Новые правила Национального банка по обеспечению информационной безопасности в банках и организациях, оказывающих отдельные финансовые услуги, вступают в силу 1 декабря этого года.
Нацбанк РК разработал Стратегию кибербезопасности финансового сектора на 2018-2022 годы. В рамках этого проекта вводятся правила, которые с одной стороны усложнят жизнь банкирам, с другой — обеспечат безопасность клиентам.
«Одно из главных нововведений – НБ требует от банков наличие систем управления информационной безопасности. Речь идет о наличии соответствия определенным требованиям. От банков ожидается наличие определенных процедур, политик и регуляторных действий по поддержанию систем управления информационной безопасности», — прокомментировал старший менеджер компании PwC Борис Мазец.
Теперь за соответствие правилам и требованиям информационной безопасности будут отвечать совет директоров, правление, департамент управления рисками, отдел кадров, комплаенс-контроль, юридический отдел.
«Важный момент — это создание коллегиального органа. Что это подразумевает? Должен быть некий орган, определенные процедуры этого органа. Сотрудники, отвечающие за информационную безопасность должны собираться вместе, все заседания протоколироваться. Раз в квартал этот орган должен собираться для оценки рисков, я думаю», — высказал свою точку зрения Борис Мазец.
Правила регламентируют введение определенных процедур по управлению инцидентами, оповещение Национального банка об инцидентах. Кроме того, согласно новым требованиям НБ, вся информация о происшествиях должна храниться минимум 5 лет.
«Требуется обеспечение отдельной работы отдела информационной безопасности от отдела IT. Информационная безопасность должна подчиняться члену правления, который не руководит IT-подразделением. Их может курировать либо служба безопасности, либо председатель правления БВУ». – пояснил старший менеджер компании PwC.
По мнению аналитиков, у крупных финансовых организаций с введением правил проблем быть не должно.
«У нас крупная организация и все что нужно внедрить — мы сделаем. У крупных МФО и банков проблем не будет. Но требования НБ не содержат ранжирования для мелких и больших организаций. В НБ посчитали, что требования для всех игроков финансового рынка должны быть едины. Получается, что ущемляются интересы небольших участников рынка, так как накладывается большой объем работы. Зачем усиливать требования к обменным пунктам?» — задал риторический вопрос начальник отдела информационной безопасности МФО KMF Николай Медведев.
Ранее Нацбанк сообщал о наличии регулярных атак на финансовый сектор.