Источник: Igor Zehl / Zuma / TASS
До конца года Центробанк России присвоит российским банкам риск-профили по уровню безопасности. Профили будут учитываться при общей оценке финансового состояния банковской организации. Если банк не поддерживает должный уровень кибербезпасности, то ЦБ может наказать организацию — например, оштрафовать ее или усилить надзор.
О том, что российские банки в скором времени получат новую характеристику, рассказал первый заместитель директора департамента информационной безопасности Банка России Артем Сычев. Он заявил, что показатель будет отражением вычисляемой вероятности возникновения проблем у кредитной организации из-за несоблюдения норм кибербезопасности.
Концепция риск-профиля стала частью стратегического документа «Основные направления развития информационной безопасности в кредитно-финансовой сфере РФ». На прошлой неделе этот документ был утвержден советом директоров ЦБ. В нем, в частности, прописаны решения по усилению информационной безопасности финансового сектора РФ до 2023 года.
Риск-профиль станет основным критерием для надзора и регулирования в сфере информационной безопасности. Этот показатель зависит от четырех характеристик. Это, к примеру, доля несанкционированных операций по клиентским картам в общем объеме транзакций и технологическая готовность банка к отражению атак. Оценки игрокам присвоит департамент информационной безопасности ЦБ. Банки распределят по рейтинговым группам, и падение рейтинга скажется на внимании Центробанка к конкретной организации.
В частности, риск-профиль планируется учитывать при оценке экономического положения банка. Оно будет относиться к одной из четырех групп — от тех, которые не испытывают трудности до тех, где нарушения несут реальную угрозу интересам вкладчиков и кредиторов. Сейчас оценка выводится исходя из самых разных параметров, включая размер капитала, активов, доходность, ликвидность, выполнение обязательных нормативов, качество управления и т.п.
Что касается проблем, которые могут ожидать банк, невнимательно относящийся к киберугрозам, то это, в первую очередь, экономические последствия. «Это не влияние на капитал, это прежде всего условия резервирования по сделкам, кредитования на межбанке», — пояснил Сычев. Банк России прослеживает связь между тем, как банк относится к вопросам информационной безопасности и его финансовой устойчивостью.
Ну а риск-профили — это не столько рекомендация для исправления проблемных мест, сколько переход к формированию штрафов и других мер, предусмотренных законом. Вычисление риск-профиля дает возможность оценивать, как менеджмент банка реагирует на внешние угрозы.
«Нам важно понимание, как реагирует менеджмент организации на те вызовы, которые возникают с точки зрения информационной безопасности. Он вообще про них в курсе, управляет ли он этим риском или не управляет. Для нас это самое важное», — сказал Сычев.
