Андрей КУРИЛО: «Инструментов регулирования должно быть достаточно. На данном этапе существует множество точек риска, которые мы и стремимся выявить и «закрыть»
В 2010 году в очередной раз был отложен на полгода 152-ФЗ «О персональных данных». О том, когда настанет день «икс» для операторов персональных данных, как будет происходить взаимодействие регуляторов при проведении плановых проверок, а также о том, какие новые стандарты и рекомендации зреют в стенах Центрального банка, НБЖ рассказал заместитель начальника Главного управления безопасности и защиты информации Банка России Андрей КУРИЛО.
ОБЕЩАННОГО ЗАКОНА ТРИ ГОДА ЖДУТ
НБЖ: Андрей Петрович, в очередной раз было отложено вступление в силу закона 152-ФЗ. Почему было решено перенести закон еще на полгода? Как вы оцениваете данную инициативу?
А. КУРИЛО: Я оцениваю это решение очень позитивно. Работая в рабочей группе Минсвязи по доработке 152-ФЗ, я постоянно говорил о том, что необходимо предоставить не менее двух лет операторам данных на то, чтобы они смогли реализовать новые требования. В противном случае лишь немногие смогут привести свои системы в соответствие с законом. И мы видели, как по мере перенесения сроков вступления закона в силу количество операторов данных, которые выполнили все требования 152-ФЗ, постоянно увеличивалось.
Это явление имеет вполне логичное объяснение: масштабные проекты не могут быть реализованы за один месяц и даже за один год. Субъектам необходимо выделить средства, согласовать бюджет, разработать проект, выбрать подрядчика, построить систему, запустить ее, организовать поддержку, сопровождение и так далее. Сегодня, совершив необходимый цикл действий, участники рынка выходят в целом на финишную прямую с достаточно хорошими результатами.
Сейчас готовится новая версия закона «О персональных данных», и ее текст весьма сильно отличается от старого варианта. Я думаю, что потребуется дополнительное время на то, чтобы участники рынка смогли с ним ознакомиться и продолжить деятельность по приведению своих систем в порядок. Поэтому вполне вероятно, что летом 2011 года сроки приведения состем персональных данных в соответствие с требованиями закона будут пролонгированы в очередной раз.
Таким образом, мы выйдем приблизительно на то самое время, о котором я говорил вначале: не менее двух лет необходимо на то, чтобы реализовать закон на практике.
НБЖ: С какими результатами банки подходят к новому рубежу?
А. КУРИЛО: Как я уже сказал, результаты достаточно хорошие. Мы ожидаем, что порядка 80% банков вступят в пул кредитных организаций, которые будут внедрять у себя Стандарт по безопасности Банка России. Оставшиеся 20%, которые решат действовать самостоятельно, будут общаться напрямую с регуляторами. В данном случае мы можем только, как Понтий Пилат, умыть руки.
Замечу, что мы делаем все возможное, чтобы добиться главной цели – реализации требований закона о защите персональных данных. И сейчас мы можем с удовлетворением отметить, что движение в этом направлении началось.
НБЖ: Банкам необходимо было приводить свои системы в соответствие в кризисные годы, когда каждая копейка была на счету. Наверное, это обстоятельство существенно осложняло задачу?
А. КУРИЛО: Мы провели специальное исследование, в котором попросили банкиров оценить свои расходы на приведение систем в соответствие со 152-ФЗ. Наибольшее количество наших респондентов оценили расходы в пять миллионов рублей. С одной стороны, это небольшая сумма, но с другой – для мелких банков, которые бьются за каждую копейку, эти накладные расходы оказались очень существенными.
НБЖ: Ранее некоторые участники рынка говорили о том, что им реализация требований закона обошлась в несколько миллионов долларов.
А. КУРИЛО: У некоторых операторов данных стоимость проекта действительно оказалась гораздо выше. Прежде всего это относится к крупным многофилиальным банкам. У них проект действительно выливается в несколько миллионов долларов. В основном из-за их размера.
Стоит добавить, что если организация в течение ряда лет обращала внимание на вопросы собственной безопасности, то определенные вложения в развитие системы должны были происходить постоянно. В этом случае расходы на доработку системы в соответствии со 152-ФЗ окажутся не такими значительными. А если организация не вела в этом направлении никакую работу до назначенного времени «икс», то проект с нуля может обойтись в крупную сумму. Но государство выставляет правила игры, и необходимо эти правила выполнять.
