВ: полторы тысячи, чтобы обогнать Европу

07.11.2019 Онлайн-экспорт идет на взлет

01.11.2019 Триколор: клиента перестали интересовать моноуслуги

31.10.2019 Время медиаконтента

28.10.2019 На новом витке эволюции СЭД

22.10.2019 Саечка за испуг. Правительство пошло навстречу ИТ-гигантам

16.10.2019 Tele2 намерен занять петербургское метро

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода