Об этом регулятор сообщил «Интерфаксу», передает ИА «Финмаркет».
В настоящее время требования к информационной безопасности дифференцированы в зависимости от размера активов страховщика. Как пояснили в ЦБ, в соответствии с положением № 757-П стандартный уровень защиты информации по ГОСТ Р 57580.1-2017 обязаны обеспечивать страховщики с активами свыше 20 млрд р. Они также не реже одного раза в три года проводят оценку соответствия требованиям с привлечением внешних проверяющих и обязаны оценивать безопасность прикладного программного обеспечения. Остальные компании реализуют только минимальный уровень защиты.
«Сейчас Банк России прорабатывает вопрос о реализации требований стандартного уровня защиты информации всеми страховыми организациями», — сообщили в ЦБ.
Параллельно ко второму чтению готовится законопроект о квалификационных требованиях и деловой репутации руководителей финансовых организаций. Документ предусматривает возможность признания деловой репутации заместителя руководителя по информационной безопасности неудовлетворительной при утечке персональных данных. Также ЦБ предлагает ввести критерий, связанный с нарушением требований по противодействию кибермошенничеству.
«Если в течение года регулятор неоднократно применял меры к организации за нарушение требований к защите информации и борьбе с мошенничеством, то профильный топ-менеджер банка на 10 лет лишается возможности занимать руководящие должности… Для топ-менеджеров страховых компаний… срок составит 5 лет», — пояснили в ЦБ.
Регулятор отмечает рост активности кибератак. «Злоумышленники по-прежнему пытаются скомпрометировать инфраструктуру финансовых организаций с использованием фишинговых рассылок… проводят DDoS-атаки», — указали в Банке России. Наибольшую опасность представляют атаки на поставщиков ИТ-услуг, к которым ранее не применялись требования по информационной безопасности.
В связи с этим разработан законопроект о правовом регулировании аутсорсинга ИТ и облачных сервисов для финансовых организаций.
Глава НСИС Николай Галушин подтвердил рост угроз: «В целом рынок испытывает всевозрастающую нагрузку от кибератак. Масштаб атак в разы увеличился с 2022 г.». По его словам, с 2026 г. НСИС полностью берет на себя разработку и сопровождение АИС страхования. «Создание компетенций внутри компании — это еще и 100% внутренней ответственности за функционирование системы», — подчеркнул он.