Артем сычев, банк россии: «компьютер, принимающий решения, надо обезопасить»

- kbrbank

Артем сычев, банк россии: «компьютер, принимающий решения, надо обезопасить»

Тезисы выступления Артема Сычева, помощника главы защиты управления информации и главного безопасности Банка России, на протяжении панельной дискуссии на третьей ежегодной конференции-консилиуме «ИТ-бюджет банка — 2017», организованной Bankir.Ru.

Мы настоятельно рекомендуем задуматься о переносе электронной подписи из АРМ КБР в АБС. Разработчики АБС уже получили от нас подробную данные, что и как будет изменяться. Мы готовы передавать наборы для криптографии.

К концу февраля будут сформулированы и переданы технические требования. И до середины следующего года АРМ КБР вправду поменяется на уровне функциональности.

Риску в большинстве случаев подвергаются остатки банка на корсчетах либо клиентские деньги на расчетных квитанциях. Эти цифры известны, значит возможно сделать и расчет

Обращу внимание, что на конференции Finopolis озвучивались замыслы в начале 2017 года отработать документ, который связан с оценкой операционных рисков и информационной безопасности. При низкой оценки будет рассматриваться вариант повышения резервирования либо капитала банка. Вероятнее, выбор будет сделан в пользу второго варианта.

Как высчитывать риски уже более либо менее ясно. Риску в большинстве случаев подвергаются остатки банка на корсчетах либо клиентские деньги на расчетных квитанциях. Эти цифры известны, значит возможно сделать и расчет.

О документах

Как это связано с СТО БР и ГОСТом? СТО остается и некуда не убежит. Он будет развиваться, по причине того, что нужен нам для определенной ее совершенствования и методологии.

Намедни прошло совещание подкомитета №1, где было решено одобрить проект ГОСТа и послать уведомление в Государственный стандарт. Роль ГОСТа в том, дабы снизить техническую перегруженность нормативных документов. Цифры, условно говоря, переедут в ГОСТ.

Это предоставит шанс достаточно оперативно поменять техническую составляющую, в то время, когда в этом появится необходимость.

Где тут место ФСТЭКовским документам? Мы соотносимся с ними напрямую. В принятом проекте ГОСТа довольно часто видится отсылка на эти документы.

По защите виртуальных автомобилей, к примеру, мы забрали то, что у нас имеется, и чего еще нет во ФСТЭКовских документах.

О сертификации

Мы живем в условиях явного тренда, в то время, когда использование средств защиты вероятно при наличии сертификата. С позиций финансовой системы мы оставляем некую вариативность. Сертификация до тех пор пока легко желательна.

Хотя бы чтобы средства защиты не имели недокументированных возможностей.

Контролировать АБС Банк России не имеет права

Замечательно понимаем, что имеется технологии, каковые еще кроме того не подавались на сертификацию. К примеру, песочницы — до тех пор пока еще не весьма ясно, как их сертифицировать. Но со временем методы покажутся.

Контролировать АБС Банк России не имеет права. А вот контролировать периметр на функциональность безопасности в платежных приложениях возможно, и это обсуждается. Мы стараемся синхронизироваться с требованиями, каковые имеется в стране.

Проверки в области безопасности были и раньше, тут ничего не изменится. Ничего, не считая качества этих испытаний.

О замыслах

Защита ваших разработок — это защита финансов

В рамках Технического комитета №122 идет обсуждение аутсорсинга информационной безопасности, что примет решение проблему чрезмерных затрат на маленькие денежные организации. Если вы взглянуть на происходящее в денежной сфере, то заметите, что все риски уже в электронном виде. Особенно у банков, в далеком прошлом выстроивших верные совокупности ранжирования клиентов, скоринговые совокупности и т. д. Скоринг принимает решения.

И защита ваших разработок — это защита финансов. Компьютер, принимающий решения, нужно обезопасить.

О кадрах

Бизнес идет в дистанционные каналы, и безопасность в них должна быть изначально. То, что именуется security by design. Этому мешает отсутствие квалифицированных кадров в ИБ и ИТ, и не весьма ясно, что с этим делать. На Уральском форуме в 2017 году будет целых два потока, посвященных данной проблеме. Нужно осознавать, что познания клиентов в области применения и безопасности ИТ весьма не сильный. Их практически нет.

Напротив, налицо излишнее доверие тому, что предлагает поставщик. И не приходится сомневаться в том, что атаки в недалеком будущем опять сдвинутся в сторону клиентов. Они сейчас самые незащищенные.

О просвещении

Увеличение осведомленности, денежной грамотности клиентов — одна из серьёзных задач. В противном случае мы возьмём обстановку, в то время, когда массовое потребление денежных инструментов станет небезопасным.

Самый несложный пример — пожилые люди, не осознающие принципов работы современных сервисов. И они значительно чаще становятся жертвами социальной инженерии. Вторая категория — юные люди, просто не вспоминающие о происходящем. Видят классное приложение, ставят его, с ним прилетает вирус, и все ухищрения с защитой «благополучно» обходятся.

В то время, когда неосведомленность выходит на уровень фирм, речь заходит уже об весьма важных суммах.

Банк России снизил ключевую ставку — economy

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: