Журнал ПЛАС » Новости » Регуляторы » 779 просмотров

ЦБ подготовил стандарты по аутсорсингу кибербезопасности

Банк России разработал стандарты по аутсорсингу кибербезопасности. Согласно им банки при отсутствии потенциала, необходимого для самостоятельной разработки и апгрейда систем кибербезопасности, должны передать эти функции сторонней компании, специализирующейся на борьбе с хакерами, то есть на аутсорсинг.

ЦБ подготовил стандарты по аутсорсингу кибербезопасности

Привлеченная компания может в срок до шести недель помочь банку выстроить систему кибербезопасности, а затем на постоянной основе мониторить атаки хакеров, контролировать защиту в круглосуточном режиме и обучать персонал.

Ранее замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев заявил, что «для небольших и средних банков вопросы, связанные с кибербезопасностью и IT в целом, весьма недешевые и сложные», поэтому необходимо развивать аутсорсинг информбезопасности. Сейчас подобные услуги на рынке оказывают 30 компаний.

Как следует из нового стандарта ЦБ, банки могут выбрать три модели взаимодействия с аутсорсерами: долговременное, среднесрочное и кратковременное сотрудничество. В первом случае сторонняя компания занимается мониторингом кибератак на банк и реагированием на них. Во втором аутсорсер привлекается банком, чтобы выполнить для него проект по информбезопасности — например, построить собственный центр мониторинга и реагирования на киберугрозы. Третья модель подразумевает, что банк привлекает компанию на время, когда возрастает уровень киберрисков.

Услуги аутсорсинговых компаний могут быть базовыми, расширенными и премиальными. В первом случае компания работает в режиме 8х5, во втором и третьем — 24х7. Время обнаружения критически опасных кибератак в рамках базового пакета составляет до 30 минут, в рамках расширенного — до 20 минут, в рамках премиального — до 10 минут. Анализ ситуации займет 45 минут, 30 минут и 20 минут соответственно, а время выдачи рекомендаций по устранению инцидента — 2 часа, 1,5 часа и 45 минут.

Руководитель направления аутсорсинга ИБ центра информбезопасности компании «Инфосистемы джет» Екатерина Сюртукова отметила, что по сравнению с базовым пакетом стоимость расширенного выше в 1,2-1,5 раза, а стоимость премиального – в 1,5–1,7 раза. За базовый пакет небольшим банкам придется заплатить 250 тыс. рублей в месяц, а крупным — до 2,5 млн.

«Если требуется режим 24х7, стоимость услуг будет включать содержание круглосуточной службы, — пояснила «Известиям» Екатерина Сюртукова. — Если нужен высокий уровень компетенции, учитываются расходы на расширенный штат специалистов для оперативного реагирования на инциденты. Стоимость услуг защиты от DDoS-атак зависит от полосы защищенного трафика, доступность которого необходимо обеспечить. Стоимость же оказания услуг защиты web-приложений — от количества и сложности веб-сайтов, которые нужно обезопасить».
По данным ЦБ, в 2016 году общий объем киберхищений с учетом атак на банки составил около 4 млрд рублей. По прогнозам регулятора, в 2017 году «доход» мошенников будет ниже.

По материалам газеты «Известия»

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных