В направлении саморегулирования
III Межбанковская конференция "Информационная безопасность банков" продемонстрировала зрелость отрасли

Павел Былевский
главный редактор "BIS-Journal ИББ", к.фил.н.

Обезопасить развитие

Ежегодный главный отраслевой форум проходил 14–19 февраля 2011 г. в Республике Башкортостан. В конференции участвовали представители всех ведущих участников отрасли: государственных надзорных и регулирующих органов, некоммерческих отраслевых партнерств, кредитно-финансовых учреждений и поставщиков решений, а также учебных заведений, организаторов деловых мероприятий и специализированных периодических изданий.

Рост информационно-коммуникационной сферы – важнейшая тенденция современного научно-технического прогресса. В том числе таких важных направлений, как электронное правительство, оказание государственных услуг в электронной форме и универсальная электронная карта. Аналогичное продвижение наблюдается и в кредитно-финансовой сфере России, что сопровождается увеличением разнообразных угроз и возможного ущерба.

Интенсивно развиваются информационно-коммуникационные технологии, появляются новые расчетные инструменты и новые субъекты платежной системы. Наряду с положительными тенденциями этот процесс, к сожалению, сопряжен и с новыми рисками, и с "болезнями роста". Широкое внедрение безналичных платежей, электронных денег и дистанционных расчетов сопровождается высокими рисками мошенничества и криминальных покушений. Возрастает актуальность проблематики ИБ, защиты сотен миллионов финансовых операций и транзакций.

В таких условиях важно совершенствовать комплекс мер, технологий и механизмов обеспечения стабильности и бесперебойности функционирования платежной инфраструктуры в Российской Федерации. Выступавшие были едины во мнении, что их профессиональная работа – своеобразный "момент истины". Юридические нормы, требования стандартов, организационные и технические решения, квалификация специалистов проверяются не умозрительно и даже не на ринге с известным партнером по спаррингу по установленным правилам, а, можно сказать, в боевых условиях.

Банки принимают стандарт

В жизни происходит борьба с реальными киберпреступниками, для которых и писаный закон – не закон. Как остроумно заметил начальник управления информационной безопасности департамента безопасности ОАО "Сбербанк России" С.Н. Бондарев, в наши дни на роль вездесущего незримого соглядатая, "Большого Брата", претендуют не всесильные         спецслужбы, а преступные сообщества с участием хакеров. Специалистам по информационной безопасности  банков  предстоит  модернизировать системы управления рисками и защиты российской кредитно-финансовой системы.

Центральным, смыслообразующим на форуме был доклад ключевого субъекта отрасли, главного регулятора – Банка России о текущих результатах реализации отраслевого подхода в обеспечении информационной безопасности национальной банковской системы Российской Федерации. А.П. Курило, заместитель начальника ГУБЗИ Банка России, обстоятельно поведал обо всех перипетиях, связанных с использованием банками отраслевого стандарта, о перспективах и различных аспектах превращения его требований из рекомендательных в директивные.

Другой сотрудник Банка России В.П. Харламов, начальник отдела методологии обеспечения безопасности информационных ресурсов, обнародовал результаты опроса банков по принятию и внедрению отраслевого стандарта ИБ, полученные по Москве. В нем участвовали 70% банков: 66% опрошенных приняли или планируют принять отраслевой стандарт, можно ожидать, что доля "согласных" составит 70–80%.

Первопроходцы и флагманы – такие ведущие крупные банки, как ОАО "Газпромбанк", ОАО  "Россельхозбанк",  ЗАО "АКБ "Абсолют Банк", к ним планируют присоединиться ОАО "Альфабанк" и ОАО "Банк "Петрокоммерц". Количество пользователей стандарта Банка России росло с ускорением, но, возможно, близка "точка насыщения".

Затраты окупаются

Участниками форума всецело одобрены предложения по реализации отраслевого подхода к решению вопросов обеспечения информационной безопасности на основе СТО БР ИББС. В итоговом документе III Межбанковской конференции отмечены положительные результаты внедрения в банковской сфере комплекса требований стандарта ИБ, разработанного Банком России. Более того, признано целесообразным учитывать эти нормы при заключении банками договоров с контрагентами, в том числе клиентами.

На другом полюсе, "в отказе", остаются 5–10%, как правило, небольших банков, сетующих на то, что выполнение требований отраслевого стандарта информационной безопасности для них "непосильно дорого". Предостережением для банков, уделявших недостаточное внимание информационной безопасности, вполне может служить эмоциональное выступление представителя Банка России И.М. Гвоздева. Начальник главного центра ключевой информации электронных систем привел несколько свежих примеров крайне неприятных инцидентов в этой сфере.

Налицо разгадываемые парадоксы: по мере увеличения доли банков, принимающих отраслевой стандарт ИБ, растет доверие к низким результатам оценки либо самооценки соответствия его требованиям. Опыт первопроходцев, в том числе банка "Возрождение", показывает: сами собой ни отраслевой стандарт, ни требования регуляторов выполняться не будут.

Минимальный срок на доведение до ума системы информационной защиты – три года при затратах от менее 1 млн до 5–10 млн рублей в год. Таким образом, общий бюджет банков на выполнение требований стандарта информационной безопасности по России может достигать 1 млрд рублей в год. В выступлениях отмечалось, что последняя редакция отраслевого стандарта, датированная летом 2010 г., универсально применима для обеспечения безопасности персональных данных и платежных систем. Сравнительный анализ требований стандартов Банка России и международных ISO/IEC JTC 1/SC 27 показывает отсутствие принципиальных противоречий.

Регуляторы поделятся полномочиями

По мере расширения использования комплекса БР ИББС не прекращается работа по его дальнейшему совершенствованию, учитывая международный опыт. Участники конференции решили предложить Банку России более полно учитывать в формулировках отраслевого стандарта требования стандарта PCI DSS, а также позитивный опыт реализации механизмов саморегулирования при оценке соответствия требованиям стандартов безопасности, зафиксированной PCI Security Standards Council.

Также Банку России рекомендовали более полно учитывать опыт международных платежных систем, в частности методологию проверки соответствия банков указанным требованиям консультациями с международными платежными системами, в частности с VISA International.

Современный этап развития отрасли характеризуется ужесточением государственными регуляторами предъявляемых требований, а также надзора и контроля. Яркими свидетельствами тому стали два ключевых доклада о результатах проверок банков согласно административному регламенту государственного контроля защиты персональных данных.

В перечне недостатков, отмеченных начальником управления Роскомнадзора по защите прав субъектов персональных данных Л.Б. Васильевой и представителем ФСБ России С.Л. Акимовым, – отсутствие учебы и повышения квалификации, нехватка квалифицированных специалистов по криптозащите, недостатки при эксплуатации криптосредств и изъяны аутсорсинга. Но в то же время открываются возможности передать значительную часть функций стандартизации, контроля и надзора создаваемой отраслевой саморегулируемой организации.

Среди моментов, которые оживляли работу конференции, можно отметить предложение аутсорсинга информационной безопасности для средних и малых банков с возложением контроля за качеством на страховые компании, сделанное одним из интеграторов. Одно из заседаний оживила острая дискуссия о правовых аспектах и этических границах противодействия киберпреступности, которая вспыхнула между представителем компании-интегратора и сотрудником службы защиты информации крупного банка.

Итоги форума убедительно подтверждают: отраслевой подход к развитию информационной безопасности на основе стандарта Банка России, охватив подавляющее большинство банков, полностью подтвердил свою состоятельность. Участники отрасли готовы к решению проблем, которые ставит стремительное расширение применения информационно-коммуникативных технологий в кредитно-финансовой сфере.