Деньги дороги, жизнь человеческая ещё дороже, а время дороже всего
Александр Суворов 



Отзывы о банках


InfoBank.by – Все банки Беларуси  >  В банках появятся новые отделы. Кому они не понравятся?

В банках появятся новые отделы. Кому они не понравятся?

Размер шрифта:    Уменьшить шрифт  Восстановить исходный рзмер  Увеличить шрифт 
15305

В ближайшем будущем в белорусских банках появятся новые подразделения, сотрудники которых получат сертификаты международного образца. Эти люди станут бороться с киберрисками. Дело в том, что в Национальном банке заметили волну киберпреступлений, которая буквально накрыла страну.
 
Теперь этому будут противодействовать. Национальный банк в начале ноября разослал банкам письмо № 23-13/83 «О совершенствовании управления киберриском».
 
— Развитие направлений банковской деятельности в настоящее время непосредственным образом связано с наращиванием информационной инфраструктуры банков. Национальный банк поддерживает и стимулирует обновление имеющихся и использование банками новых технических средств, систем и технологий работы с информацией с учетом всесторонней оценки рисков, присущих такой деятельности, — отмечено в письме.
 
Дело в том, что сегодня в международной банковской практике одним из существенных видов рисков является киберриск. На данный момент международные финансовые организации и надзорные органы различных стран разработали и применяют ряд документов,  которые:
  • формируют системные подходы к обеспечению кибербезопасности, управлению киберриском — включая его  в общую систему управления рисками банка и распространения на него режима надзора с учетом специфики такого риска. 
Нацбанк также уделяет серьезное внимание вопросам управления киберриском и обеспечению кибербезопасности банков. Так в  Национальном банке создан Центр мониторинга и реагирования на компьютерные угрозы в банковской сфере Беларуси (FinCERTby).
 
Одна из основных задач работы Центра — организация, координация и осуществление оперативного взаимодействия Национального банка с банками и другими организациями по вопросам:
  • противодействия кибератакам
  •  сбора и анализа данных о них, а также — о киберугрозах и уязвимостях информационной инфраструктуры банков
Национальный банк подчеркивает, что  в отношении киберрисков применяются все требования, предъявляемые к организации управления основными видами рисков, включая:
  • ответственность органов управления банка
  • определение толерантности к риску
  • разработку локальных правовых актов, регламентирующих управление риском
  • проведение стресс-тестирования
  • составление и представление управленческой отчетности
—  и другие элементы системы управления рисками.

С учетом этого, а также применяемых в международной практике подходов к управлению киберриском, банкам следует обеспечить решение следующих задач:
  • интеграцию подходов к управлению киберриском в общую систему корпоративного управления, управления рисками банка и внутреннего контроля  
  • разработку локальных правовых актов по управлению киберриском
  • создание и использование эффективных процедур управления киберриском
  • периодическое проведение проверки (оценки) эффективности управления киберриском
  • раскрытие соответствующей информации об управлении киберриском в банке
— Интеграция подходов к управлению киберриском в общую систему корпоративного управления должна проводиться с учетом размера и организационно-функциональной структуры банка, масштабов и особенностей осуществляемых банком операций и видов деятельности, а также степени подверженности информационной инфраструктуры банка киберриску, — напомнили в Национальном банке.
 
Банки бывают большими и маленькими
 
Как считают в Нацбанке, в банках, отнесенных к числу системно значимых банков группы I:
  • целесообразно создать профильное подразделение (к примеру, Службу по обеспечению кибербезопасности) и   назначить должностное лицо, ответственное за обеспечение кибербезопасности.
В остальных банках функциями по управлению киберриском могут быть наделены  профильное подразделение по управлению рисками  или профильное подразделение по обеспечению безопасности банка с сохранением действующей структуры подотчетности.
 
— В случае создания Службы по обеспечению кибербезопасности необходимо, чтобы такая служба была независима от профильных подразделений банка, ответственных за развитие и поддержание информационных технологий и информационных систем банка (IT-служб), — считают в Национальном банке.
 
Также важно обеспечить эффективное взаимодействие и распределение обязанностей по управлению киберриском между:
  • службой по обеспечению  кибербезопасности
  • профильным подразделением по управлению рисками
  • профильным подразделением по обеспечению безопасности банка.
При назначении должностного лица, ответственного за обеспечение кибербезопасности, необходимо, чтобы такое лицо обладало:
  • «специфическими профессиональными знаниями»
  •  необходимым опытом
  • техническими навыками в области управления киберриском
К основным задачам такого должностного лица относятся:
  • организация работы по обеспечению конфиденциальности, целостности, доступности, подлинности и сохранности информационной инфраструктуры банка и содержащейся в ней информации от внешних и внутренних угроз
  • согласование появления новых и совершенствования существующих банковских продуктов с данными анализа об их подверженности киберриску и способности банка обеспечить защиту от воздействия киберриска в случае их внедрения или совершенствования
  • представление информации о кибербезопасности банка и прогрессе в ее достижении  
Должностное лицо, ответственное за обеспечение кибербезопасности, должно быть подотчетно Совету директоров (Наблюдательному совету), или Исполнительному органу, или должностному лицу, ответственному за  управление рисками.
 
