Д. БИРЮКОВ: «От наличия стратегии ИБ напрямую зависит эффективность инвестиций кредитных организаций в обеспечение защиты своих информационных активов. В случае ее отсутствия даже самые масштабные вложения могут оказаться неоправданными».
В настоящее время наблюдается заметное обострение ряда проблем в банковском секторе, вызванное слабым инвестиционным климатом, ростом просроченной задолженности, рисками невозврата кредитов и т.п. Указанные обстоятельства побуждают топ-менеджеров актуализировать стратегии развития основных и вспомогательных направлений своего бизнеса. При этом актуальные вопросы обеспечения и повышения уровня информационной безопасности банка в них не рассматриваются. Высшее руководство кредитных организаций зачастую не осознает важности обеспечения ИБ для успешного развития своего бизнеса и, как следствие, не выделяет соответствующих ресурсов. О рисках такого пути и о том, как сохранить уже вложенные средства в ИБ и повысить ее эффективность, рассказал в интервью NBJ руководитель практики аудита и консалтинга ИБ компании «Астерос Информационная безопасность» Дмитрий БИРЮКОВ.
NBJ: Вы работаете на рынке информационной безопасности более 15 лет. Как за это время изменились требования банков к ИБ и в целом их подходы к решению подобных задач? Поделитесь, пожалуйста, Вашими наблюдениями.
Д. БИРЮКОВ: Наиболее значимым, на мой взгляд, стал выход комплекса стандартов СТО БР ИББС. Первая версия основополагающего документа СТО БР ИББС-1.0 появилась в 2004 году, она собрала воедино все требования Банка России и ряда зарубежных стандартов по обеспечению информационной безопасности. Безусловно, они носят рекомендательный характер, тем не менее подавляющее большинство кредитно-финансовых организаций в нашей стране взяли СТО БР ИББС-1.0 на вооружение и руководствуются его положениями.
За эти годы также серьезно изменились требования государственных регуляторов (ФСТЭК России и ФСБ России) в сфере защиты информации.
Еще более актуальной задачей для руководства кредитно-финансовых организаций является поиск эффективных механизмов реализации основных положений стандарта «Базель III», ужесточающего требования к капиталу банков и управлению рисками. В этом контексте важно донести до сведения руководства, что разработка и реализация соответствующей стратегии ИБ окажут весьма существенное влияние на результаты оценки и управления операционными, правовыми и репутационными рисками. Таким образом будет получен ответ на наиболее острые для службы ИБ вопросы: куда уходят деньги, каковы сроки окупаемости тех или иных решений в сфере ИБ и насколько эффективными и необходимыми для кредитных организаций являются эти решения?
NBJ: Есть устойчивое убеждение, что крупные игроки сектора разрабатывают стратегии ИБ, рассчитанные на три-пять лет, а небольшие и средние банки живут по принципу «от года к году». Насколько справедливо, с Вашей точки зрения, это умозаключение?
Д. БИРЮКОВ: Различия в подходах к обеспечению ИБ между крупными и небольшими игроками, конечно, есть. Это обусловлено многими факторами: у них разные ресурсные возможности, масштаб территориально распределенной филиальной сети, уровень зрелости бизнеса. В небольших банках до сих пор наблюдается такое явление, как сочетание различных компетенций – например, на службу автоматизации может быть возложена и задача обеспечения ИБ или служба ИБ формируется по остаточному принципу и, как правило, состоит из одного-двух сотрудников.
Однако следует понимать, что требования, которые выдвигаются государственными регуляторами, одинаковы для всех игроков банковского рынка. Поэтому поддержка руководства, грамотное стратегическое планирование, оптимальное распределение финансовых и человеческих ресурсов являются ключевыми факторами успеха в решении задач по обеспечению информационной безопасности независимо от масштаба деятельности компании.
NBJ: То есть, по Вашему мнению, на текущем уровне развития деятельность любого банка в области информационной безопасности должна основываться на стратегии. А если ее нет?
Д. БИРЮКОВ: Скажу просто: если деятельность ИБ не осознана в полной мере руководством* и не подчинена строгому плану, то обосновать затраты и, более того, обосновать само существование такой функции, как информационная безопасность, фактически нереально. Это тупиковый путь, который рано или поздно приведет к серьезным инцидентам и закончится подсчитыванием убытков.
Еще раз подчеркну: стратегия ИБ нужна для эффективного планирования и планомерного внедрения организационных и технических мер обеспечения ИБ, для обоснования выделения бюджета на ИБ (на основе утвержденной программы развития ИБ), для обеспечения этой функции необходимыми ресурсами или для привлечения внешних подрядчиков.
NBJ: Какие реперные точки должна содержать стратегия ИБ?