НБЖ: Чем принципиально отличается новый закон от старой версии?
А. КУРИЛО: Так называемый законопроект Резника кардинально меняет некоторые спорные моменты и требования. Например, самая болезненная тема – необходимость получения согласия на обработку данных на этапе преддоговорной работы – значительно корректируется. В новой версии это требование отменяется, и операторам персональных данных в гораздо меньшем количестве случаев нужно будет получать согласие клиентов на обработку информации. Поэтому говорить об ужесточении требований не приходится. Наоборот, закон адаптировали к реальной жизни. И я считаю, что это было очень верное решение.
НБЖ: А проделанная ранее работа окажется ненужной?
А. КУРИЛО: Говорить о том, что при смене закона мы все сотрем и начнем с нуля, не приходится. Просто будут сделаны некоторые послабления. Например, некоторые операции в соответствии с новой версией закона надо будет выполнять в облегченном режиме. Один из таких примеров я привел выше.
НБЖ: Для повышения эффективности контроля за реализацией 152-ФЗ планировалось создать СРО. Идет ли процесс создания организации?
А. КУРИЛО: Работа идет полным ходом. СРО должно появиться в этом году. Согласно закону о СРО, оно создается путем преобразования некоммерческого партнерства. Как только в некоммерческом партнерстве возникает число участников более 25, оно получает статус СРО.
РЕГУЛЯТОРЫ ДОВЕРЯЮТ, НО ПРОВЕРЯЮТ
НБЖ: В банки, являющиеся членами ABISS, будут приходить с проверками государственные регуляторы – ФСБ, ФСТЭК и Роскомнадзор?
А. КУРИЛО: Право проводить проверки закреплено за государственными регуляторами на законодательном уровне. И конечно, они этим правом будут пользоваться.
Я бы предложил обратить внимание на другой аспект: почему регуляторы заинтересованы в том, чтобы работал Стандарт Банка России? В данном случае я могу отметить, что реализация стандарта позволяет существенно повысить качественный уровень проверок и добиться гораздо большего результата в достижении главной цели – повышения уровня безопасности. Дело в том, что на данном этапе регуляторы не в полной мере владеют ситуаций, потому что у них не сформировалась база собственных оценок и они еще не имеют четкого представления о положении дел в той или другой группе операторов персональных данных. После того как государственные регуляторы изучат ситуацию в 20, а лучше – 60 объектах, они на основании полученной выборки смогут составить определенную оценку.
Однако даже в этом случае выборку будет сложно назвать репрезентативной. А проводить проверки чаще, чтобы быстрее сформировать базу, регуляторам не позволяют собственные ограниченные возможности и закон о государственном контроле, который позволяет проводить проверку в одной и той же организации не чаще, чем раз в три года. Стандарт же позволяет регуляторам получить информацию о положении дел сразу в 800 банках, поэтому они смогут давать более компетентные оценки при выполнении своих функций.
Таким образом, «подписавшись» под стандартом, банки не снимают с себя обязанность периодически проходить проверки регуляторов. Более того, проверки нужны. Их необходимость объясняется, в частности, тем, что существует такое явление, как фальсификация результатов выполнения требований закона. Некоторые операторы действуют по принципу «заплатить и забыть». И чтобы исключить данное явление и составить объективную картину, мы должны давать независимые компетентные заключения. Я надеюсь, что наши проверки со стороны ЦБ, со стороны регуляторов в конце концов сведутся к перепроверке результатов. И таким образом мы получим убеждение в том, что работа проведена честно и заявленная информация соответствует действительности.
НБЖ: Такое количество проверок и перепроверок может оказаться для банков достаточно тяжелым бременем?
А. КУРИЛО: Сначала поясню, что такое перепроверка. Перепроверка не предполагает досконального проведения повторной проверки. В режиме перепроверки достаточно заново перепроверить на соответствие требованиям закона всего лишь 10% от общего числа требований. Понятно, что в этом случае скорость проведения оценки растет, а нагрузка на проверяющих и сотрудников значительно сокращается. Если по случайно выбранным пунктам результат окажется удовлетворительным и полностью совпадет с предыдущей оценкой, значит, результатам проверки можно верить. Об этом говорят законы статистики.
