С января следующего года все казахстанские банки будут хранить информацию о клиентах по единым правилам. О внедрении новой методики рассказали в Агентстве РК по развитию финансового рынка (АРРФР).
«С 1 января 2021 года банки Казахстана и другие организации, занимающиеся отдельными видами банковских операций, начнут работать по специальной методике оценки рисков информационной безопасности. Такие требования устанавливает АРРФР», – говорится в сообщении.
Методика описывает организацию процесса оценки рисков информационной безопасности для оптимизации процесса их обработки.
«Она призвана стать основой для финансовых организаций, в которых оценку рисков информационной безопасности проводили бессистемно, а также сделать этот процесс более прозрачным и структурированным. В дальнейшем мы планируем расширить требования по оценке рисков информбезопасности и на другие виды финансовых организаций: страховые организации, рынок ценных бумаг», – рассказал начальник управления кибербезопасности агентства Роман Перминов.
Процесс разделён на два основных этапа: выявление критичных информационных активов и оценка рисков информбезопасности для данных активов.
Информационные активы – это информация и информационные системы, которые организация использует в своей работе. К примеру, сервер, на котором хранится информация о клиентах организации, это информационный актив. Он имеет ценность, так как его утеря или поломка негативно скажутся на работе организации, отметили в агентстве.
«На первом этапе организациям необходимо выявить все свои информационные активы, определить их ценность и решить, какие активы – критичные и нуждаются в защите», – отмечается в сообщении АРРФР.
На втором этапе специалисты организации определят свойственные критичным информационным активам уязвимости, а также угрозы для их информационной безопасности. На основании этих данных оценят вероятность реализации угрозы и уровень риска информбезопасности. Всё это прописано в методике.
«Финрегулятор будет следить за исполнением методики. Агентство вправе затребовать документальные свидетельства всех этапов проведения оценки рисков. Моментального эффекта ждать не стоит, так как сама оценка рисков – процесс достаточно трудоёмкий и длительный для больших организаций. Использование этой методики потребует вовлечения в процесс не только специалистов по информационной безопасности и рискам, но также и ключевых «бизнесовых» направлений организации, включая руководство», – отметил Роман Перминов.
Основной выгодой от внедрения этой методики будет повышение защищённости финансовых организаций и их устойчивости в противодействии угрозам информационной безопасности, добавили в АРРФР.