Facebook |  ВКонтакте | Город Алматы 
Выберите город
А
  • Актау
  • Актобе
  • Алматы
  • Аральск
  • Аркалык
  • Астана
  • Атбасар
  • Атырау
Б
  • Байконыр
Ж
  • Жезказган
  • Житикара
З
  • Зыряновск
К
  • Капчагай
  • Караганда
  • Кокшетау
  • Костанай
  • Кызылорда
Л
  • Лисаковск
П
  • Павлодар
  • Петропавловск
Р
  • Риддер
С
  • Семей
Т
  • Талдыкорган
  • Тараз
  • Темиртау
  • Туркестан
У
  • Урал
  • Уральск
  • Усть-Каменогорск
Ф
  • Форт Шевченко
Ч
  • Чимбулак
Ш
  • Шымкент
Щ
  • Щучинск
Э
  • Экибастуз

В Башкортостане прошла межбанковская конференция «Информационная безопасность банков»

Дата: 28 февраля 2011 в 19:21 Категория: Новости экономики

Форум продемонстрировал заметные успехи в развитии отрасли, эффективность отраслевого стандарта и рост числа принявших его банков, существенные рост организованности и повышение уровня осознания банковским сообществом проблематики информационной безопасности.

Конференция оказалась более представительной, чем предыдущие: в ней приняло участие более 300 человек, главным образом − руководители и ведущие специалисты служб и подразделений информационной безопасности банков. Также в работе форума приняли участие представители профильных регуляторов − Банка России, ФСБ России, Роскомнадзора, ФСТЭК России и МВД России, представители инфраструктуры − научных, образовательных учреждений, а также поставщики решений, вендоры и интеграторы.

Центральными темами были вопросы реализации отраслевого подхода к обеспечению информационной безопасности платежных систем и персональных данных, роль саморегулируемой организации, вопросы совершенствования законодательной базы и развития технологий безопасности дистанционного и иных видов банковского обслуживания.

В докладах были продемонстрированы рост осознания руководителями кредитно-финансовых учреждений актуальности отраслевого стандарта, позитивная динамика роста количества принявших его банков, кропотливая работа в направлении соответствия контрольным показателям. Приведённая статистика в целом подтвердила достижение банковским сообществом качественно нового уровня организованности в сфере обеспечения информационной безопасности.

Главной темой обсуждения стало создание отраслевой саморегулируемой организации − СРО путём реорганизации Сообщества ABISS (сообщества пользователей стандартов по информационной безопасности Банка России). Были обозначены преимущества механизма саморегулирования, переходные этапы, требования к членству и механизмы ответственности. Отмечалось, что возможность саморегулирования свидетельствует о зрелости сообщества и является результатом совместной напряжённой работы участников Сообщества в течение ряда лет.

Выступавшие обозначили существующие проблемы информационной безопасности кредитно-финансовой сферы: заметную активизацию злоумышленников, рост и оснащенность организованной IT-преступности, недостаточную готовность некоторых банков к ответу новым вызовам, необходимость совершенствования аналитических задач и повышения эффективности работы над нормативно-правовой базой. Итоговая резолюция — III Межбанковская конференция «Информационная безопасность банков» зафиксировала выработанные участниками предложения в направлении решения обозначенных проблем.

Своеобразной «изюминкой» конференции стала презентация первого номера специализированного отраслевого журнала «BIS Journal − информационная безопасность банков». В общественный редакционный совет нового ежеквартального периодического издания вошли представители ключевых государственных регуляторов и бизнес-сообществ, а в редколлегию − лучшие специалисты, руководители подразделений информационной безопасности ведущих банков. Отмечалась важная роль журнала в продвижении осознания тематики информационной безопасности организациями банковской системы Российской Федерации в целом.

Решение

Третьей межбанковской конференции

«Информационная безопасность банков»

Конференция, участниками которой стали представители кредитных организаций, надзорных и регулирующих органов, специалистов службы внутреннего контроля, внутренних и внешних аудиторов информационной безопасности средств массовой информации, отечественных и зарубежных фирм, предоставляющих услуги по обеспечению информационной безопасности в кредитно – финансовой сфере, отмечает, что в настоящее время вопросы обеспечения информационной безопасности организаций банковской системы Российской Федерации приобретают всё более важное значение.

Связано это с тем, что в кредитно – финансовой сфере России происходят значительные изменения. Совершенствуется законодательная база, интенсивно развиваются информационно – коммуникационные технологии, появляются новые платёжные инструменты и новые субъекты платежной системы. Наряду с положительными тенденциями этот процесс, к сожалению, включает и отрицательные моменты. Широкое внедрение безналичных платежей, электронных денег и дистанционных расчётов без учета вопросов обеспечения информационной безопасности несёт достаточно высокие риски мошенничества и криминальных проявлений.

В этих условиях первоочередное значение приобретает дальнейшее совершенствование комплексного механизма обеспечения стабильности и бесперебойности функционирования платёжной инфраструктуры в Российской Федерации. Существенным элементом этого механизма является создание системы управления рисками и организация эффективной системы обеспечения информационной безопасности банковской системы Российской Федерации.

В ходе конференции проведен широкий обмен мнениями и опытом по следующим вопросам:

1.Реализация отраслевого подхода к обеспечению безопасности платёжных систем и персональных данных.

