Новинки законодательства по информационной безопасности для финансовых организаций

21 Декабря 2020
10.00 - 15.00
Онлайн семинар

Банк России готовит большие нормативные изменения в области информационной безопасности, что связано с переходом от комплаенс-ориентированного подхода к ИБ в сторону риск-ориентированного.

Банк России будет проводить оценку качества системы управления операционными рисками кредитных организаций, в том числе, киберрисками.

Положение Банка России от 08.04.2020 № 716‑П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» вступило в силу с 1 октября 2020 года и устанавливает понятие «операционный риск» и требования к системе управления операционным риском в кредитной организации и банковской группе, а также касается классификатора событий операционного риска по элементам, системы контрольных показателей уровня операционного риска, порядка ведения базы событий, включая требования к форме и содержанию вводимой информации, порядка управления риском информационной безопасности, риском информационных систем. Определяет особенности соблюдения требований в зависимости от размера активов банка, вида его лицензии и категории кредитной организации.

Сегодня концепция ИБ-аудита регулятора меняется в сторону непрерывного мониторинга. Планируются к введению новые надзорные мероприятия Банка России: регулярные киберучения, целью которых является оценка способности финансовой организации обеспечивать осуществление платежных информационных услуг и сервисов, реализовывать меры, направленные на противодействие угрозам и обеспечение собственной киберустойчивости.

В рамках этих мероприятий предусмотрены такие важные процедуры, как проведение стресс-тестирования финансовой организации по вопросам ИБ, проверка процедуры реагирования на инциденты и процедуры восстановления по итогам инцидента, а в итоге — риск-профилирование организации.

С 2022 г. вводятся новые требования информационной безопасности при денежных переводах. Банк России утвердил новые требования к обеспечению защиты информации при переводах денежных средств. Они также будут распространяться на операторов услуг информационного обмена и поставщиков платежных приложений. Положение Банка России от 4 июня 2020 г. № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (Зарегистрировано в Минюсте РФ 23 сентября 2020 г.). Положение вступает в силу с 1 января 2022 г., за исключением отдельных положений, для которых предусмотрены иные сроки.

Лектор: Лукацкий Алексей Викторович, Бизнес-консультант по информационной безопасности компании Cisco Systems

1. Обзор текущих и перспективных нормативных изменений в области информационной безопасности для финансовых организаций.

2. Положение Банка России от 08.04.2020 № 716‑П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», устанавливающее, в том числе, требования к управлению рисками информационной безопасности и информационных систем в кредитной организации. Вступило в силу с 1 октября 2020 года.

3. Положение Банка России от 4 июня 2020 г. № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (Зарегистрировано в Минюсте РФ 23 сентября 2020 г.).

4. Многообразие направлений регулирования информационной безопасности в финансовых организациях

5. 167-ФЗ
5.1. Новые полномочия Банка России
5.2. Противодействие мошенничеству и разъяснения Банка России по поводу вступления в силу новых правил
5.3. Признаки мошеннических операций, утвержденные Банком России
5.4. Указания Банка России 4926-У и 5039-У об обязательном уведомлении о мошеннических операциях
5.5. Система «Фид-Антифрод»

6. 382-П
6.1. Переход на отечественную криптографию
6.2. Разделение контуров подготовки и подтверждения платежей
6.3. Оценка соответствия банковского и финансового ПО
6.4. Информирование об инцидентах
6.5. СТО 1.5 по уведомлению ФинЦЕРТ об инцидентах
6.6. Новые подходы Банка России к отчетности об инцидентах (4753-У)

7. 683-П
7.1. 382-П vs 683-П

8. ГОСТ 57580.1 и базовые меры защиты информации
8.1. Обязательность ГОСТа
8.2. Сравнение с 382-П
8.3. Обязательность сертификации средств защиты информации
8.4. Безопасность не кредитных финансовых организаций

9. Планы по развитию ГОСТов Банка России
9.1. Управление киберрисками
9.2. Мониторинг киберрисков и ситуационная осведомленность
9.3. Обеспечение непрерывности и киберустойчивость
9.4. ИБ аутсорсинга
9.5. Управление инцидентами

10. Защита АРМ КБР
10.1. Новое положение 672-П

11. Криптография в НСПК
11.1. Отечественные HSM
11.2. EMV на отечественной криптографии

12. Безопасность СПФС

13. Безопасность финтеха
13.1. Мастерчейн
13.2. Цифровой профиль
13.3. Система быстрых платежей
13.4. Маркетплейс

14. Инсайдерская информация
14.1. Рекомендации Банка России по защите инсайдерской информации

15. Удаленная идентификация клиентов
15.1. Единая биометрическая система — подключение и защита
15.2. Модель угроз биометрии по закону (4859-У) и в реальности
15.3. Требования по криптографии
15.4. Рекомендации МР-4 Банка России

16. КИИ
16.1. Финансовая организация как субъект КИИ
16.2. Категорирование объектов КИИ
16.3. Выполнение требований ФСТЭК по защите значимых объектов КИИ
16.4. Подключение к ГосСОПКА
16.5. АСОИ ФинЦЕРТ
16.6. Законопроект по введению новой ответственности за неисполнение ФЗ-187

17. Безопасность некредитных финансовых организаций
17.1. 684-П

18. Персональные данные
18.1. GDPR для российских банков
18.2. Планы по изменению законодательства по персональным данным

19. Разное
19.1. Требования к квалификации персонала по ИБ
19.2. ИБ SWIFT
19.3. PCI и PA DSS
19.4. Требования по борьбе с DDoS для сайтов страховщиков
19.5. Изменение подхода по надзору за соблюдением требований по ИБ
19.6. Требования по киберустойчивости
19.7. Стресс-тестирование о ИБ

Перерывы на кофе: 11.30 — 11.45, 13.15 — 13.30