В РК будут проводить оценку защищенности финорганизаций от угроз информационной безопасности
Правила проведения такой оценки установило Агентство РК по регулированию и развитию финансового рынка в рамках развития информационной безопасности, пишет «ПроДеньги», со ссылкой на пресс-службу агентства.
«До настоящего времени контроль уровня информационной безопасности финансовых организаций был ограничен только периодическими проверками на соответствие установленным требованиям по обеспечению ИБ. Это необходимый процесс, однако он больше ориентирован на формальное соблюдение действующих норм. Внедрение процесса оценки защищенности от угроз информационной безопасности позволит более гибко подойти к пониманию текущего состояния ИБ финансовых организаций», - рассказал начальник управления кибербезопасности Агентства Роман Перминов.
Оценка уровня защищенности от угроз информационной безопасности будет осуществляться финансовыми организациями по запросу Агентства.
В настоящее время правила оценки содержат 55 параметров, по которым будет оцениваться организация. Параметры включают как организационные вопросы (документация, процессы), так и технические меры (технические решения, средства защиты).
«Ключевым отличием нового процесса оценки защищенности от действующего надзорного процесса является то, что используемые в нем параметры оценки не являются обязательными для исполнения всеми финансовыми организациями, но при этом данные параметры оказывают влияние на общий уровень их защищенности. Таким образом у финансовых организаций не будет заинтересованности в предоставлении недостоверных данных при проведении оценки. Кроме того, это упрощает процесс корректировки параметров оценки, что позволит оперативно актуализировать Правила под динамично изменяющиеся современные технологии и сопутствующие им угрозы информационной безопасности», - заключил Перминов.
Результаты оценки защищенности финансовых организаций от угроз информационной безопасности будут использоваться Агентством для совершенствования процесса регулирования в области обеспечения информационной безопасности, в частности – актуализации действующих подходов и требований по ИБ.
