Андрей Курило, Банк России: "Консолидация - одна из первостепенных задач банковского сообщества"

На вопросы редакции отвечает Андрей Петрович Курило, заместитель начальника главного управления безопасности и защиты информации Центрального банка России

- Какие основные проблемы и задачи в области информационной безопасности стоят сейчас перед банковским сообществом?

- Сегодня сотрудники, которые занимаются обеспечением информационной безопасности кредитных организаций, находятся в очень тяжелом положении. С одной стороны, они вынуждены много времени тратить на решение проблемы соответствия требованиям законодательства. С другой - перед ними продолжает стоять задача борьбы с компьютерной преступностью. При этом количество преступлений в системах дистанционного обслуживания, Интернет-банкинга, получивших распространение из-за высокой прибыльности для банков, постоянно растет. Ясно, что требования государства не всегда соответствуют требованиям бизнеса. Дело в том, что технические требования государства, как правило, носят формальный характер, и оценка деятельности организации осуществляется не по факту наличия/отсутствия преступления, отраженных атак, а по факту соответствия лицензиям, сертификатам и т.п. Понятно, что получение данных сертификатов и лицензий - это дополнительная нагрузка на профильные подразделения.
Кроме того, во многих организациях сегодня наблюдается "эффект связиста", суть которого в том, что связиста замечают только тогда, когда пропадает связь. Поэтому, если никаких инцидентов не происходит, у собственника компании, как правило, возникает искушение сократить отдел, ответственный за ИБ, и, как говорится, существовать на налаженном процессе. Немногие понимают, чтобы поддерживать этот процесс на определенном уровне, нужны определенные усилия и ресурсы.

Схемы хищений денежных средств становятся все более изощренными. Среда, которой мы противостоим, быстро совершенствует свои методы, в течение года меняются элементы технологий мошенников и сами технологии. Эти изменения надо отслеживать и адекватно на них реагировать. Однако не все структуры хотят и способны заниматься такой работой, поэтому эту информацию надо донести до конкретных специалистов. В этом как раз могут помочь отраслевые мероприятия и форумы, такие как II Межбанковская конференция "Информационная безопасность банков".

Надо понимать, что банковские структуры сегодня в определенной степени разобщены. Банк России регулирует вопросы банковской деятельности, а не безопасности. Поэтому ему сложно доносить до кредитных организаций такого рода информацию. И одна из первостепенных задач, стоящих сегодня перед кредитно-финансовыми организациями, - консолидация. Ее признаки уже видны, но понимание того, что консолидация нужна, что консолидироваться выгодно, приходит очень медленно, несмотря на наличие АРБ, специальных комитетов, требований регуляторов. Может быть, причина в примитивном понимании рыночных отношений. Слабая консолидация характерна для нашего общества вообще, для всех субъектов экономики. Сильная же консолидация наблюдается пока только там, где есть сильное принуждение.

- Какую роль играет стандарт ЦБ РФ по информационной безопасности в наметившемся процессе консолидации банковского сообщества? Как он соотносится с ФЗ "О персональных данных"?

- Стандарт безопасности - это некий инструмент мягкого принуждения организации к восприятию лучшего аккумулированного обобщенного опыта. Те, кто выполняет рекомендации стандарта, демонстрируют пример успешного отражения атак и борьбы с хищением средств со счетов. В таких организациях улучшается работа специалистов, осуществляющих анализ собственной деятельности, угроз и атак.

ABISS (сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР ИББС-1.0) - это тоже механизм консолидации. С одной стороны, это инструмент профессионального знания, с другой - прототип саморегулируемой организации (СРО), которая имеет механизм принуждения, обучения, контроля и солидарной ответственности. С моей точки зрения, в банковской среде нужно создавать СРО. Поэтому необходимо внушить кредитно-финансовым организациям сознание необходимости и целесообразности принятия определенного типа поведения.

Наш стандарт содержит рекомендации по безопасности, которые являются стандартными и уже давно широко применяются. Например, требования карточного стандарта безопасности PCI DSS почти полностью совпадают с требованиями стандарта Банка России. Интересно, что PCI DSS был разработан 7 лет назад карточной платежной системой VISA как собственный корпоративный стандарт. Спустя какое-то время он стал обязательным для тех банков, которые пользуются системой VISA, если количество транзакций по картам превышает 300 тыс. в месяц. А сейчас PCI DSS уже, как вы знаете, является отраслевым стандартом.

Так и разработанный нами стандарт банковской безопасности на самом деле является стандартом организации отраслевого применения. К такому выводу мы пришли вместе с коллегами из Росстата, когда обсуждали статус данного стандарта.

Кроме того, выяснилось, что стандарт ЦБ РФ по информационной безопасности хорошо подходит для защиты различных видов охраняемой информации, различных видов тайн. Таким образом, он становится универсальным. Мы начинаем переходить от создания неких частных локальных систем обеспечения безопасности (например, набор требований к криптографии) к универсальным.

Когда мы сравнили требования стандарта с требованиями других отечественных нормативных документов, регламентирующих сферу ИБ, оказалось, что они весьма жестко регулируют эту сферу деятельности, а это не всегда оправданно. Угрозы, описанные в так называемом "шестикни-жии" (прежде всего, в документах ФСТЭК) характерны, скорее, для гостайны, для банковской же сферы многие из них просто маловероятны. Я не говорю сейчас о явных и распространенных угрозах, таких как вирусные атаки. Речь идет об экзотичных угрозах для банковской деятельности, например съем информации за счет акустических вибраций. В кредитных организациях информация, которая имеет ценность, не существует в голосовом виде. Съем информации при помощи видеокамеры высокого разрешения тоже в подавляющем большинстве случаев возможен только при маловероятном совпадении целого ряда сложных условий.

