Банки будут оценивать информбезопасность по новой методике
Это требование вводится с 1 января 2021 годаС 1 января 2021 года банки и организации, осуществляющие отдельные виды банковских операций, начнут работать по специальной методике оценки рисков информационной безопасности. Такие требования устанавливает Агентство РК по регулированию и развитию финансового рынка, сообщает пресс-служба ведомства.
Цель внедрения методики - оптимизация процесса обработки рисков информбезопасности в финансовых организациях.
«Проще говоря, методика призвана стать основой для финансовых организаций, в которых оценка рисков информационной безопасности пока осуществлялась бессистемно, а также помочь всем финансовым организациям сделать данный процесс более прозрачным и структурированным. В дальнейшем мы планируем расширить требования по оценке рисков информбезопасности и на другие виды финансовых организаций: страховые организации, рынок ценных бумаг», - рассказал начальник Управления кибербезопасности Агентства РК по регулированию и развитию финансового рынка Роман Перминов.
Весь процесс разделен на два основных этапа – выявление критичных информационных активов и оценка рисков информбезопасности для данных активов. Информационные активы – это информация и информационные системы, которые организация использует в своей работе. Например, сервер, на котором хранится информация о клиентах организации, это информационный актив. И как любой актив, он имеет ценность, так как его утеря или поломка негативно скажутся на работе организации. В рамках первого этапа организациям необходимо выявить все свои информационные активы, определить их ценность и решить, какие активы – критичные и нуждаются в защите.
На втором этапе специалисты организации определяют уязвимости и угрозы для информационной безопасности. На основании этих данных оцениваются вероятность реализации угрозы и уровень риска. Всё это прописано в методике. Финрегулятор будет следить за исполнением этой методики. Также будет проверять процесс оценки рисков информационной безопасности в финансовых организациях.
«Агентство вправе затребовать документальные свидетельства всех этапов проведения оценки рисков. Следует сказать, что моментального эффекта ждать не стоит, так как сама оценка рисков – процесс достаточно трудоемкий и длительный для больших организаций. Использование данной методики потребует вовлечения в процесс не только специалистов по информационной безопасности и рискам, но также и ключевых «бизнесовых» направлений организации, включая руководство», - заключил Роман Перминов.
Основной выгодой от внедрения этой методики будет повышение защищенности финансовых организаций и их устойчивости в противодействии угрозам информационной безопасности, говорится в сообщении финрегулятора.
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.