В середине 2014 года Банк России выпустил обновленный стандарт по ИБ (СТО БР ИББС), скорректированный с учетом изменений в законодательстве о персональных данных. Среди основных целей стандартизации – установление единых требований по обеспечению информационной безопасности организаций банковской системы Российской Федерации, повышение доверия к банковской системе и поддержание ее стабильности, достижение адекватности мер защиты реальным угрозам ИБ. Руководители ИБ-управлений и профильных департаментов банков высоко оценивают работу регулятора рынка по унификации требований. В то же время абсолютное соответствие требует значительных затрат, что сомнительно в случаях, когда речь идет о небольших организациях. Впрочем, сам регулятор ранее пояснял, что рекомендации ЦБ позволяют банкам оценить риски для их бизнеса. Полное соблюдение стандарта – достижимая цель только для крупных и средних игроков.
Рискам информационной безопасности, особенно в кризисные периоды, банки уделяют ровно столько внимания, сколько того требует объективная реальность для каждой отдельной организации. Но какой бы удобной ни была система платежей, в случае если она уязвима для кибератак, потеря интереса клиентов гарантирована. Вопросы информационной безопасности давно обрели всеобщий характер, поскольку затрагивают интересы каждого. Поэтому сегодня многие руководители ответственно подходят к вопросам защиты информации, и в этом смысле стандарт Банка России по ИБ только в помощь, поскольку создает единый подход к обеспечению защиты данных.
По сведениям МВД России, в 2014 году на территории РФ было зарегистрировано 11 000 преступлений, связанных с мошенничеством в Интернете и информационной среде. Как и в прежние годы, основным мотивом киберпреступлений является получение материальной выгоды. По словам начальника бюро специальных технических мероприятий МВД России Алексея Мошкова, в среде правонарушителей в качестве средства для получения конфиденциальной информации широко используются мобильные платформы с применением вредоносных программ для хищения средств с банковских счетов при помощи систем мобильного банка. «Складывающаяся ситуация представляет серьезную угрозу, дискредитирует сетевой бизнес и подрывает доверие пользователей к электронным платежам», – заявляет Алексей Мошков.
Комплекс документов СТО БР ИББС носит рекомендательный характер, представляя собой набор лучших практик, выработанных Центробанком совместно с остальными госрегуляторами (ФСБ России, Роскомнадзор и др.) и самими кредитными организациями.
Тем не менее большое количество руководителей ИБ-управлений банков не спешат с внедрением требований стандарта, поскольку он добровольный и, по словам экспертов, содержит ряд минусов. Некоторым участникам рынка пришлось оптимизировать затраты на информационную безопасность в новых экономических условиях, так как в кризисный период на первый план выходят другие риски. Остальные участники рынка придерживаются курса на выполнение рекомендаций регулятора, проводя соответствующие аудиты, поскольку иных комплексных подходов на сегодняшний день в Российской Федерации не существует.
Начальник отдела информационной безопасности МОСОБЛБАНКа Алексей Ермаченков считает, что стандарт Банка России нуждается в обновлении, что связано с несколькими факторами. «Дело в том, что в стандарте предусматривается наличие не одного документа политики информационной безопасности, а множества, – поясняет эксперт. – С другой стороны, в прежнем, более компактном наборе документов устанавливалась возможность уменьшения количества защитных мер, то есть их эффективность повышается за счет этого. СТО БР ИББС увеличивает количество различных точек контроля (защитных мер), но при этом уделяет мало внимания качеству их реализации. Поэтому, на мой взгляд, внедрять политику ИБ согласно такому количеству требований очень затратно».
Между тем изменение стандарта – это прерогатива не Банка России, а Комитета по стандартизации, замечает Алексей Ермаченков. Стандарт создавался как компиляция разных документов, и теперь, когда банки уже серьезно вложились в его внедрение (провели оценки соответствия, выстроили определенные защитные меры), изменения и отмена части защитных мер вызовут у собственников банков вопрос: как та или иная защитная мера появилась, если потом выяснилось, что она не очень эффективная? Исходя из этого Комитету по стандартизации и Центробанку (который рекомендует Стандарт и предлагает к нему присоединяться) довольно тяжело вносить какие-либо серьезные концептуальные изменения. На текущий момент это представляет серьезную проблему.
В то же время в МОСОБЛБАНКе, как и в ряде других кредитных организаций, от планов по соответствию стандарту отказываться не собираются. «Пусть мы его и критикуем, но альтернативы просто не существует. Поэтому его можно и нужно обсуждать, чтобы он развивался, – считает Алексей Ермаченков. – Однако требуемый Центробанком уровень соответствия стандарту, с моей точки зрения, несколько завышен. Возможно, целесообразно несколько изменить методику оценки, сделать ее более гибкой, поскольку многие защитные меры, которые эффективны для мелких игроков, в крупных не работают, и наоборот. Ведь в России кредитные организации пока достаточно разнообразны».
Начальник управления информационной безопасности M2M Прайвет Банка Сергей Козлов видит основную сложность в большом количестве требований стандарта, которые не всегда соответствуют возможностям и интересам организаций. «Требования ориентированы на крупные банки – небольшим игрокам тяжело обеспечить соответствие нормативам из-за нехватки ресурсов. Смягчение этих требований и возможность проявлять большую самостоятельность с учетом риск-ориентированного подхода повысит практическую эффективность и привлекательность стандарта для организаций банковской системы России, – замечает эксперт. – В то же время стоит отметить безоговорочное преимущество стандарта в части установления единых требований по обеспечению информационной безопасности банков с учетом отраслевой специфики, на основе мирового и отечественного опыта в сфере управления информационной безопасностью. При должном их выполнении это позволяет организациям соответствовать многочисленным требованиям различных регуляторов в рамках одной системы обеспечения информационной безопасности».
И все же при наличии комплексного подхода, единого рецепта по стратегии информационной безопасности на основе стандарта Банка России, должен иметь место и персональный подход. «Политика ИБ должна формироваться каждый раз индивидуально под каждую организацию в зависимости от уровня ее зрелости и бизнес-процессов», – считает начальник управления ИБ СМП Банка Павел Головлев.
Начать дискуссию