Что касается нагрузки на поднадзорных субъектов, которая возникает в ходе проведения плановых проверок государственных регуляторов, то, во-первых, регулятор не сможет осуществлять проверки чаще, чем предписано законом. А это, как я уже сказал, не чаще одного раза в три года. Во-вторых, сейчас планируется, что регуляторы, чтобы снизить нагрузку на поднадзорные субъекты, будут проводить совместные проверки. В-третьих, чтобы упростить работу, мы предложили и установили соответствие требований стандарта требованиям государственных регуляторов и требованиям стандартов ISO, то есть сделали их едиными и универсальными. В итоге регулятор, приходя с проверкой, будет точно знать, какому пункту ISO, требованию закона или положению Стандарта по безопасности Банка России соответствует каждое проверяемое требование по безопасности. Также сейчас мы разрабатываем методику проведения контроля, в которой будет описан алгоритм действий при проверке конкретного требования и вынесения конкретного суждения по нему.
Таким образом, мы стремимся согласовать действия всех регуляторов и сделать их деятельность максимально понятной и прозрачной как для оператора ПД, так и для всех регуляторов. Такой подход еще никогда не применялся на практике и является для некоторых участников совершенно новым «измерением» действительности, в которой им теперь придется работать.
НБЖ: Государственные регуляторы готовы сотрудничать и работать по необычным для них правилам?
А. КУРИЛО: В принципе да. Просто необходимо понимать, что ФСБ, ФСТЭК, Роскомнадзор – это большие административные системы. Любая такая административная система имеет достаточно большое время реакции ввиду своих огромных масштабов и, извините, бюрократической структуры. Пока в таком организме до хвоста дойдет то, что сказала голова, может пройти несколько лет.
НБЖ: То есть первое время, пока система не будет четко отработана, поднадзорным субъектам придется несладко?
А. КУРИЛО: Конечно, в процессе работы могут появиться неожиданные подводные камни. Но мы стараемся предупредить возникновение каких-то негативных реакций и последствий. В частности, мы устанавливаем обратную связь с поднадзорными субъектами, и сейчас к нам уже поступают сообщения с просьбой отработать ту или иную ситуацию. Например, недавно один из банков задал нам вопрос: являются ли изображения людей, которые содержатся в системах видеонаблюдения, биометрической информацией? Когда мы разобрали вопрос по соответствующему ГОСТу, то пришли к выводу, что изображение человека в системе видеонаблюдения не может быть отнесено к биометрической информации. И сейчас мы уже договорились о том, что дадим соответствующие разъяснения вместе с уполномоченным регулятором – Роскомнадзором.
Таким образом, возникновения проблем полностью исключить нельзя. Однако, как показывает практика, мы можем эффективно их решать, потому что нам удалось сделать главное – установить взаимодействие друг с другом.
НАПРАВЛЯТЬ НАДО НЕ ТОЛЬКО КНУТОМ, НО И ПРЯНИКОМ
НБЖ: В случае обнаружения недостатка регуляторами будет выдаваться рекомендация или сразу предписание с наложением соответствующих мер ответственности?
А. КУРИЛО: Принципы мотивации любого действия управляемого объекта известны давно: кнут, пряник, стимул и «пендель» («маятник» в переводе с немецкого). Все зависит от внутренней позиции регулятора: кто-то считает, что по любому случаю нужно доставать хлыст, а кто-то убежден, что все недостатки можно устранить в плановом порядке. Объективно – необходимо избирательно применять все доступные меры. С высоты проделанной работы я вижу, что мы с государственными регуляторами идем в точку «сходимости» и у нас появляется общая точка зрения на проблемы и подходы к их решению. Так, сейчас уже гораздо реже приходится слышать о необходимости усиления административной ответственности. Постепенно приходит понимание, что метод мягкого принуждения иногда бывает гораздо более эффективным, чем жесткие меры. Есть классические примеры в нашей практике жизни – например, принятие жестких ограничений по количеству алкоголя в крови водителей. Результатов они не дали, а проблем у людей на бытовом уровне породили массу. То есть средства достижения благой цели были выбраны неправильные, что и привело к отрицательному результату и недостижению поставленной цели.
