В текущем году Центральный Банк России проверил 75 банков, объектом внимания стала организация информационной безопасности в финансовых учреждениях. В каждом из них регулятор нашел проблемы с обеспечением кибербезопасности. Председатель Центробанка Эльвира Набиуллина считает, что это прекрасно иллюстрирует насколько финансовый сектор недооценивает масштабы кибератак и возможные риски от реализации киберинцидентов.
«С прошлого года Центральный банк как регулятор имеет полномочия осуществлять надзор за финансовыми институтами с точки зрения того, как они выполняют требования по кибербезопасности. В прошлом году мы проверили 58 банков, в этом году 75, и во всех были найдены проблемы, нарушения, нельзя сказать, что критические, но они могут стать серьезными, если финансовые институты не будут придавать этому значения», — Эльвира Набиуллина.
Беспечность финансовых организаций удивляет еще и потому, что участники финансового рынка признаны субъектами критической информационной инфраструктуры, обеспечение безопасности которой является приоритетом последний год. Защита критически важных информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей в банках и других финансовых организаций должна быть организована в соответствии с требованиями Федерального закона от 26.07.2017 г. №187-ФЗ.
Согласно закону и связанным подзаконным актам, юридическим лицам и индивидуальным предпринимателям рекомендовано утвердить перечни имеющихся у них объектов КИИ в срок до 1 сентября. Для государственных органов и учреждений этот срок является строго крайним.
Помимо федерального законодательства, свои стандарты по обеспечению кибербезопасности устанавливает сам Центробанк.
В июле 2018 года Центробанк разработал стандарт обеспечения информационной безопасности при работе с аутсорсинговыми компаниями, предусматривающий обязательные требования к обеспечению защиты информации как со стороны финансовой организации, так и со стороны привлеченной к сотрудничеству компании.
В мае 2018 года Центробанк опубликовал стандарт обеспечения информационной безопасности финансовых организаций России, который нормировал обмен информацией о кибератаках. Данный стандарт признан ФСБ России соответствующим требованиям к информации, поступающей в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Стандарт предполагает, что ФинЦЕРТ будет обмениваться данными с ГосСОПКА.
В ноябре 2017 г. Центробанк предложил публичным компаниям добавить в советы директоров специалистов по информационной безопасности и информационным технологиям.
С полным списком стандартов и их положениями можно ознакомиться на сайте Центрального Банка России.