Какие еще требования выдвигает Национальный банк?
 
— Формирование эффективных подходов к управлению киберриском предусматривает осуществление соответствующих инвестиций в информационную инфраструктуру банка как на первых этапах внедрения данных подходов, так и в процессе их применения, что предполагает своевременное обновление и замену устаревших технических средств и технологий создания, преобразования, передачи, использования и хранения информации.
 
— К управлению киберриском целесообразно привлечь достаточное количество сотрудников,  обладающих соответствующей квалификацией, в том числе — в сфере управления рисками, связанными с аутсорсингом.
 
— Для обеспечения Совета директоров (Наблюдательного совета) банка знаниями в сфере организации управления киберриском и поддержания их в актуальном состоянии целесообразно предусмотреть соответствующие программы обучения, включающие взаимодействие Членов Совета директоров (Наблюдательного совета) с внутренними и внешними экспертами в области  управления киберриском.
 
Кроме того, сотрудники, работающие с киберрисками, должны будут получить Сертификаты международного образца в области управления киберриском и (или) обеспечения кибербезопасности. К примеру, сертификаты:
  • Certified Information Systems Security Professional
  • Certified in Risk and Information Systems Control
  • Certified Ethical Насkеr
 Также банки должны:
  • интегрировать информационную систему, обеспечивающую управление киберриском, с другими информационными системами банка, которые позволяют получать первичную информацию о сбоях, ошибках, отклонениях в деятельности банка, возникновении киберинцидентов, реализации риска информационных технологий и других рисков банка
  • обеспечить интегрированный подход к управлению рисками новых банковских продуктов, видов деятельности, процессов и систем, учитывающий оценку их подверженности воздействию киберриска
В Стратегию управления рисками банка в отношении управления киберриском следует включать информацию:
  • о критически важных объектах информационной инфраструктуры, кибербезопасность которых должна быть обеспечена, с учетом важности такой деятельности в отношении каждого из этих объектов
  • о характерных для банка киберугрозах с учетом приоритетности их возможной реализации и последствий
  • о текущем состоянии кибербезопасности в банке и возможностях противодействия киберугрозам
  • о мероприятиях по преодолению имеющихся недостатков и направлениях совершенствования управления киберриском с учетом подходов к совершенствованию информационной инфраструктуры банка и обеспечению ее кибербезопасности, определенных Стратегией развития банка.
Что показал анализ результатов работы FinCERTby?
 
Сегодня в Беларуси основными видами киберугроз являются:
  • рассылка вредоносного программного обеспечения
  • рассылка электронных писем с вредоносными вложениями или ссылками на их скачивание (в большинстве случаев — это привычные для офисных работников форматы файлов). Их рассылают для заражения конечных устройств пользователей, получения несанкционированного доступа к системам, хищения учетных данных пользователей, осуществления сетевых атак, рассылки спама, блокировки доступа к файловой системе или шифрования данных на жестком диске и вымогательства денежного вознаграждения за восстановление доступа к файлам
  • взлом и подделка сайтов  для введения в заблуждение клиентов банков, получения несанкционированного (в том числе, неавторизованного) доступа к счетам и денежным средствам пользователей
  • методы социальной инженерии. В том числе — выманивание реквизитов банковских карточек с помощью взломанных аккаунтов в социальных сетях и совершение действий для перевода денежных средств с помощью мобильного или интернет-банкинга
  • компрометация систем поставщиков услуг и оборудования, клиентов банков и отправка писем с вредоносным программным обеспечением от имени белорусских организаций и предприятий с их действующих почтовых адресов
  • применение CNP-фрода (card not present, операции без присутствия карточки), в том числе — в совокупности с методами социальной инженерии, направленной на получение реквизитов банковских платежных карт, иными методами, используемыми в целях мошенничества с банковскими платежными картами. 
Маленькое обещание Национального банка
 
— В рамках осуществления надзора за деятельностью банков будет проводиться оценка киберриска банков. Использования банками подходов к управлению киберриском, изложенных в письме, в процессе управления рисками будет рассматриваться как фактор, улучшающий качество управления  операционными рисками банков, — пообещал регулятор. 
 
Хотите поделиться своим финансовым опытом, дать советы по правильном обращению с деньгами, высказать свое мнение по поводу банков или организации бизнеса? Присылайте материалы на адрес [email protected]. Самые интересные мы опубликуем




Источник: www.infobank.by

Понравилось? Отправь друзьям!


Оставить комментарий
  
Комментариев нет
Другие новости