НБЖ: То есть нет единого понимания, какие меры будут предприниматься?
А. КУРИЛО: Надо понимать, что меры привлечения к ответственности разрабатывались три-пять лет назад, когда все находились в ослеплении от перспективы применения мер административного принуждения. На тот момент существовало мнение, что стоит ужесточить требования – и все встанет на свои места. Но жизнь показывает обратное. И многие, в том числе регуляторы, начинают понемногу понимать: нужно действовать более цивилизованными методами. Однако проблема состоит в том, что если существует норма закона, то ее надо выполнять.
НБЖ: Нормы изменить невозможно?
А. КУРИЛО: Норма обсуждению не подлежит, пока она является законом. Изменения возможны, и мы это видим. Вопрос в другом: если норма не выполнена, то нужно сразу бежать в прокуратуру и требовать наказания виновных или можно запустить процесс устранения недостатков? Какой путь выберет регулятор, зависит от степени корректности восприятия проблемы. К сожалению, сегодня еще не все понимают, что такое управление рисками. Это мешает, потому что решать вопросы безопасности методами, которые применяются в практике управления войсками, например, нельзя.
НБЖ: А сейчас регуляторы начали проводить проверки? Каковы первые результаты?
А. КУРИЛО: Некоторые регуляторы начали проводить ознакомительные проверки, а Роскомнадзор никогда их не прекращал.
Если говорить о результатах, то процент замечаний в абсолютном исчислении увеличился по сравнению с прошлым годом. Но если замечания вывести в процентном соотношении к количеству проверок, то их окажется в два раза меньше, чем в прошлом году. То есть мы видим, что происходят положительные качественные изменения. Я думаю, что еще несколько лет – и нарушения требований закона будут единичными. Мы уже близки к тому, чтобы привести систему в порядок.
ЧЕЛОВЕЧЕСКИЙ ФАКТОР - ГЛАВНАЯ УГРОЗА БЕЗОПАСНОСТИ
НБЖ: Сейчас некоторые банки уже полностью реализовали в системах безопасности требования 152-ФЗ. Можно ли сказать, что их уровень безопасности повысился и у них больше не происходит утечек информации?
А. КУРИЛО: Вопреки распространенному мнению, утечки информации случаются крайне редко. Просто, как правило, вокруг таких инцидентов всегда разгорается громкий скандал, и случай получает огласку. Поэтому оценивать уровень безопасности системы по количеству произошедших инцидентов, я считаю, некорректно. Этот показатель не является качественным критерием.
Тем не менее я считаю, что подобные инциденты нельзя замалчивать. Напротив, о них нужно сообщать в обязательном порядке, как это сделано сейчас в странах ЕС и в США. Это дает возможность грамотно проанализировать ситуацию, а не переносить на нашу действительность иностранную статистику и не пугать общественность заявлениями о многомиллиардных потерях. К сожалению, это дело будущего.
Если все-таки вернуться к вопросу, то я думаю, что реализация любого стандарта безопасности понижает риск возникновения инцидента. Например, в направлениях деятельности, которые описаны в Стандарте безопасности Банка России, процент нарушений безопасности информации стремится к нулю. Там, где мы не успели отрегулировать процессы обеспечения безопасности, наблюдается повышенный криминальный всплеск. В той же системе ДБО постоянно растет количество инцидентов.
НБЖ: Регуляторы, насколько я понимаю, в основном проверяют операторов данных на выполнение технических требований. Однако Центральный банк в свое время неоднократно обращал внимание на то, что гораздо большую угрозу представляет человеческий фактор – невыполнение регламентов, нарушение правил безопасности и прочее. Будет ли уделяться внимание этому вопросу?
А. КУРИЛО: Регулятор может проверить деятельность только в пределах своей компетенции. ФСБ и ФСТЭК – это технические регуляторы, которые могут проверять, как реализуются их требования применительно к техническим и программным средствам. Что касается процессов, которые характеризуют деятельность людей вокруг этих технических средств, то они выходят за пределы контроля упомянутых регуляторов. Таким образом, существующая логика взаимоотношений и разграничений зон ответственности приводит к тому, что регуляторы могут проверить максимум 40% от всех тех проблем, которые присутствуют в жизни, оставшиеся 60% под свой контроль пытается взять Банк России. Как известно, у нас есть стандарты, которые устанавливают правила деятельности людей.
