Проект новых требований Банка России по информационной безопасности

Кто помнит мои заметки по следам магнитогорского форума, тот обратил внимание, что Банк России, как и ФСТЭК, уделяет большое внимание теме качества ПО, участвующего в денежных переводах. И вот недавно стало известно, что ЦБ готовит еще один документ в схожем направлении. Речь идет о проекте Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов».

Это первый нормативный документ Банка России, в котором планируется реализовать требования статьи 72.1 Федерального закона РФ от 10.07.2002 №86-ФЗ, которая гласит: «Банк России устанавливает требования к банковским методикам управления рисками и моделям колич. оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями… для целей оценки активов, расчета норматива достаточности собственных средств (капитала) и иных обязательных нормативов«.

Согласно стандарта ISO 8000, которому следует и Банк России, «качество данных и информации — это предоставление необходимой правильной информации нужным людям в нужное время».
Качество — это ключевой компонент качества и полезности информации, полученной из этих данных. И влиять на качество данных могут различные факторы, в том числе имеющие отношение и к информационной безопасности. Согласно проекта готовящегося положения каждая кредитная организация «обеспечивает непрерывное функционирование своих ИС независимо от смены обеспечивающего персонала«. Также «банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер информационной безопасности (ИБ):

  • мер по обеспечению ИБ на всех стадиях жизненного цикла ИС
  • мер по управлению доступом к данным и его регистрацией
  • мер по применению средств защиты от воздействия вредоносного кода
  • мер по обеспечению ИБ при использовании сети Интернет
  • мер по обеспечению ИБ путем эксплуатации СКЗИ
  • мер по обнаружению и реагированию на инциденты ИБ
  • мер по мониторингу обеспечения ИБ«.
В проекте нового Положения указанные меры не детализируются, но учитывая, что в работе над документом принимало участие ГУБЗИ, можно предположить, что детализация дана в всем известном Положении 382-П. Кстати, если вспомнить вступившее в силу с февраля положение о деятельности по проведению организованных торгов, то в нем также не было детализации защитных мер, но судя по их названию и порядку следования, они были списаны с 382-П.
Что хочется сказать в заключение? Новое положение — это еще один документ, устанавливающий обязанность кредитных организаций выполнять требования по защите информации. И если за неисполнение 382-П ответственности как таковой не предусмотрено, то за невыполнение нормативов банка по управлению рисками (а в данном случае речь идет о кредитных рисках) статьей 72.1 предусмотрен… отзыв лицензии. Есть о чем задуматься!
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. infsec

    Алексей, не могли бы поделиться новым проектом Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов»?

    Ответить
  2. Алексей Лукацкий

    Это к ЦБ

    Ответить