Таким образом, после сравнения стандарта и документов мы разработали некую типовую отраслевую модель угроз, придя к выводу, что некоторые риски можно отбросить и некоторые каналы утечки просто не рассматривать, так как они малозначимы и маловероятны. При этих допущениях стандарт полностью перекрывает требования ФЗ "О персональных данных", "трехглавого" закона.

Что касается защиты персональных данных, в 99% случаев они по своей сути и ценности ничем не отличаются от любых других данных, которые нужно защищать. При исполнении требований ФЗ "О персональных данных" надо сначала думать, а потом делать. В этом и заключается основная проблема. Та или иная открытая информация в каком-то конкретном случае может приобрести большую ценность. Например, лицо случайного прохожего вряд ли может представлять интерес, а вот лицо курьера, передавшего фальшивую платежку, может. Важен и адекватный подход к защите медицинских данных: здесь нередко возникает противоречие между требованиями по сохранению в тайне информации о здоровье человека и необходимостью в срочном порядке оказать ему медицинскую помощь, когда, например, он сам не в состоянии сообщить или передать эти данные медперсоналу. Я считаю, что это несовместимые требования. Поэтому подход к медицинским данным должен быть очень щепетильным и корректным. Выводить их в специальную категорию и специальными методами защищать, с моей точки зрения, просто опасно, так как может создать угрозу жизни человека.

- Расскажите, пожалуйста, об идее отраслевого регулирования.

- Идею отраслевого регулирования мы разработали совместно с основными регуляторами в середине прошлого года. Задача отраслевых регулирующих документов - разъяснять общие нормативные документы, в которых разобраться довольно сложно.

Сейчас идея отраслевого регулирования реализована в Минздравсоцразвития.

Совместно с представителями 8-го Центра ФСБ, Роскомнадзо-ра и ФСТЭК мы пересмотрели действующую версию стандарта, внесли туда раздел, покрывающий все требования Роскомнадзора, расширили разделы, касающиеся криптографии. Затем была разработана отраслевая модель угроз как типовое решение. Потом возник документ "Рекомендации по применению стандарта". В стандарте сказано, что нужно сделать, а в рекомендациях - как. Но здесь возникла юридическая ловушка, потому что рекомендации не имеют юридической силы, то есть выполнять их необязательно. Вот тут и появилась идея СРО. Чтобы стандарт начал действовать в организации, он должен быть введен приказом. Таким образом, этот стандарт или любой другой документ, носящий рекомендательный характер, приобретает для этой организации юридическую силу. Поэтому мы разработали схему, согласно которой стандарт Банка России должен быть введен приказом по кредитной организации. Затем банк приводит свои документы в соответствие с требованиями стандарта, и осуществляется проверка организации на соответствие его требованиям, что закрепляется итоговым документом, имеющим юридическую силу. Документ или выписка из него может быть направлена для проверки регуляторам.

Чтобы предложенный нами механизм был принят, регуляторы должны поддержать эту идею официальным письмом, так называемым "письмом пятерых" (ЦБ РФ, АРБ, Роскомнадзор, ФСТЭК и ФСБ России). Проект такого письма мы уже направили регуляторам. Чем скорее мы получим ответ, тем быстрее банковская система в России получит конкретный и ясный ориентир. При выполнении требований стандарта у организаций не будет проблем с защитой банковской тайны, коммерческой тайны, платежной информации, персональных данных. Причем, еще раз повторю, что касается защиты ПДн, то в 99% это типовые ситуации, для решения которых вполне достаточно выполнять общие требования безопасности (антивирусная защита, управление доступом, защита от НСД и т.п.).

- 15-20 февраля состоялась II Межбанковская конференция "Информационная безопасность банков". Каковы ее задачи и итоги?

- Как я уже говорил, одной из приоритетных задач банковского сообщества в прошлом году была защита персональных данных в соответствии со 152-ФЗ "О персональных данных". Как известно, мы получили отсрочку в приведении ИСПД в соответствие с требованиями данного закона. Поэтому на конференции решался вопрос о том, каким образом банковское сообщество будет выполнять эти требования, насколько оно к этому готово и какие формы организации банковского сообщества возможны для взаимодействия с регуляторами. Мы пришли к выводу о необходимости создания саморегулируемой организации, которая взяла бы на себя ответственность перед регуляторами за соблюдение норм закона. С помощью такой организации мы сможем наладить взаимодействие на всех уровнях: и с клиентами, и внутри банковского сообщества, и с государством в лице его представителей. Это очень важный вопрос, потому что без государства эту проблему решить невозможно. Особенность кредитно-финансовой деятельности заключается в том, что банки работают в открытом законодательстве, взаимодействуя не только между собой, но и с зарубежными банками и клиентами. Проблема обеспечения безопасности в этой ситуации очевидна, поэтому банки нашей страны должны в полной мере соответствовать требованиям по безопасности, которые сформулированы мировым банковским сообществом. И одна из целей данной конференции - установление соответствия между требованиями, стандартами, практиками, разработанными мировым сообществом, и нашими внутренними стандартами и практиками.

Ну и, конечно, одной из задач конференции было рассмотрение и обсуждение угроз информационной безопасности банков и методов борьбы с ними.

Кроме того, как я уже говорил, подобное отраслевое мероприятие, на котором рассматриваются вопросы, касающиеся именно банковского сообщества, является важным инструментом консолидации кредитно-финансовых организаций.