НАДЗОРНАЯ ДЕЯТЕЛЬНОСТЬ

Реализация контрольно-надзорных полномочий Банка России строится с учетом лучшего мирового опыта, накопленного ведущими международными организациями, в том числе Советом по финансовой стабильности (FSB) <10>.

--------------------------------

<10> Пункты 9, 9.1 статьи 4 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (общий банковский надзор, контроль и надзор за деятельностью некредитных финансовых организаций); часть 11 статьи 14.1 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы).

Общие принципы контроля (надзора) в сфере информационной безопасности и киберустойчивости:

1) Получение объективных данных (метрик, показателей), характеризующих уровень риска информационной безопасности (киберриска), для управления риском информационной безопасности (киберриском) в каждой организации кредитно-финансовой сферы:

- реализация системы оценки соответствия (независимая оценка поднадзорных организаций на соответствие требованиям государственных стандартов: защита информации, непрерывность деятельности, управление рисками, аутсорсинг);

- система оценки качества выполнения требований к обеспечению надлежащего уровня защиты приложений. Проводится на основе анализа уязвимостей приложений, критичных с точки зрения наличия уязвимостей (сертификация приложения клиента и фронт-приложения);

- организация сбора исходных данных, которые характеризуют уровень риска по финансовым операциям, в рамках технологии сбора данных и применения технологии Big Data для проактивного выявления "точек сосредоточения риска";

- развитие методологии с последующим нормативным закреплением практик стресс-тестирования (киберучений) организаций кредитно-финансовой сферы.

2) Разработка методологии расчета минимального размера финансового обеспечения, требуемого для покрытия потенциального ущерба от реализации киберриска (например, дополнительные требования к капиталу кредитных организаций, независимые гарантии, страхование).

3) Получение объективных данных (показателей, метрик) по финансовым потерям потребителей финансовых услуг и формирование на их основе стратегии защиты прав потребителей финансовых услуг.

4) Определение уровня финансовой стабильности финансового рынка Российской Федерации в целом на основе данных о рисках информационной безопасности (киберрисках).

Роль Банка России заключается также в продвижении на международной арене инновационных методик и подходов к формированию методологии контроля (надзора) в сфере информационной безопасности и киберустойчивости.

Целевым индикатором является формирование к 2021 г. объективной информации в отношении:

- уровня риска отдельных организаций кредитно-финансовой сферы;

- уровня готовности отдельных организаций кредитно-финансовой сферы противостоять кибератакам (с точки зрения обработки риска информационной безопасности (киберриска) и его финансового покрытия);

- уровня готовности кредитно-финансовой сферы противостоять киберугрозам путем агрегирования данных по уровню риска отдельных организаций кредитно-финансовой сферы и уровню готовности каждой из них противостоять кибератакам.