SECURITY RESILIENCE подходы к оценке зрелости информационной безопасности

Ассоциация ФинТех и Compliance Control провели исследование подходов к оценке зрелости ИБ. В рамках него проанализированы международные фреймворки и стандарты по информационной безопасности, проведена оценка их применимости в специфических условиях российского финтех-сектора и отмечены особенности внедрения зарубежных стандартов в финансовых организациях в России. Также в исследовании предложен адаптированный фреймворк для проведения самостоятельной оценки зрелости кибербезопасности в российских финансовых организациях.

Ассоциация ФинТех и Compliance Control представили совместное исследование «Security resilience. Подходы к оценке зрелости информационной безопасности». Исследование состоит из двух частей: методологической и практической. В первой части проанализированы международные стандарты информационной безопасности и проведена оценка их применимости на российском финтех-рынке, вторая часть представляет из себя фреймворк, позволяющий руководителям самостоятельно оценить уровень зрелости кибербезопасности в организации. За основу взят международный стандарт NIST CSF, позволяющий системно рассматривать требования в области информационной безопасности как на управленческом, так и на техническом уровне, а также применять риск-ориентированный подход, интегрированный в бизнес-процессы организации. Фреймворк охватывает не только традиционные защиту и обнаружение, но и стратегическое управление (Governance) и восстановление после возможных инцидентов (Recover). Также рассмотрен домен по управлению цепочкой поставок (Supply Chain), так как современные типы угроз могут проникать и через систему партнеров, даже если меры защиты в компании на высоком уровне зрелости.

«Наша команда проводила совместное с Ассоциацией ФинТех исследование и разрабатывала матрицу применимости международных фреймворков ИБ, основываясь на 14-летнем практическом опыте Compliance Control в консалтинговых проектах в информационной безопасности для банков и для компаний финтех-сектора не только в России и странах СНГ, но в других регионах. В основе нашей совместной работы лежит понимание того, что для развития банковского рынка и финтех сектора, для повышения уровня защиты его участников, крайне важно открыто делиться экспертизой, помогая российским компаниям выстраивать ИБ-стратегии эффективно. И здесь опыт и экспертиза, наработанные нашей командой в более чем 55 странах мира, где мы реализуем проекты, оказался очень полезными», — отметил сооснователь компании Compliance Control Евгений Бабицкий.

«Сегодня кибербезопасность перестала быть задачей исключительно для технических специалистов: это стратегический фактор устойчивости бизнеса, напрямую влияющий на финансовые результаты, репутацию и доверие клиентов. Важно подходить к выстраиванию информационной безопасности комплексно: переходить от реактивного управления рисками к системному и воспроизводимому подходу. Для финтех-компаний, работающих на стыке финансовых и цифровых экосистем, выбор, адаптация и применение международных фреймворков ИБ становится не просто методологическим решением, а стратегическим фактором устойчивости и доверия», – подчеркивает руководитель управления информационной безопасности Ассоциации ФинТех Александр Товстолип.