Источник: GAAP.RU
Дата публикации: 14 Сентября 2017 г.
В продолжение недавней новости (“Разработан стандарт для банков по аутсорсингу кибербезопасности”)
Как сообщает сегодня “КоммерсантЪ”, Банк России готовится ужесточить требования к информационной безопасности банков по части привлечения ими для реализации этих функций сторонних компаний – соответствующий законопроект был выставлен на публичное обсуждение на этой неделе, он носит название “Управление риском нарушения информационной безопасности на аутсорсинге”.
В публикации регулятор обращает внимание участников рынка на риски привлечения сторонних компаний к обеспечению информационной безопасности и оговаривает требования к этому. Среди основных опасностей привлечения поставщика услуг со стороны можно назвать ошибочный выбор компании, не обладающей достаточным опытом для этого, а также слабый контроль ее действий, следствием чего может стать не нейтрализация, а, напротив, появление уязвимостей в информационных системах.
Регулятор рекомендует перед фактическим началом сотрудничества сначала разработать с аутсорсером политику взаимодействия и четко определить перечень услуг и функций для обеих сторон отношений, сферы их ответственности. Эта политика подлежит утверждению советом директоров банка. Кроме того, банк будет обязан время от времени самостоятельно проводить оценку риска нарушения информационной безопасности, оценивая уже своими силами компанию-аутсорсера и потенциальные потери в случае его реализации (на основе объемов проводимых банком транзакций). В случае если банк относится к одному из 11 системно значимых, ему лучше сообщать о своих планах по передаче части функций информационной безопасности заранее – в Центр по борьбе с киберугрозами (FinCERT).
Требования могут выглядеть довольно эффективными, но в случае с небольшими банками здесь вырисовывается другая проблема: колоссальный объем новых документов, которые придется теперь готовить. В отдельных банках информационной безопасностью могут заниматься 2-3 человека, и вполне понятно, что вдвоем или втроем они могут физически не успевать готовить такие объемы дополнительной отчетности.
Комментарии
Книги на GAAPshop.ru
Горящие семинары
Все семинары
на edu.GAAP.RU