Проект новых требований Банка России по информационной безопасности

Проект новых требований Банка России по информационной безопасности
Кто помнит мои заметки  по следам магнитогорского форума, тот обратил внимание, что Банк России, как и ФСТЭК, уделяет большое внимание теме качества ПО, участвующего в денежных переводах. И вот недавно стало известно, что ЦБ готовит еще один документ в схожем направлении. Речь идет о проекте Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов».

Это первый нормативный документ Банка России, в котором планируется реализовать требования статьи 72.1 Федерального закона РФ от 10.07.2002 №86-ФЗ, которая гласит: "Банк России устанавливает требования к банковским методикам управления рисками и моделям колич. оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями… для целей оценки активов, расчета норматива достаточности собственных средств (капитала) и иных обязательных нормативов".

Согласно стандарта ISO 8000, которому следует и Банк России, "качество данных и информации - это предоставление необходимой правильной информации нужным людям в нужное время". Качество - это ключевой компонент качества и полезности информации, полученной из этих данных. И влиять на качество данных могут различные факторы, в том числе имеющие отношение и к информационной безопасности. Согласно проекта готовящегося положения каждая кредитная организация "обеспечивает непрерывное функционирование своих ИС независимо от смены обеспечивающего персонала". Также "банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер информационной безопасности (ИБ):

  • мер по обеспечению ИБ на всех стадиях жизненного цикла ИС
  • мер по управлению доступом к данным и его регистрацией
  • мер по применению средств защиты от воздействия вредоносного кода
  • мер по обеспечению ИБ при использовании сети Интернет
  • мер по обеспечению ИБ путем эксплуатации СКЗИ
  • мер по обнаружению и реагированию на инциденты ИБ
  • мер по мониторингу обеспечения ИБ".
В проекте нового Положения указанные меры не детализируются, но учитывая, что в работе над документом принимало участие ГУБЗИ, можно предположить, что детализация дана в всем известном Положении 382-П. Кстати, если вспомнить вступившее в силу с февраля положение  о деятельности по проведению организованных торгов, то в нем также не было детализации защитных мер, но судя по их названию и порядку следования, они были списаны с 382-П.

Что хочется сказать в заключение? Новое положение - это еще один документ, устанавливающий обязанность кредитных организаций выполнять требования по защите информации. И если за неисполнение 382-П ответственности как таковой не предусмотрено, то за невыполнение нормативов банка по управлению рисками (а в данном случае речь идет о кредитных рисках) статьей 72.1 предусмотрен... отзыв лицензии. Есть о чем задуматься!
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!