Информационный портал ITSZ

Оригинал документа: http://spbit.su/news20/no213608/


     
 

«СёрчИнформ»: Новые директивы инфобезопасности «толковые» банки и так выполняют, формалистов они не исправят

(Официальное сообщение компании (пресс-релиз))

Данный материал размещен пользователем сайта. Мнение редакции может не совпадать с мнением автора
06.06.2019 09:14
С 1 июня вступило в силу Положение Центробанка № 683-П (за исключением нескольких требований, которые начнут действовать в 2020 и 2021 году), в котором описаны обязательные требования к защите IT-систем и приложений.

Суть защиты сводится к регулярному аудиту этих самых систем и приложений, которые банки используют при открытии вкладов, выдаче кредитов, оформлении и ведении счетов физических и юридических лиц.
 
В частности, документ обязывает банки один раз в год проводить анализ уязвимостей в ПО с привлечением лицензированных аудиторов по технической защите конфиденциальной информации. И один раз в два года – оценивать соответствие уровня защиты информации требованиям ГОСТа.
 
У банков уже есть кипа международных, федеральных и отраслевых документов с обязательными требованиями к защите данных. Поэтому банковский сектор в целом лучше других отраслей защищен от киберрисков и инсайдерских угроз. Однако, как показывает свежее исследование, 54% банков уязвимы к хищению клиентских денег. Сразу отмечу, эта цифра связана с правилами игры на рынке, а не с тем, что банки не могут выстроить надежную защиту. Им нужно быстрее запустить услугу или новый продукт – и вопрос безопасности отходит на второй план.
 
Возможно именно поэтому к длинному набору требований добавилось еще одно – привлекать на аудит внешних подрядчиков. Все логично, аудитор со стороны оценит ситуацию непредвзято, и это пойдет компании на пользу. Но толковые банки итак привлекают внешние команды для оценки уязвимостей и поиска проблемных мест в цифровой защите. То есть те банки, которые действительно беспокоятся об уровне ИБ и своей репутации, уже выполняют требования Центробанка без дополнительных распоряжений.
 
А вот для банков или их отдельных подразделений, которые подходят к вопросу безопасности формально, документ ЦБ лазейку не закрывает. Положение не дает никаких четких требований к методикам проверки, и по факту банк может выбрать ту компанию, которая обеспечит требуемый от нее результат.
 
По этой причине положение ЦБ выглядит здравым, но недостаточно директивным. Оно вводит новый процесс, описывает его цель и желаемый результат, а как этот результат должен быть получен – не сообщает. Это создает поле для разночтений. Поэтому важно не погубить хорошую идею посредственной реализацией.
 
Автор – руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев    

Автор: Айгуль Чуприна

Рубрики: Финансы, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
   
     


Copyright 2004 ITSZ. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.ITSZ.spbit.su
Ресурс разработан и поддерживается компанией Peterlink Web