Банк России дал компаниям советы по обеспечению информационной безопасности

Банк России дал компаниям советы по обеспечению информационной безопасности


Банк России дал компаниям советы по обеспечению информационной безопасности

Центральный Банк опубликовал письмо №ИН-06-28/45 от 24.05.2019 года, в котором дал рекомендации публичным акционерным обществам, а также другим заинтересованным в данных вопросах компаниям – о том, как работать с информационными технологиями и управлять рисками информационной безопасности.

В частности, Центробанк предложил:

  • обратить особое внимание на несовершенство применяемых информационных технологий и их доступность для реализации угроз (в частности, разработать внутренние документы, регламентирующие внедрение новых технологий, а также – управление рисками безопасности; регулярно контролировать, как исполняются запланированные мероприятия);

  • установить периодичность подачи отчетов органами управления по внедрению информационных систем и управлению рисками безопасности;

  • если советом директоров будет принято решение о формировании комитетов, в ведении которых будут информационные технологии и безопасность, то их руководителями лучше назначить лиц, имеющих соответствующий опыт и компетенцию;

  • если будет сформирован комитет по информационным технологиям, ему рекомендовано поставить следующие задачи:

  1. разработку рекомендаций для совета директоров;

  2. контроль в отношении процедуры управления информационными технологиями;

  3. контроль мониторинга и реагирования на изменения в данной сфере;

  4. аспекты применения информационных технологий и информации, важные для наращивания интеллектуального капитала компании.

  • если будет сформирован комитет по информационной безопасности, ему стоит поручить следующие задачи:

  1. создание для совета директоров рекомендаций по информационной безопасности;

  2. контроль в отношении управления рисками информационной безопасности, а также – процедур по обеспечению защиты сведений, включая персональные данные;

  • если в компании будет проводиться внутренний аудит, то в его ходе желательно проверять, как реализуются мероприятия по уменьшению рисков информационной безопасности;
  • в годовом отчете компании желательно отражать сведения о мероприятиях по управлению информационными технологиями и рисками безопасности.



13 0
[Оставлять комментарии могут только зарегистрированные пользователи] Зарегистрироваться