АРБ и «ДиалогНаука» провели конференцию по информационной безопасности финансовых организаций

Ассоциация российских банков совместно с компанией «ДиалогНаука», системным интегратором в области информационной безопасности, и при информационной поддержке журнала «BIS Journal – Информационная безопасность бизнеса» провели 4 июня 2024 года конференцию «Информационная безопасность финансовых организаций в текущих условиях: ГОСТ Р 57580, анализ уязвимостей, защита персональных данных». Конференция одновременно проходила в двух форматах: офлайн в отеле «Метрополь» и онлайн. Интерес к мероприятию проявили более 350 руководителей и специалистов подразделений информационной безопасности кредитных и некредитных финансовых организаций.

Открытие конференции началось со вступительного слова Олега Скворцова, Председателя Правления АРБ, и Виктора Сердюка, генерального директора АО «ДиалогНаука».

Первый блок конференции был посвящен стандартизации: как эффективно использовать существующие требования для построения эффективных систем защиты информации. В своем докладе Ксения Засецкая, старший консультант АО «ДиалогНаука», подробно разобрала структуру требований по защите информации (от федеральных законов и документов Банка России до национальных стандартов), а также взглянула на них как не на набор обязательных требований от регулятора, а как на требования, позволяющие эффективно противостоять современным угрозам, снижать вероятность реализации недопустимых событий и обеспечивать операционную надежность при проведении финансовых операций.

Далее выступил Андрей Выборнов, заместитель директора ДИБ Банка России. Представитель Центрального банка осветил основные направления планируемых изменений и вектор развития нормативного регулирования в области защиты информации, а также продолжительное время отвечал на широкий спектр практических вопросов, возникающих перед кредитными и некредитными финансовыми организациями при реализации требований законодательства Российской Федерации в области защиты информации, в том числе требований Банка России.

Итоги первого блока подвел Константин Стародубов, главный инженер отдела информационной безопасности и киберустойчивости финансовых технологий Управления методологии и стандартизации информационной безопасности и киберустойчивости ДИБ Банка России. Он представил изменения в ГОСТ 57580.1 и ГОСТ 57580.2 в части освещения деятельности, текущих результатов и дальнейших планов рабочей группы, созданной Департаментом информационной безопасности Банка России в связи с запросом представителей финансового рынка о необходимости совершенствования регулирования и стандартизации в областях защиты информации и операционной надежности, поступившим на последнем Уральском форуме «Кибербезопасность в финансах».

Также представитель Центрального банка коснулся темы тестирования на проникновение и анализа уязвимостей по части разрабатываемых Банком России методических рекомендаций для целей обеспечения единого подхода к реализации требований по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности. Были представлены цели и задачи базового сценария тестирования, описано общее содержание рабочего процесса и дальнейшие рабочие планы – вплоть до публикации методических рекомендаций на сайте Банка России.

Второй блок конференции начался с доклада Ильи Романова, руководителя отдела консалтинга АО «ДиалогНаука», который рассказал о новых требованиях законодательства о персональных данных и вариантах их выполнения.

Затем Сергей Канивец, ведущий консультант отдела консалтинга АО «ДиалогНаука», осветил вопросы оценки зрелости процесса безопасной разработки программного обеспечения.

Далее Сергей Леонтьев, заместитель руководителя отдела консалтинга АО «ДиалогНаука», выступил на тему: «Проведение тестирований на проникновение и анализа уязвимостей: просто о сложном».

По традиции завершил конференцию доклад Антона Свинцицкого, директора по консалтингу АО «ДиалогНаука». Он провел обзор статистики оценок соответствия за последние 5 лет, порассуждал о возможности применения современных технологий в процессах контроля состояния информационной безопасности и оценок соответствия информационной безопасности установленным требованиям, по итогам выступления развернуто ответил на вопросы участников конференции.