14.05.2015

Проект новых требований Банка России по информационной безопасности

Кто помнит мои заметки по следам магнитогорского форума, тот обратил внимание, что Банк России, как и ФСТЭК, уделяет большое внимание теме качества ПО, участвующего в денежных переводах. И вот недавно стало известно, что ЦБ готовит еще один документ в схожем направлении. Речь идет о проекте Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов».

Это первый нормативный документ Банка России, в котором планируется реализовать требования статьи 72.1 Федерального закона РФ от 10.07.2002 №86-ФЗ, которая гласит: "Банк России устанавливает требования к банковским методикам управления рисками и моделям колич. оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями… для целей оценки активов, расчета норматива достаточности собственных средств (капитала) и иных обязательных нормативов".

Согласно стандарта ISO 8000, которому следует и Банк России, "качество данных и информации - это предоставление необходимой правильной информации нужным людям в нужное время". Качество - это ключевой компонент качества и полезности информации, полученной из этих данных. И влиять на качество данных могут различные факторы, в том числе имеющие отношение и к информационной безопасности. Согласно проекта готовящегося положения каждая кредитная организация "обеспечивает непрерывное функционирование своих ИС независимо от смены обеспечивающего персонала". Также "банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер информационной безопасности (ИБ):

  • мер по обеспечению ИБ на всех стадиях жизненного цикла ИС
  • мер по управлению доступом к данным и его регистрацией
  • мер по применению средств защиты от воздействия вредоносного кода
  • мер по обеспечению ИБ при использовании сети Интернет
  • мер по обеспечению ИБ путем эксплуатации СКЗИ
  • мер по обнаружению и реагированию на инциденты ИБ
  • мер по мониторингу обеспечения ИБ".
В проекте нового Положения указанные меры не детализируются, но учитывая, что в работе над документом принимало участие ГУБЗИ, можно предположить, что детализация дана в всем известном Положении 382-П. Кстати, если вспомнить вступившее в силу с февраля положение о деятельности по проведению организованных торгов, то в нем также не было детализации защитных мер, но судя по их названию и порядку следования, они были списаны с 382-П.

Что хочется сказать в заключение? Новое положение - это еще один документ, устанавливающий обязанность кредитных организаций выполнять требования по защите информации. И если за неисполнение 382-П ответственности как таковой не предусмотрено, то за невыполнение нормативов банка по управлению рисками (а в данном случае речь идет о кредитных рисках) статьей 72.1 предусмотрен... отзыв лицензии. Есть о чем задуматься!

2 коммент.:

infsec комментирует...

Алексей, не могли бы поделиться новым проектом Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов»?

Алексей Лукацкий комментирует...

Это к ЦБ