Что еще запоминающегося с точки зрения новостей от регуляторов прозвучало на Уральском форуме? Пожалуй, выделю еще несколько моментов, на которые стоит обратить внимание:
- Планируется законодательно закрепить право Банка России по нормативному регулированию вопросов, связанных с обеспечением информационной безопасности всей информационной инфраструктуры кредитной организации и всех видов информации, обрабатываемой в кредитной организации, в том числе информации, отнесенной к категории банковской тайны. Иными словами, опыт 27-й статьи ФЗ-161, которая наделяет ЦБ правом устанавливать требования по защите информации при осуществлении денежных переводов и контролировать их исполнение, хотят распространить и на другие сферы, попадающие в прицел регулятора. Когда это произойдет пока непонятно, но у регулятора есть желание сделать это поскорее.
- В рамках СТО БР ИББС должна появиться РС по квалификации персонала, чтобы новичкам можно было ориентироваться на набор знаний и умений, а уже опытным - оценивать сотрудников при найме. Сроки появления этого документа пока не объявлены. Вообще в утвержденном плане работ ПК1 ТК122 на 2016-2017 годы этого документа нет - это новация. Но квалификация - это боль для многих организаций, поэтому неслучайно про нее заговорил и ЦБ. Первый зампред Швецов в своем выступлении даже упомянул, что по инициативе ЦБ сейчас переводится некий лондонский курс по кибербезопасности, который может в долгосрочной перспективе (5 лет) стать обязательным для сотрудников, мечтающих пойти в банковскую ИБ.
- У банковского надзора есть желание реализовать систему надзорных мер, учитывающую результаты контроля информационной безопасности. Как это будет, не до конца понятно, но в кулуарах даже звучала мысль о том, что надо взять за основу Базель II/III и привязать требования по достаточности капитала (а они уже введены в России) к уровню безопасности, который является некоторой дифференциальной величиной, зависящей и от уровня защищенности, оцениваемого в рамках надзорных мероприятий, и от числа инцидентов, произошедших в организации, и от числа похищенных в банке средств. Но пока это дальняя перспектива и сроки ее реализации не озвучивались (явно не раньше проведения революции по изменению 382-П и перевода СТОБР в разряд ГОСТа).
- ДНПС планирует во второй половине 2016 года выпустить "Рекомендации по обеспечению устойчивости инфраструктуры финансовых рынков к угрозам кибербезопасности" (в развитие Письма Банка России от 29.06.2012 №94-Т "О документе Комитета по платежным и расчетным системам "Принципы для инфраструктур финансового рынка"). И хотя к инициативам ДНПС в области ИБ я отношусь скептически, они уже и примерную структура этого документа имеют:
- Корпоративное управление
- Идентификация
- Защита
- Обнаружение
- Реагирование и восстановление
- Тестирование
- Ситуационная осведомленность
- Обучение и совершенствование.
Вот такая картина вырисовывается по итогам Уральского форума. Много планов, как краткосрочных, так и долгосрочных. Много полезных вещей. Что из этого будет реализовано, пока не знаю - будем ждать. А пока могу подвести черту под серией заметок про Уральский форум. Ключевые, на мой взгляд, вещи я изложил.