Сегодня, по сути дела, только они и контролируют выполнение регламентов и правил безопасности сотрудниками функциональных подразделений, которые не являются работниками безопасности. А ведь в этом поле сосредоточена значительная, если не основная часть рисков. Классическая ситуация: код аутентификации для подписи электронного документа был выдан операционному работнику, который вскоре забыл про требования безопасности и оставил носитель с кодом на рабочем столе или даже в компьютере. В это время ключом воспользовался другой сотрудник и сгенерировал фальшивый крупный платеж.
Кто должен регулировать и контролировать данные процессы? В документах ФСБ и эксплуатационной документации на средства ЭЦП есть требование об обеспечении конфиденциальности ключа подписи, однако практическое обеспечение этого требования является задачей руководства функционального подразделения, которое должно написать инструкцию, регламент действий сотрудников и контролировать их. Кто должен организовать контроль за тем, как выполняются функциональные регламенты? Вероятно, отраслевой регулятор. А основой этой деятельности служат процессные технологии, описывающие разработку соответствующих правил, требований, регламентов действий персонала функциональных подразделений.
Но нельзя всю деятельность организации «уложить» в стандарты и регламенты. Для того чтобы правила не остались только на бумаге, необходимо выделить критичные процессы, которые могут повлиять на уровень безопасности организации и контролировать их. Если процесс использования ключа является по определению опасным, значит, он должен явно и четко контролироваться. Если мы рассматриваем процесс администрирования информационной системы, связанный с использованием прав «суперпользователя», то он также должен контролироваться. В то же время есть процессы, не связанные с безопасностью, – например, деятельность курьеров, столовой или работа сантехника. Таким образом, есть группа ключевых процессов, которые необходимо контролировать. Правила поведения должны быть сформулированы и навязаны сверху. Это очень сложная задача, но тем не менее она должна быть решена. Только в этом случае удастся целиком охватить проблему обеспечения безопасности.
НБЖ: Какой документ будет регулировать процессные технологии – Стандарт по безопасности или будут созданы специальные регламенты?
А. КУРИЛО: В cтандарте регламентация процессных технологий только заложена, в полной мере они там не описаны. Дело в том, что мы в этом случае сталкиваемся с деятельностью, не имеющей прямого отношения к системе безопасности, поэтому этот сектор должны регулировать другие механизмы.
НБЖ: То есть это будут разработаны новые cтандарты?
А. КУРИЛО: Над такими cтандартами сейчас работает АРБ. Но дело в том, что это очень сложный процесс. Чем запутаннее документ, тем труднее его будет потом реализовать на практике. Поэтому мы сейчас пытаемся сформулировать максимально упрощенные требования, которые были бы понятны многим людям и реализации которых мы могли бы добиться.
Но стандарт – это рекомендательный документ. Кроме него на рынке должны существовать правила, обязательные для исполнения. То есть участникам рынка должны быть предложены механизмы регулирования деятельности, как в рекомендательной форме, так и в жесткой. Только в этом случае мы сможем добиться положительного результата.
НБЖ: Можно ли полностью обеспечить стопроцентную безопасность, если описать все процессы, способные привести к утечке информации?
А. КУРИЛО: Полной гарантии безопасности нет и не может быть. Последствия катастрофы на атомных станциях в Японии это только подтверждают. Но если бы они были сделаны плохо, все было бы гораздо хуже, чем сейчас. Можно говорить только об уровне рисков в рамках заранее сформулированной модели угроз. При этом действовать в логике step by step. Например, существует два близких понятия: информационная безопасность и защита информации. Я часто слышу в беседах о том, что это синонимы. Однако эти понятия фундаментально различаются. Потому что безопасность есть специфическое состояние объекта, а защита информации – это действие с использованием некого набора технических инструментов, направленное на достижение обозначенной цели. Если мы отрезаем понятие «информационная безопасность» и говорим о защите, то мы говорим лишь о 40% всей проблемы, имея в виду только техническую ее часть. То есть ту часть, за которую несут ответственность наши регуляторы. Получается, при семи няньках дитя без глазу, и все возвращается к ситуации, которую мы уже обсуждали.
