Понятие киберустойчивости в финансовой сфере подразумевает, прежде всего, способность предвидеть кибератаки, защищаться от них и потом быстро восстановить полноценную работу. В банковской сфере кибератаки относятся к операционным рискам, косвенно влияя на риски ликвидности и кредитные риски. Одним из основных условий развития и укрепления банковской системы Российской Федерации, развития и обеспечения стабильности финансового рынка и национальной платежной системы является обеспечение необходимого и достаточного уровня защиты информации в кредитных организациях.

Понятие киберустойчивости в финансовой сфере подразумевает, прежде всего, способность предвидеть кибератаки, защищаться от них и потом быстро восстановить полноценную работу. В банковской сфере кибератаки относятся к операционным рискам, косвенно влияя на риски ликвидности и кредитные риски. Одним из основных условий развития и укрепления банковской системы Российской Федерации, развития и обеспечения стабильности финансового рынка и национальной платежной системы является обеспечение необходимого и достаточного уровня защиты информации в кредитных организациях.

Для противостояния угрозам безопасности информации и их влиянию на операционный риск, финансовым организациям требуется определить достаточность и адекватность состава и содержания мер защиты информации. Банком России разработан ГОСТ Р 57580.1, который содержит требования к содержанию базового состава мер защиты информации. Способом проверки соответствия защиты информации в финансовой организации является оценка соответствия выбора и реализации ею организационных и технических мер защиты информации требованиям стандарта.

ПАО Сбербанк занимает лидирующие позиции по развитию информационных технологий в финансовом секторе и первая финансовая организация, которая уже провела оценку на соответствие требованиям ГОСТ Р 57580.1. О целях оценки, подходах и результатах рассказал Кирилл Мартыненко, исполнительный директор – начальник отдела киберкультуры Департамента безопасности ПАО Сбербанк в ходе тематической секции «Обеспечение киберустойчивости организаций финансовой сферы. Подходы и практика реализации».

Согласно ГОСТ Р 57580.1. оценка соответствия требованиям должна проводиться независимой организацией, обладающей необходимым уровнем компетенции и имеющей лицензии на деятельность по технической защите конфиденциальной информации. ПАО Сбербанк для проведения такой оценки требованиям нового национального стандарта был выбран НТЦ «Вулкан» - как независимая российская экспертная компания в сфере информационной безопасности.

Сергей Вихорев, заместитель руководителя направления информационной безопасности НТЦ «Вулкан», в своем выступлении раскрыл тему оценки соответствия требованиям ГОСТ Р 57580.1., систематизируя ключевые вопросы, с которыми так или иначе столкнется каждая финансовая организация при проведении аудита защиты финансовой информации на соответствие новому национальному стандарту.

В докладе рассматривались вопросы применения методики оценки, а также проблемные области при проведении оценки и подходы к решению проблем.

Представлены практические рекомендации: как банку подготовиться к проекту оценки, какие потребуются предварительные мероприятия, как определить требуемую глубину оценки, какие сегменты инфраструктуры ИТ банка наиболее критичны с точки зрения информационной безопасности, к каким областям и процессам применимы требования ГОСТ Р 57580.1., какую методику оценки использовать, результатами каких предыдущих аудитов и проверок в сфере ИБ можно воспользоваться и многие др.