ЦБ совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) разрабатывает специальные стандарты, по которым оценят качество работы независимых компаний, проверяющих надежность банковской инфраструктуры. Об этом рассказал «Известиям» замглавы департамента информационной безопасности регулятора Артем Сычев. Источник, близкий к регулятору, сообщил, что IT-аудиторов могут обязать в тестовом режиме взламывать защиту кредитных организаций с привлечением так называемых белых хакеров. Собеседник на финрынке, знакомый с ситуацией, подтвердил, что такой норматив обсуждается.
Ранее ЦБ обязал банки проводить независимую оценку защищенности своих систем. Однако пока нормативной базы для таких проверок нет и каждая кредитная организация руководствуется собственными критериями качества при найме IT-аудиторов.
По словам экспертов, единственный вариант качественно оценивать защищенность IT-систем банков — это полностью имитировать хакерскую атаку. Для этого необходимо проводить исследования наличия типовых уязвимостей систем защиты с использованием специализированных сканеров, а также тестировать их на проникновение с помощью компетенций хакеров. Эксперты также считают, что банки зачастую делают проверки своей устойчивости не для себя, а для регулятора, поэтому ЦБ вправе устанавливать свои правила проведения IT-аудита для поднадзорного ему сектора. К аудиторам финансовой отчетности также предъявляются довольно строгие требования, но практика показала, что их заключения, причем международных оценщиков в том числе, далеко не всегда соответствуют действительности, пояснили специалисты.
Сейчас одна из возможных опций — создание соответствующего института на базе уже действующих компаний, которые готовы предложить свою платформу.
Комментарии