ЦБ РФ планирует до конца года ввести для банков риск-профили в части информбезопасности
ЦБ РФ планирует до конца года ввести для банков риск-профили в части информационной безопасности, сообщил первый замдиректора департамента информационной безопасности ЦБ РФ Артем Сычев журналистам в кулуарах АБР "Банки России — XXI век".
"Риск-профиль — это вероятностная оценка возникновения проблем у кредитной организации в связи с группой факторов", — сказал Сычев. Он пояснил, что риск-профиль будет формироваться из 4 показателей, "под каждым из показателей лежит отдельный набор данных, не просто набор данных, а расчет по этому набору данных".
"Там основной принцип такой: нам важно понимать не количество уворованных денег у банков или у клиентов, это не характеризует банк вообще никак. Это надо сравнивать количество уворованных денег с количеством его клиентов, с сервисом, который они предоставляют, с каналами, по которым произошло хищение. Мало того, надо посмотреть это в ретроспективе за определенный период времени", — сообщил Сычев. Он уточнил, что для ЦБ важны "динамика и оценка реального риска, который возникает, если банк не выполнит какое-то требование".
Риск-профили планируется внедрять сначала для банков до конца года, а потом и для других участников финансового рынка и для целых экосистем.
Также ЦБ подготовил проект документа, где освещаются основные направления деятельности в сфере информационной безопасности в кредитно-финансовой сфере.
"Это стратегический документ, который одобрен советом директоров. Он прошел достаточно серьезную экспертизу как в Центральном банке, так и за пределами Центрального банка. На следующей неделе мы его опубликуем, документ будет публичным", — сказал первый замдиректора департамента ЦБ. В документе Банк России определяет метрики, по которым собирается измерять соблюдение требований по информационной безопасности, а также определять эффективность обеспечения информационной безопасности в масштабе всей страны.
"Никто до этого ни в Российской Федерации, ни в других странах не определял такие показатели, по которым регулятор может сформировать мнение о ситуации, достигает ли он целей своего регулирования или нет с точки зрения информационной безопасности", — пояснил Сычев.
По его словам, новая концепция позволить зафиксировать обоснование применения санкций как мер воздействия для банков. "Это не только рекомендации что-то исправить, это и переход к формированию штрафов, каких-то других мер, которые предусмотрены законом. Второе применительно к кредитным организациям — собственно, отнесение банка к той или иной группе, ну а дальше уже последствия, сами понимаете. Экономические последствия для банка от отнесения к той или иной группе", — сказал Сычев.