Роль саморегулируемой организации в обеспечении информационной безопасности банковской системы РФ.

2. Совершенствование законодательной базы в области обеспечения ИБ. Национальные проекты.

3. Международные стандарты в области обеспечения банковской безопасности. Опыт и практика применения

4. Обеспечение безопасности и совершенствования систем дистанционного банковского обслуживания (ДБО).

5. Практика внедрения в кредитных организациях стандартов Банка России по информационной безопасности.

В ходе конференции внесены следующие предложения.

По Первому вопросу

Высказаны предложения по реализации отраслевого подхода к решению вопросов обеспечения информационной безопасности на основе СТО БР ИББС.

Признано целесообразным активизировать процесс создания саморегулируемой организации (СРО) для оперативного решения задач обеспечения информационной безопасности в банковской сфере.

По Второму вопросу

Участники конференции выразили озабоченность, связанную с большим объемом работ по реализации требований Федерального закона №152-ФЗ «О персональных данных» и обращаются к Банку России, Роскомнадзору, ФСБ России и Федеральной службе по техническому и экспортному надзору с просьбой ускорить согласование требований ведомственных документов в области организации и контроля работ по приведению систем персональных данных в соответствие с требованиями законодательства.

Признать необходимым разработать типовые требования по применению ЭЦП в информационных системах кредитных организаций.

По третьему вопросу

По результатам сравнительного анализа стандартов Банка России и международных стандартов высказано мнение об отсутствии принципиальных противоречий между их требованиями по информационной безопасности.

Банку России рассмотреть вопрос о включении стандарта PSI DSS в состав Комплекса СТО БР ИББС. Изучить положительный опыт PCI Security Standarts Council в части реализации механизмов саморегулирования в области оценки соответствия требованиям стандартов безопасности.

Рекомендовать ПК3/ТК362 изучить методологию обеспечения функциональной безопасности, определяемую комплексом национальных стандартов ГОСТ МЭК 61508.

Рекомендовать Банку России изучить опыт международных платежных систем по стандартизации требований по информационной безопасности в индустрии платёжных карт (PSI DSS) и методологии проверки соответствия банков указанным требованиям путем проведения консультаций с международными платежными системами, в частности с «VISA International».

Учесть также другие решения, обеспечивающие подержание современного уровня безопасности операций с платёжными картами, такие как дактилоскопическая идентификация, микропроцессорные технологии и пр.

По четвертому вопросу

По результатам обсуждения вопросов, связанных с обеспечением безопасности систем дистанционного банковского обслуживания, отмечается отсутствие четкой нормативной базы и, в частности, наличие проблем с лицензированием в это области.

Признать целесообразным проработку Банком России вопроса о внесении в нормативную базу, регулирующую систему расчетов, изменений в части порядка приостановки операций по счетам клиентов кредитных организаций в случаях выявления фактов покушения на хищение в системе ДБО.

Признать целесообразным АРБ, Банку России совместно с правоохранительными органами проработать вопрос организации оперативного взаимодействия в части обмена информацией, включая техническую информацию, в случаях выявления фактов покушения на хищение в системе ДБО, а также механизмы межбанковского взаимодействия в случаях выявления хищений и списания денежных средств со счетов банков, задействованных в хищении. Рекомендовать подготовить типовые рекомендации по порядку проведения расследований попыток противоправного воздействия, в том числе для клиентов

Проработать вопрос направления в РОСФИНМОНИТОРИНГ сведений о лицах и организациях, участвующих в мошеннических действиях в ДБО (в рамках Федерального закона №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма») включая:

— изменение федерального законодательства;

— вопрос передачи собранных данных в правоохранительные органы (МВД, ФСБ);

— вопрос передачи данных банкам для использования в работе (аналогично спискам террористов и спискам утерянных паспортов)

Проработать совместно с Управлением К МВД вопрос изменения Уголовного кодекса для четкой классификации мошеннических действий в ДБО.

До момента внесения изменений в Уголовный кодекс выпустить рекомендации для следственных органов МВД по классификации преступлений в ДБО.

Проработать вопрос разрешения банкам задерживать платежи мошенников, укравших средства со счетов с использованием ДБО. Выпустить указания для банков с разъяснением порядка действий при получении мошеннических платежей.

Проработать вопрос формирования on-line взаимодействия между специалистами в области ИБ банков по инцидентам в ДБО.

Рассмотреть возможность разработки образовательных стандартов на базе Комплекса стандартов по банковской безопасности СТО БР ИББС и PSI DSS.

По пятому вопросу

Отмечены положительные результаты внедрения в банковской системе Комплекса СТО БР ИББС, разработанного Банком России.

При внедрении комплекса СТО БР ИББС рекомендовано учитывать международный опыт интеграции информационной безопасности в корпоративную среду управления рисками и контролем.

Рекомендовать Банку России подготовить информационное письмо (рекомендации) для кредитных организаций о целесообразности включения требований СТО БР ИББС в документацию при организации договорных работ со сторонними организациями.

Совершенствовать работу Консультационного центра АРБ в области обработки и защиты персональных данных (для повышения информированности заказчиков и разработчиков прикладных (банковских) систем).

Источник: Bankir.Ru

По сообщению сайта Банкир.ру