Центробанк внедрит новый вид контроля кибербезопасности

Регуляторы всех стран (в том числе российский) в ближайшее время должны будут сформулировать требования к стресс-тестированию банковских систем к киберугрозам, заявил в ходе завершившегося на прошлой неделе XI Уральского форума «Информационная безопасность финансовой сферы» зампред Банка России Василий Поздышев. По его словам, пока в полной мере это еще нигде в мире не было реализовано. Однако ряд регуляторов уже предпринимает первые попытки. Так, например, еще в 2012 году Банк Англии разработал метод добровольного тестирования для банков. В 2016 году системы оценки киберустойчивости банков были реализованы в Сингапуре, а спустя два года европейский ЦБ предложил для банков ЕС систему симуляции кибератак. Слабое место данных решений — в отсутствии общего подхода, считает господин Поздышев. Разработкой такого обязательного централизованного подхода к стресс-тестированию и намерен заняться в ближайшие годы Банк России.

Требования к стресс-тестированию планируется «зашить» в требования к системе управления операционным риском, разработка которой ведется в настоящее время (см. “Ъ” от 27 февраля). «Это очень нетривиальная задача, потому что даже смоделировать единый сценарий такого стресс-теста очень непросто»,— отметил господин Поздышев. По словам первого замдиректора департамента информационной безопасности Банка России Артема Сычева, планируется привлечь к процессу и сторонние организации, систему оценки качества работы которых регулятор намерен обсуждать с Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю.

В настоящее время в поправках к положению Банка России №382-П уже заложены требования к обязательной внешней оценке соответствия требованиям кибербезопасности и ежегодному проведению пентестов. По словам одного из независимых экспертов по кибербезопасности, разница между пентестом и стресс-тестом в том, что первый является способом контроля возможности несанкционированного проникновения в систему, а второй — проверкой системы на способность функционировать в условиях активного противодействия. «В Евросоюзе пока не действует обязанность проводить стресс-тесты, это делается в виде фреймворков различных ассоциаций на добровольной основе,— рассказывает представитель одного из банков, имеющих подразделения в европейской юрисдикции.— Чаще всего они проходят в виде долгосрочных расширенных пентестов».

Коммерсант