Артем сычев: «услуга внешней оценки иб — точно такая же аутсорсинговая услуга, как и любая другая в it»

- kbrbank

Артем сычев: «услуга внешней оценки иб — точно такая же аутсорсинговая услуга, как и любая другая в it»

Помощник главы защиты управления информации и главного безопасности Банка России Артем Сычев в кулуарах Международного банковского форума «Банки России — XXI век» поведал Bankir.Ru о разработке требований к компаниям, оказывающим услуги аутсорсинга на рынке информационной безопасности (ИБ), и о том, что ожидает участников Finopolis 2016 в Казани. — Несколько дней назад SWIFT разослал очередное письмо, в котором, не именуя банки, сказал, что появились неприятности и нужно усиливать меры безопасности. По намекам можно понять, что речь заходит о важных взломах…

— В этих письмах не говорится о чем-то новом. SWIFT обобщил имеющуюся данные и попытался довести ее до предельного числа клиентов. Я бы расценивал письмо как часть политики, проводимой SWIFT для увеличения внимания к вопросам безопасности.

Советы, сформулированные FinCERT, идеально подходят для той ситуации, которую обрисовывает SWIFT

Принцип, примененный в этих атаках, совершенно верно такой же, какой мы в свое время видели в атаках на АРМ КБР (автоматизированное рабочее место клиента Банка России.— Bankir.Ru). И советы, сформулированные FinCERT, идеально подходят для той ситуации, которую обрисовывает SWIFT.

— Возможно ли сказать, что письмо прежде всего направлено на борьбу с разгильдяйством банков в вопросах безопасности?

— Мне думается, речь заходит об упорядочении информации.

Банки будут обязаны тестировать собственную инфраструктуру на возможность взлома и предмет уязвимостей

В случае если раньше банк оценивал риски атаки низко, это не означает, что он был разгильдяем. Легко была такая оценка рисков. Сейчас имеется предлог ее пересмотреть.

Мы также меняем требования к банкам со, скажем так, неспециализированных, организационных на ориентированные на практический итог. К примеру, банки будут обязаны тестировать собственную инфраструктуру на возможность взлома и предмет уязвимостей.

— А как это реально контролировать? Так как у нас больше 600 банков, и атака может происходить не через главный офис, а через один из филиалов в глубинке.

— Имеется интернациональный опыт. Глобальные платежные совокупности оставляют за собой право перепроверки аудита, проводимого свободными структурами, внешними оценщиками. С отечественной стороны будут сформулированы необходимые параметры для организаций, оказывающих услуги для того чтобы рода.

Дальше появляется вопрос доверия к их работе, но это именно предмет дискуссии как с смой отраслью, так и с денежными организациями.

на данный момент идет разработка рекомендаций в области стандартизации аутсорсинга ИБ

Внешняя оценка ИБ — совершенно верно такая же аутсорсинговая услуга, как и каждая вторая в IT. Но в случае если критерии оценки аутсорсера и качества его работы понятны, то такие же критерии в сфере информационной безопасности пока не организованы. Как раз исходя из этого на данный момент идет разработка рекомендаций в области стандартизации аутсорсинга ИБ.

И мы считаем, что последовательность параметров возможно будет использовать к оценщикам ИБ.

— Во всемирной прессе на данный момент большое количество материалов о том, что увеличивается число взломов не только банков, но и квитанций пользователей — через мобильные устройства, к примеру. Как эти неприятности входят в вашу сферу ответственности?

— Что касается конечного пользователя, это вопрос не отечественный. Это к организации, которая ему услуги оказывает. Ущерб конечного потребителя отражается на балансе кредитной организации, и это ее неприятность.

Но вопрос должного контроля и обеспечения внимания за уровнем качества услуг — это уже территория ответственности Банка России.

Мы будем создавать совокупность наблюдения за тем, как банки выполняют сформулированные правила.

— В октябре в Казани состоится Finopolis, где у вас целая пленарная дискуссия. О чем отправится обращение?

— В текущем году у нас будет два направления. Первое — пленарная дискуссия об информационной безопасности в целом. Второе — отдельный разговор об аутсорсинге в данной области.

Неприятности в сфере информационной безопасности имеют трансграничную природу

Дискуссия будет нацелена на дискуссию неприятностей ближайшего будущего и пути их предотвращения.

Мы весьма сохраняем надежду на то, что удастся совершить увлекательное мероприятие с позиций интернационального опыта. У нас будут представители Банка ЕС, Cyber не сильный Malaysia, а главный доклад сделает Евгений Касперский. Неприятности в сфере информационной безопасности имеют трансграничную природу.

Популярно о безопасности — Артем Сычев

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: