Артем Сычев: «Услуга внешней оценки ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT» - «Финансы» » Финансы и Банки
Создать акаунт

Артем Сычев: «Услуга внешней оценки ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT» - «Финансы»

10 окт 2016, 16:21
Финансы
0
0
Артем Сычев: «Услуга внешней оценки ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT» - «Финансы»
Артем Сычев: «Услуга внешней оценки ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT» - «Финансы»


Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев в кулуарах Международного банковского форума «Банки России — XXI век» рассказал «Финансы и Банки» о разработке требований к компаниям, оказывающим услуги аутсорсинга на рынке информационной безопасности (ИБ), и о том, что ждет участников Finopolis 2016 в Казани.


— На прошлой неделе SWIFT разослал очередное письмо, в котором, не называя банки, сообщил, что возникли проблемы и необходимо усиливать меры безопасности. По намекам можно понять, что речь идет о серьезных взломах...


— В этих письмах не говорится о чем-то новом. SWIFT обобщил имеющуюся информацию и постарался довести ее до максимального количества клиентов. Я бы расценивал письмо как часть политики, проводимой SWIFT для повышения внимания к вопросам безопасности.


Рекомендации, сформулированные FinCERT, идеально подходят для той ситуации, которую описывает SWIFT

Принцип, примененный в этих атаках, точно такой же, какой мы в свое время видели в атаках на АРМ КБР (автоматизированное рабочее место клиента Банка России.— «Финансы и Банки»). И рекомендации, сформулированные FinCERT, идеально подходят для той ситуации, которую описывает SWIFT.


— Можно ли говорить, что письмо в первую очередь направлено на борьбу с разгильдяйством банков в вопросах безопасности?


— Мне кажется, речь идет об упорядочении информации.


Банки будут обязаны тестировать свою инфраструктуру на предмет уязвимостей и возможность взлома

Если раньше банк оценивал риски атаки низко, это не значит, что он был разгильдяем. Просто была такая оценка рисков. Теперь есть повод ее пересмотреть.


Мы тоже меняем требования к банкам со, скажем так, общих, организационных на ориентированные на практический результат. Например, банки будут обязаны тестировать свою инфраструктуру на предмет уязвимостей и возможность взлома.


— А как это реально проверять? Ведь у нас больше 600 банков, и атака может происходить не через головной офис, а через один из филиалов в глубинке.


— Есть международный опыт. Глобальные платежные системы оставляют за собой право перепроверки аудита, проводимого независимыми структурами, внешними оценщиками. С нашей стороны будут сформулированы обязательные критерии для организаций, оказывающих услуги такого рода. Дальше возникает вопрос доверия к их работе, но это как раз предмет обсуждения как с смой отраслью, так и с финансовыми организациями.


Сейчас идет разработка рекомендаций в области стандартизации аутсорсинга ИБ

Внешняя оценка ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT. Но если критерии оценки аутсорсера и качества его работы понятны, то такие же критерии в сфере информационной безопасности пока не сформированы. Именно поэтому сейчас идет разработка рекомендаций в области стандартизации аутсорсинга ИБ. И мы думаем, что ряд критериев можно будет применять к оценщикам ИБ.


— В мировой прессе сейчас много материалов о том, что растет количество взломов не только банков, но и счетов пользователей — через мобильные устройства, например. Насколько эти проблемы входят в вашу сферу ответственности?


— Что касается конечного пользователя, это вопрос не наш. Это к организации, которая ему услуги оказывает. Ущерб конечного потребителя отражается на балансе кредитной организации, и это ее проблема. Но вопрос обеспечения внимания и должного контроля за качеством услуг — это уже зона ответственности Банка России.


Мы будем создавать систему наблюдения за тем, как банки соблюдают сформулированные принципы.


— В октябре в Казани состоится Finopolis, где у вас целая пленарная дискуссия. О чем пойдет речь?


— В этом году у нас будет два направления. Первое — пленарная дискуссия об информационной безопасности в целом. Второе — отдельный разговор об аутсорсинге в этой области.


Проблемы в сфере информационной безопасности имеют трансграничную природу

Дискуссия будет нацелена на обсуждение проблем ближайшего будущего и пути их предотвращения.


Мы очень надеемся на то, что удастся провести интересное мероприятие с точки зрения международного опыта. У нас будут представители Европейского банка, Cyber Security Malaysia, а основной доклад сделает Евгений Касперский. Проблемы в сфере информационной безопасности имеют трансграничную природу.


Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев в кулуарах Международного банковского форума «Банки России — XXI век» рассказал «Финансы и Банки» о разработке требований к компаниям, оказывающим услуги аутсорсинга на рынке информационной безопасности (ИБ), и о том, что ждет участников Finopolis 2016 в Казани. — На прошлой неделе SWIFT разослал очередное письмо, в котором, не называя банки, сообщил, что возникли проблемы и необходимо усиливать меры безопасности. По намекам можно понять, что речь идет о серьезных взломах. — В этих письмах не говорится о чем-то новом. SWIFT обобщил имеющуюся информацию и постарался довести ее до максимального количества клиентов. Я бы расценивал письмо как часть политики, проводимой SWIFT для повышения внимания к вопросам безопасности. Рекомендации, сформулированные FinCERT, идеально подходят для той ситуации, которую описывает SWIFT Принцип, примененный в этих атаках, точно такой же, какой мы в свое время видели в атаках на АРМ КБР (автоматизированное рабочее место клиента Банка России.— «Финансы и Банки»). И рекомендации, сформулированные FinCERT, идеально подходят для той ситуации, которую описывает SWIFT. — Можно ли говорить, что письмо в первую очередь направлено на борьбу с разгильдяйством банков в вопросах безопасности? — Мне кажется, речь идет об упорядочении информации. Банки будут обязаны тестировать свою инфраструктуру на предмет уязвимостей и возможность взлома Если раньше банк оценивал риски атаки низко, это не значит, что он был разгильдяем. Просто была такая оценка рисков. Теперь есть повод ее пересмотреть. Мы тоже меняем требования к банкам со, скажем так, общих, организационных на ориентированные на практический результат. Например, банки будут обязаны тестировать свою инфраструктуру на предмет уязвимостей и возможность взлома. — А как это реально проверять? Ведь у нас больше 600 банков, и атака может происходить не через головной офис, а через один из филиалов в глубинке. — Есть международный опыт. Глобальные платежные системы оставляют за собой право перепроверки аудита, проводимого независимыми структурами, внешними оценщиками. С нашей стороны будут сформулированы обязательные критерии для организаций, оказывающих услуги такого рода. Дальше возникает вопрос доверия к их работе, но это как раз предмет обсуждения как с смой отраслью, так и с финансовыми организациями. Сейчас идет разработка рекомендаций в области стандартизации аутсорсинга ИБ Внешняя оценка ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT. Но если критерии оценки аутсорсера и качества его работы понятны, то такие же критерии в сфере информационной безопасности пока не сформированы. Именно поэтому сейчас идет разработка рекомендаций в области стандартизации аутсорсинга ИБ. И мы думаем, что ряд критериев можно будет применять к оценщикам ИБ. — В мировой прессе сейчас много материалов о том, что растет количество взломов не только банков, но и счетов пользователей — через мобильные устройства, например. Насколько эти проблемы входят в вашу сферу ответственности? — Что касается конечного пользователя, это вопрос не наш. Это к организации, которая ему услуги оказывает. Ущерб конечного потребителя отражается на балансе кредитной организации, и это ее проблема. Но вопрос обеспечения внимания и должного контроля за качеством услуг — это уже зона ответственности Банка России. Мы будем создавать систему наблюдения за тем, как банки соблюдают сформулированные принципы. — В октябре в Казани состоится Finopolis , где у вас целая пленарная дискуссия. О чем пойдет речь? — В этом году у нас будет два направления. Первое — пленарная дискуссия об информационной безопасности в целом. Второе — отдельный разговор об аутсорсинге в этой области. Проблемы в сфере информационной безопасности имеют трансграничную природу Дискуссия будет нацелена на обсуждение проблем ближайшего будущего и пути их предотвращения. Мы очень надеемся на то, что удастся провести интересное мероприятие с точки зрения международного опыта. У нас будут представители Европейского банка, Cyber Security Malaysia, а основной доклад сделает Евгений Касперский. Проблемы в сфере информационной безопасности имеют трансграничную природу.
Финансы, безопасности информационной идет будут сфере

Смотрите также:
Число мошеннических звонков якобы от лица банков в пандемию выросло на 300% - «Финансы»
Число мошеннических звонков якобы от лица банков в пандемию выросло на 300% - «Финансы»
Об этом сообщил первый заместитель директора департамента информационной безопасности ЦБ Артем Сычев.
Артем Сычев: «Будущее за аутсорсингом услуг информационной безопасности» - «Финансы»
Артем Сычев: «Будущее за аутсорсингом услуг информационной безопасности» - «Финансы»
Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев на Международном банковском форуме «Банки России — XXI век» рассказал о ситуации с информационной
Артем Сычев, FinCERT: «Задерживая преступников, мы не изымаем инструменты атак из продажи» - «Финансы»
Артем Сычев, FinCERT: «Задерживая преступников, мы не изымаем инструменты атак из продажи» - «Финансы»
Тезисы выступления заместителя начальника главного управления безопасности и защиты информации Банка России Артема Сычева на сессии форума Finopolis 2016 «Кибербезопасность в условиях новых вызовов и
ЦБ отложил начало киберучений для банков - «Финансы»
ЦБ отложил начало киберучений для банков - «Финансы»
Об этом сообщил Артем Сычев на съезде Ассоциации российских банков.
Комментарии
Минимальная длина комментария - 50 знаков. комментарии модерируются

© «Финансы и Банки» © Мы транслируем с 2016 года. Обратная связь - Редакция не несет ответственности за достоверность информации. Все материалы публикуют на сайте гости и пользоватили сайта. Администрация сайта не несет ответственности за публикации.


Наш телеграм канал - РЕКЛАМА У НАС
Копирование текста с сайта запрещено. Все материалы публикуют на сайте гости и пользоватили сайта. Администрация сайта не несет ответственности за публикации.
Top.Mail.Ru