ЦБ РФ подвергнет финансовые организации стресс-тестам на предмет ИБ

В систему управления операционными рисками финансовых организаций, разработкой которой сейчас занимается Банк России, планируется ввести требования по обязательному проведению стресс-тестирования. Однако рынок отнесся настороженно к этой инициативе, полагая, что многое зависит от доступности методик и инструментов для реализации намеченных планов.

В будущем ЦБ РФ может ввести еще один способ для контроля соблюдения финансовыми учреждениями требований по кибербезопасности — стресс-тестированию. Об этом заявил зампред Банка России Василий Поздышев в ходе XI Уральского форума «Информационная безопасность финансовой сферы».

Требования к стресс-тестированию планируется учесть при разработке новой системы управления операционными рисками. Работы по созданию такой системы сейчас ведутся Банком России. Регулятор планирует разработать систему сценариев для централизованного стресс-тестирования. Однако даже смоделировать их очень непросто, поэтому на текущий момент эта задача считается крайне сложной.

Решение о введении стресс-тестов в практику проверки финансовых организаций продиктовано международным опытом. По словам Артема Сычева, первого замдиректора департамента информационной безопасности Банка России, планируется привлечь к процессу разработки сторонние организации. Систему оценки качества их работы регулятор намерен обсуждать с Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю.

Рынок отнесся к инициативе ЦБ РФ  крайне настороженно. Его участники полагают, что многое в итоге будет зависеть от доступности методик и инструментов, а также от квалификации организаций, чьими функциями будут пользоваться для проведения и оценки результатов стресс-тестов.

Более того, до сих пор непонятно, какие именно системы планируется подвергать стресс-тестам. В числе кандидатов называют общую систему безопасности финучреждений, их бизнес-системы, их бизнес-процессы, ИТ-инфраструктуру. Вполне возможно, что речь может идти также о так называемых глобальных «киберучениях».

Оценить возможные последствия от реализации новации ЦБ в настоящее время практически невозможно. Главная причина - отсутствие какой-либо статистической информации по этой проблеме.

Международный опыт

Регуляторы многих стран мира в настоящее время заняты подготовкой перечня требований к стресс-тестированию банковских систем для оценки их уязвимости от киберугроз. Со слов Поздышева, пока в полной мере это еще нигде в мире не было реализовано. Однако примеры уже появились.

Так еще в 2012 году Банк Англии разработал метод добровольного тестирования для банков. В 2016 году системы оценки киберустойчивости банков были реализованы в Сингапуре, а спустя два года европейский ЦБ предложил для банков ЕС систему симуляции кибератак.

Слабым местом для существующих в мире решений, заявил Поздышев, является отсутствие общего подхода. Банк России намерен уже на старте исходить из того, что стресс-тестирование будет осуществляться только централизованным методом.

Что проводить: пентесты или стресс-тесты?

В настоящее время уже сформулированы требования, предъявляемые к финансовым учреждениям. Речь идет о необходимости обязательного проведения  внешней оценки на соответствие требованиям по кибербезопасности и ежегодному проведению пентестов. Эти положения изложены в поправках к Положению Банка России №382-П.

Однако по словам одного из независимых экспертов по кибербезопасности до сих пор нет даже осознания, что между пентестом и стресс-тестом имеется существенная разница. Пентесты представляют собой способ контроля возможности несанкционированного проникновения в систему, тогда как стресс-тесты являются проверкой системы на способность функционировать в условиях активного противодействия.

В Евросоюзе тоже пока нет жесткого требования к финансовым учреждениям на проведение стресс-тестов. Обычно это делается на добровольной основе с привлечением готовых фреймворков, разработанных различными ассоциациями по кибербезопасности. В большинстве случаев речь идет о выполнении серии расширенных пентестов.

Автор: Александр Абрамов.

Тематики: Регулирование, Безопасность

Ключевые слова: информационная безопасность, регулирование