ЦБР посмотрит, насколько банки готовы капиталом отвечать за проблемы c киберзащитой

Российский Центробанк приостановил на время карантина из-за коронавируса проверки банков на предмет выполнения требований по информационной безопасности, но несмотря на дорогие для банковских бюджетов меры, их все равно придется реализовать, сказал первый заместитель директора департамента информационной безопасности Банка России Артем Сычев.

Новое положение Центробанка об операционных рисках находится на согласовании в Минюсте и банкам предстоит внедрять в свои системы “то, что там намечено”.

“Дальше мы посмотрим, насколько банки готовы своим капиталом отвечать за те проблемы, которые возникают”, - сказал Сычев в своем выступлении на вэбинаре Ассоциации российских банков о противодействии современным угрозам безопасности.

Представители средних и малых банков жалуются, что Центробанк выпустил огромное количество нормативных требований к информационной безопасности, “полное исполнение этих положений даже в мирное время, как сказал один из банкиров, проблематично, а сейчас тем более губительно для бюджетов”, сказал на вэбинаре исполнительный директор Ассоциации российских банков Валерий Шипилов.

“Более того, ЦБ грозит ужесточить проверки по выполнению этих требований, как вы прокомментируете эти позиции?”, - спросил он у Сычева.

“Тот, кто следит за позицией Центрального банка, не стал бы говорить таких вещей, - ответил Сычев, - У нас было два информационных письма о ситуации с коронавирусом, из которых следует, что, первое - мы даем послабления явные по сбору отчетности и мы не будем применять меры воздействия в ситуации, когда все перешли на удаленную фактически работу. В настоящий момент мы не просим те формы отчетности, которые департамент информационной безопасности контролирует”.

“Всем было объяснено, что до конца ситуации с пандемией, проверочных мероприятияй сейчас никаких не будет”, - сказал он.

После того, как карантинные меры будут отменяться по мере улучшения ситуации с пандемией коронавируса, банки должны будут выполнить все требования Центробанка, уточнил он.

“На счет того, все это дорого или недорого. Смотрите ... банковский бизнес - он вообще сам по себе недешевый, риски, которые возникают, тоже требуют внимательного к себе отношения и сильно недешевые”, - сказал Сычев.

По его словам, если до пандемии банк правильно вел работу по информационной безопасности, то регулятор не сомневается, что он сможет провести необходимые мероприятия “в плановом порядке”.

“Просто никто никогда с банков не требовал выполнения требований безопасности, никто никогда не требовал с банков выполнения того, что написано в документах не только Банка России, но и других органов применительно к средствам криптографической защиты, отсюда имеем такое удивление”, - сказал Сычев.

“В тех документах, которые выпущены ЦБ за последнее время, нет ничего, что не соответствует тем угрозам, которые есть в банковской системе сейчас”.

На вопрос одного из банкиров, не следует ли регулятору дать больше свободы банкам в выборе технических средств и определении рисков, Сычев сказал:

“Во-первых, у банков и сейчас есть выбор вариантов реализации тех требований, которые есть. Во-вторых, есть выбор исходя из той модели деятельности, которая есть у банка ... совершенно необязательно, что часть вопросов, которые записаны в виде требований, должны быть реализованы, если фактически такого бизнеса в принципе нет, значит, и риска нет”.

Центробанк и банки, по словам Сычева, постепенно переходят к модели работы, где в основе лежит анализ реальных рисков в деятельности банка и проецирование влияния этих рисков на капитал банка.