Методику оценки рисков информационной безопасности внедрят на финансовом рынке Казахстана с 1 января 2021 года, сообщили в Агентстве РК по регулированию и развитию финансового рынка (АРРФР).
"С 1 января 2021 года банки Казахстана и другие организации, занимающиеся отдельными видами банковских операций, начнут работать по специальной методике оценки рисков информационной безопасности. Такие требования устанавливает АРРФР", – говорится в сообщении.
Методика описывает организацию процесса оценки рисков информационной безопасности для оптимизация процесса их обработки.
"Она призвана стать основой для финансовых организаций, в которых оценку рисков информационной безопасности проводили бессистемно, а также сделать этот процесс более прозрачным и структурированным. В дальнейшем мы планируем расширить требования по оценке рисков информбезопасности и на другие виды финансовых организаций: страховые организации, рынок ценных бумаг", – рассказал начальник управления кибербезопасности агентства Роман Перминов.
Процесс разделён на два основных этапа: выявление критичных информационных активов и оценка рисков информбезопасности для данных активов.
Информационные активы – это информация и информационные системы, которые организация использует в своей работе. К примеру, сервер, на котором хранится информация о клиентах организации, это информационный актив. Он имеет ценность, так как его утеря или поломка негативно скажутся на работе организации, отметили в агентстве.
"На первом этапе организациям необходимо выявить все свои информационные активы, определить их ценность и решить, какие активы – критичные и нуждаются в защите", – отмечается в сообщении АРРФР.
На втором этапе специалисты организации определят свойственные критичным информационным активам уязвимости, а также угрозы для их информационной безопасности. На основании этих данных оценят вероятность реализации угрозы и уровень риска информбезопасности. Всё это прописано в методике.
"Финрегулятор будет следить за исполнением методики. Агентство вправе затребовать документальные свидетельства всех этапов проведения оценки рисков. Моментального эффекта ждать не стоит, так как сама оценка рисков – процесс достаточно трудоёмкий и длительный для больших организаций. Использование этой методики потребует вовлечения в процесс не только специалистов по информационной безопасности и рискам, но также и ключевых "бизнесовых" направлений организации, включая руководство", – отметил Роман Перминов.
Основной выгодой от внедрения этой методики будет повышение защищённости финансовых организаций и их устойчивости в противодействии угрозам информационной безопасности, добавили в АРРФР.