Д. БИРЮКОВ: На наш взгляд, стратегия ИБ определяет совокупность целей и задач, которые руководство банка ставит перед службой информационной безопасности, ИТ, отделом кадров, юристами, службой внутреннего контроля и другими структурными подразделениями, участвующими в обеспечении ИБ. Неотъемлемой частью стратегии ИБ является план реализации предлагаемых инициатив (своего рода дорожная карта) с указанием ответственных лиц, состава проектов, последовательности их реализации, сроков и стоимости. Важный момент – согласование и утверждение стратегии ИБ руководством банка. Наличие единого видения способствует повышению эффективности и результативности вложений банка в информационную безопасность. Разработка и реализация стратегии ИБ является непростой задачей, требующей всестороннего анализа и глубокой экспертизы. Именно поэтому резонным шагом для банка может стать привлечение к этому процессу внешней консультационной компании.
NBJ: Допустим, банк сделал выбор в пользу того или иного партнера-консультанта. Как строится процесс дальше?
Д. БИРЮКОВ: На основании проектного опыта создания и реализации стратегий ИБ банков каждый интегратор предлагает свой «джентльменский набор» услуг. Основную роль в степени проработки стратегии, которую вам предложат, безусловно, играет наличие соответствующих компетенций и успешных кейсов, реализованных конкретным партнером.
Согласно подходу «Астерос ИБ» под разработкой стратегии мы подразумеваем целый ряд последовательных мероприятий: комплексный аудит для оценки текущего уровня обеспечения ИБ банка, сбор информации от всех заинтересованных сторон (включая бизнес-подразделения), проведение всесторонних технических проверок, оценки рисков ИБ, проведение BIA-анализа, формирование стратегической карты, определение стратегических задач и инициатив и т.п. Безусловно, целесообразнее привлекать крупного игрока, имеющего необходимые компетенции по решению указанного выше списка нетривиальных задач.
NBJ: Что выиграет банковская служба информационной безопасности, сделав ставку на разработку и внедрение стратегии ИБ?
Д. БИРЮКОВ: Прежде всего, для службы ИБ это долгосрочная поддержка от руководства банка за счет согласования целей и задач с бизнесом в перспективе трех-пяти лет. Второй момент – обеспечение соответствия требованиям регуляторов с одной стороны и содействие достижению целей бизнеса – с другой. Третье – это правила жизни по одним законам с филиалами, так как в максимальной степени единая стратегия ИБ важна в крупных территориально распределенных банках.
NBJ: Расскажите о вашем опыте реализации подобного рода проектов.
Д. БИРЮКОВ: Используемый нами подход прошел проверку в ряде компаний разной отраслевой направленности и масштаба. Например, в одном из крупных банков нами выполнен проект по разработке и реализации стратегии совершенствования обеспечения ИБ. Выполнение проекта способствовало выделению необходимого и достаточного финансирования на длительный срок, расширению подразделения ИБ, созданию корпоративной системы управления на основе управления рисками ИБ. В контур проекта вошел головной офис и более 40 филиалов банка.
NBJ: Процесс разработки стратегии ИБ носит индивидуальный характер? Насколько он зависит от особенностей стратегии или модели бизнеса той или иной финансово-кредитной организации?
Д. БИРЮКОВ: По своему опыту я скажу, что двух одинаковых стратегий информационной безопасности нет и быть не может. Каждый банк обладает особенностями, у каждого свои внутренние взаимоотношения, своя структура бизнеса и свои задачи. Подогнать всех под одну линейку невозможно, именно поэтому мы всегда подчеркиваем необходимость комплексного подхода к разработке стратегии ИБ.
В практике «Астерос ИБ» были случаи, когда нашим клиентом становился банк с высоким уровнем зрелости информационной безопасности, а бывали и прецеденты, когда процесс разработки стратегии ИБ приходилось начинать буквально с чистого листа. Понятно, что и цена, и сроки реализации проектов сильно различались.
Другим фактором, способным оказать влияние на эти два параметра, является, как ни странно, «национальность» банковской организации. Дочерние структуры иностранных банков придерживаются корпоративной политики группы, в них работа выстраивается по единым правилам, независимо от того, работает «дочка» на российском рынке или в какой-либо другой стране. В то же время возникают ситуации, когда российское законодательство и законодательство государства, где работает материнская организация, имеют существенные расхождения. В таких случаях обеспечение симбиоза предлагаемых решений, требований законодательных и нормативных документов, особенностей видения бизнеса и деятельности по обеспечению ИБ в иностранном банке является первоочередной задачей.
________________________________________________________________
* В действующей «Методике оценки соответствия ИБ организаций банковской системы РФ требованиям СТО БР ИББС-1.0-2014» один из трех важнейших показателей ИБ именуется EV3 – оценка степени выполнения требований СТО БР ИББС-1.0 по направлению «уровень осознания ИБ организации». Как показала практика реализации требований СТО БР ИББС-1.0-2014, в большинстве банков решающим фактором успеха является именно уровень осознания председателем кредитной организации целей, задач, основных требований и решений по обеспечению ИБ, изложенных в стандарте Банка России.
Начать дискуссию