Разработка стандартов банка по информационной безопасности

Информационная безопасность - критически важный аспект работы любого банка. В последние годы участились кибератаки на финансовые организации, поэтому Банк России разработал комплекс стандартов для защиты конфиденциальных данных клиентов и обеспечения стабильности банковской системы.

История создания стандартов Банка России по информационной безопасности

Необходимость стандартизации подходов к информационной безопасности в банковской сфере возникла в связи с ростом кибератак и утечек данных. Для выработки единых требований Банк России начал разработку комплекса стандартов в 2004 году.

В основу стандартов был положен британский стандарт BS 7799. Ключевым документом комплекса является национальный стандарт СТО БР ИББС-1.0-2014 (сейчас действует пятая редакция).

Роль НП ABISS в продвижении и развитии стандартов ИБ для банковской сферы трудно переоценить.

По данным на 2011 год около 66% банков уже использовали стандарт или планировали его внедрение. К 2023 году доля таких кредитных организаций выросла до 75-80%.

Структура и содержание стандартов ИБ Банка России

Стандарт СТО БР ИББС-1.0-2014 определяет основные принципы обеспечения информационной безопасности в банковской сфере:

• Цикл Деминга (планирование, внедрение, контроль, корректировка)
• Модель нарушителя и анализ угроз
• Управление рисками ИБ

Стандарты банка включают методику оценки соответствия из 423 показателей по 6 уровням. 0 уровень - полное несоответствие, 5 уровень - максимальное соответствие рекомендациям Банка России.

В состав комплекса документов СТО БР ИББС входят обязательные стандарты и дополнительные рекомендации.

Присоединение банков к стандартам банка и прохождение аудита на соответствие является добровольным. Однако это повышает доверие клиентов и упрощает проверки регуляторов.

Новый национальный стандарт по защите информации в финансовой сфере

В 2017 году был утвержден новый национальный стандарт по защите информации для финансовых организаций. Он вводит три уровня защиты в зависимости от критичности данных:

1. Минимальный
2. Средний
3. Усиленный

Каждый уровень предусматривает определенный набор мер безопасности, которые банк выбирает исходя из своих технологий и рисков.

Помимо банков действие стандарта распространяется на страховые компании, микрофинансовые организации и платежные системы.

Стандартизация Открытых API

Развитие цифровых финансовых услуг требует стандартизации использования Открытых API для обмена данными между банками и сервисами.

В 2020 году Банк России утвердил стандарт СТО БП ФАПИ.СЕК-1.6-2020, регламентирующий безопасное применение Открытых API на основе протокола OpenID.

Требования к страхованию рисков заемщиков

С 1 октября 2022 года введены унифицированные стандарты для страхования рисков заемщиков в банках и МФО. Они отменяют различия в подходах страховщиков.

Информирование клиентов о страховании

Банки обязаны выдавать клиентам ключевой информационный документ, содержащий все условия страхового полиса. Это повышает финансовую грамотность заемщиков.

Перспективы дальнейшего развития

С учетом стремительной цифровизации финансовой сферы можно ожидать появления новых стандартов для обеспечения безопасности и удобства использования инновационных сервисов.

Три уровня защиты данных

Новый стандарт по защите информации вводит три уровня безопасности. Минимальный уровень подходит для менее критичных данных. Средний уровень применяется для персональных данных и типовых банковских операций. Усиленный уровень используется в случае обработки конфиденциальных сведений, например при работе с VIP-клиентами.

Гибкая адаптация под особенности банков

Новый стандарт позволяет банкам гибко подбирать необходимый набор мер безопасности, исходя из используемых технологий, выявленных угроз и других факторов. Это обеспечивает оптимальный баланс защищенности и эффективности бизнес-процессов.

Стандартизация API на основе OpenID

Стандарт СТО БП ФАПИ.СЕК-1.6-2020 регламентирует применение открытых API с использованием универсального протокола авторизации OpenID. Это позволяет создать единые механизмы безопасного обмена данными между различными организациями.

Принцип "одного окна" для клиентов

Согласно новым стандартам страхования, клиенты могут решать любые вопросы, связанные со страхованием, через банк. Это существенно экономит время и повышает лояльность заемщиков.

Повышение финансовой грамотности

Обязательное информирование о деталях страхового полиса делает продукт более понятным для клиентов. Люди могут принимать более осознанные финансовые решения.

Аудит информационной безопасности банков

Важным документом комплекса СТО БР ИББС является стандарт, регламентирующий порядок аудита информационной безопасности в банковской сфере. Он описывает методику оценки текущего уровня защищенности и соответствия требованиям регуляторов.

Методика оценки соответствия

Методика включает 423 контрольных показателя, сгруппированных в 34 категории. Кроме того, для оценки обработки персональных данных используется дополнительный список из 69 вопросов. Это позволяет всесторонне оценить уровень ИБ банка.

Порядок сертификации на соответствие

Для подтверждения соответствия стандартам банки проходят аудит от сторонней компании. После устранения всех несоответствий выдается сертификат и банк заносится в специальный реестр Банка России.

Стандартизация страхования кибер-рисков

Перспективным направлением является разработка единых стандартов для страхования кибер-рисков банков. Это позволит более точно оценивать риски и просчитывать тарифы.

Международное сотрудничество по кибербезопасности

В условиях глобализации актуально налаживание международного взаимодействия для противодействия киберугрозам в финансовой сфере. Необходимы совместные усилия регуляторов разных стран.