Неправильно сформулировав конечную цель, мы не сможем добиться желаемого результата – информационной безопасности, потому что мы будем подменять деятельность по обеспечению информационной безопасности проблемами, связанными с контролем за эксплуатацией средств защиты от несанкционированного доступа. Поэтому очень важно, приступая к решению какой-то конкретной проблемы, четко сформулировать конечную цель и понять, чего мы хотим добиться в итоге.
НБЖ: А новые стандарты или регламенты разрабатываются совместно с банковским сообществом?
А. КУРИЛО: В обязательном порядке. Но банковское сообщество, а также сообщество профессиональных организаций нужно привлекать на этапе, когда уже есть конкретные наработки. Так мы действовали при разработке рекомендаций по идентификации и классификации активов, которые были написаны на базе соответствующих стандартов ISO. Дело в том, что стандарты ISO по этой проблеме оказались малопригодными для практической жизни. Мы адаптировали их, а потом уже предложили для экспертного заключения участникам рынка. Однако эксперты, изучив методику, сделали заключение, что она слишком сложная, и ее нужно еще упрощать. Как показывает практика, документы нужно упрощать до такой степени, чтобы они были понятны. Только в этом случае можно рассчитывать на то, что они будут реализованы, и к тому же реализованы именно в таком виде, в каком они описаны в документе.
Привлекать экспертов к разработке документов на самом начальном этапе часто не удается и по техническим причинам. Люди не имеют возможности отвлекаться от основной деятельности и к тому же выделять на «общественные» цели специальное финансирование. Как правило, Центральный банк берет большую часть расходов на себя.
КУЗНИЦА СТАНДАРТОВ
НБЖ: Вы сказали, что назрела необходимость разработки стандартов для систем ДБО. То есть в скором времени банкам придется всерьез заняться своими системами ДБО?
А. КУРИЛО: Необходимость разработки стандартов систем ДБО возникла потому, что сегодня происходят значительные хищения в этих системах. На практике оказалось, что существующие системы разработаны без учета реальных моделей нарушений, которые возникают в жизни.
Но мы не преследуем цели заставить банки в один-два года поменять свои системы ДБО или доработать старые в соответствии с новыми стандартами. Мы ожидаем, что процесс замены будет происходить постепенно. Возможно, он растянется на пять-семь лет. Именно столько времени в среднем составляет срок эксплуатации любой купленной системы.
НБЖ: Но модели угроз могут быстро обновляться, и банки просто не будут успевать обновлять за ними системы.
А. КУРИЛО: Новые угрозы возникают достаточно редко. Как правило, причиной хищения становится не возникновение новых угроз, а возникновение неких новых обстоятельств, которые мы ранее не учли. Например, борьба за владение информацией часто сводилась к попыткам получить ключ, с помощью которого можно достать информацию (только во времена Александра Македонского это была надпись на голове под шевелюрой гонца, а во времена технического прогресса это криптографический ключ, который позволяет расшифровать информацию). Если криптографический ключ в системе ДБО у конкретного владельца хранится неправильно, да к тому же система заражена «трояном», то риск потери денег очень велик. Если ключ хранить в правильном месте и соблюдать меры безопасности, то угроза хищения денежных средств вряд ли реализуется.
Но кража может совершаться и не техническим способом. Так, нередки случаи получения ключей и регистрации их по поддельной доверенности. Чтобы предотвратить данную категорию рисков, необходимо отрегулировать процессы проверки подлинности документов. А это сделать достаточно сложно, потому что процедура подтверждения подлинности бумажного документа была описана еще во времена Александра I и с тех пор практически не менялась, глубоко засев в нашем сознании.
Таким образом, чтобы предотвратить хищения в системах ДБО, недостаточно только регламентировать какие-то технические параметры. Самое сложное – это изменить подход к оценке рисков.
НБЖ: Получается, что в скором времени банковское сообщество «порадуют» еще несколько нормативных документов. Стандарты систем ДБО выйдут в этом году?
