Методику оценки рисков информбезопасности внедрят в банках РК
Методика описывает организацию процесса оценки рисков информационной безопасности. Целью является оптимизация процесса обработки рисков информбезопасности в финансовых организациях.
"Проще говоря, методика призвана стать основой для финансовых организаций, в которых оценка рисков информационной безопасности пока осуществлялась бессистемно, а также помочь всем финансовым организациям сделать данный процесс более прозрачным и структурированным. В дальнейшем мы планируем расширить требования по оценке рисков информбезопасности и на другие виды финансовых организаций: страховые организации, рынок ценных бумаг", – рассказал начальник управления кибербезопасности Агентства РК по регулированию и развитию финансового рынка Роман Перминов.
Весь процесс разделен на два основных этапа – выявление критичных информационных активов и оценка рисков информбезопасности для данных активов. Информационные активы – это информация и информационные системы, которые организация использует в своей работе.
"Например, сервер, на котором хранится информация о клиентах организации, это информационный актив. И как любой актив, он имеет ценность, так как его утеря или поломка негативно скажутся на работе организации. В рамках первого этапа организациям необходимо выявить все свои информационные активы, определить их ценность и решить, какие активы – критичные и нуждаются в защите", – пояснили в Агентстве.
На втором этапе специалисты организации определяют свойственные критичным информационным активам уязвимости, а также угрозы для их информационной безопасности. На основании этих данных оцениваются вероятность реализации угрозы и, далее, уровень риска информбезопасности. Всё это прописано в методике.
"Финрегулятор будет следить за исполнением организациями данной методики. В рамках проводимых периодических проверок финансовых организаций будет также проверяться процесс оценки рисков информационной безопасности. Агентство вправе затребовать документальные свидетельства всех этапов проведения оценки рисков. Следует сказать, что моментального эффекта ждать не стоит, так как сама оценка рисков – процесс достаточно трудоемкий и длительный для больших организаций. Использование данной методики потребует вовлечения в процесс не только специалистов по информационной безопасности и рискам, но также и ключевых "бизнесовых" направлений организации, включая руководство", – заключил Роман Перминов.
Основной выгодой от внедрения этой методики будет повышение защищенности финансовых организаций и их устойчивости в противодействии угрозам информационной безопасности.