А. КУРИЛО: Мы не преследуем цель зарегламентировать деятельность финансовых институтов. Инструментов регулирования должно быть достаточно, они должны покрывать все поле деятельности, максимально исключив все возможные внешние и внутренние угрозы. На данном этапе существует множество точек риска, которые мы стремимся выявить и предотвратить. Так, вероятно, в скором времени появятся рекомендации по использованию систем криптографии. Также мы планируем доработать рекомендации по унификации активов и оценке рисков. Давно назрела необходимость разработки стандартов для единой платежной системы. Что касается стандартов для систем ДБО, то в данном случае остается неурегулированным достаточно важный вопрос – на законодательном уровне не определен регулятор, осуществляющий надзор за системами дистанционного банковского обслуживания. Если у Центрального банка появятся такие права, то будем действовать уже более определенно.
НБЖ: Сегодня системы криптографии стоят у всех банков. Почему возникла необходимость разрабатывать стандарты для этих систем?
А. КУРИЛО: В этой сфере нет глобальных проблем, но есть проблема установления ясных правил поведения. Мы планируем совместно с ФСБ выпустить рекомендации, которые будут обобщать их и наши требования и которыми мы сможем руководствоваться при проверке.
Что касается собственно криптографических средств, то они очень чувствительны в эксплуатации, а потому там нередко возникают проблемы в использовании ключа или правильного встраивания в систему.
НБЖ: Появление большого количества новых стандартов, а вместе с ними, возможно, и новых регуляторов вряд ли встретит поддержку у банковского сообщества.
А. КУРИЛО: Лучше иметь один общий регламент, чтобы регулятор мог прийти и, следуя инструкции, проверить соответствующую систему, чем множество разрозненных документов.
Не надо забывать, что, внедряя стандарты, участники рынка защищает себя не от регулятора, а от рисков в области безопасности. Конечно, не очень приятно, когда выписывается административный штраф, особенно по каким-то формальным поводам. Но надо отдавать себе отчет, что ущерб в случае возникновения инсайда, хакерской атаки, хищения денег или заражения системы вирусом может оказаться значительно большим. Нужно разделять риски и четко ориентироваться в них, тогда организация сможет обезопасить себя от большей части внешних и внутренних угроз.
Также хочу добавить, что при Банке России образован новый технический комитет ТК 122 «Стандартизация финансовых операций», председателем которого назначена заместитель Председателя Банка России Татьяна Николаевна Чугунова. Этот комитет является аналогом 68-го комитета ISO. Вся деятельность по стандартизации будет переведена в этот новый технический комитет.
НБЖ: В этом комитете будут участвовать банкиры?
А. КУРИЛО: Банкиры также смогут в нем принимать участие, именно по этой причине деятельность в рамках ТК 362 мы свернем до присутствия. Мы считаем, что правильнее сконцентрировать усилия в одном месте, тогда мы сможем выполнить больший объем работы. Если помечтать, то лет через пять мы сможем развернуть широкую деятельность с участием подкомитетов и активно участвовать в разработке новых стандартов.
НБЖ: Почему такое количество аспектов деятельности на текущий момент оказались не четко регламентированными? Это связано с молодостью банковской системы?
А. КУРИЛО: Во-первых, молодость системы. Во-вторых, весь мир переживает сейчас бум в области безопасности. И стоит справедливости ради отметить, что российская банковская система в сфере безопасности не сильно отстает от передового мирового сообщества, а кое в чем даже опережает. Иногда, правда, наша ментальность мешает нам ясно взглянуть на проблему и преодолеть ее. Но мы постепенно преодолеваем и эту психологическую преграду. Так, большой шаг вперед мы смогли сделать в ходе совместной работы над реализацией требований закона «О персональных данных».
Мы поняли, что вопросы безопасности относятся к категории научно-практических проблем, а значит, методы их решения должны быть соответствующими. Научный мир в решении подобных задач действует по определенному алгоритму: проводит исследования, организует дискуссии, диспуты, обсуждения и так далее. В итоге вырабатывается общий взгляд на заданную проблему, после чего также коллегиально разрабатывается принцип действий, рекомендации и прочее. Если мы начинаем решать задачи таким образом, то, я думаю, все получится.
Начать дискуссию