ЦБ отреагировал на прошлогодние скандалы, вызванные утечками баз данных о банковских заемщиках, и намерен проверить уровень информационной безопасности в банках. Центробанк начал рассылать в банки письма с сообщением о намерении проверить выполнение стандарта "Обеспечение информационной безопасности организаций банковской системы РФ", утвержденного распоряжением ЦБ №Р-27 от 26 января 2006 года. Письма от ЦБ уже получили банки, аудиторские компании, консультирующие банки, а также ряд IT-компаний. Ранее таких проверок, по словам участников рынка, регулятор не проводил.
Под информационной безопасностью ЦБ понимает систему мер защиты банка от утечки конфиденциальной информации, в первую очередь о клиентах. В стандарте ЦБ по информационной безопасности указывается, что наибольшими возможностями для нанесения ущерба банку обладает его собственный персонал, и приводятся конкретные рекомендации по защите от инсайда. Документ регламентирует методики моделирования угроз утечки информации, политику и систему управления информационной безопасностью, требования к программным средствам внутреннего контроля. Однако сейчас эти стандарты ЦБ носят рекомендательный характер и необязательны для исполнения.
Начиная комплексную проверку банков, ЦБ среагировал на утечки банковской конфиденциальной информации, участившиеся в последние полгода. С лета 2006 года в продаже на черном рынке стали появляться базы заемщиков–физических лиц. Источником утечки эксперты и сами банкиры называли службы безопасности банков. В 80% случаев информация из банка похищается людьми, которые там работают. В то же время эксперты в области информационной безопасности отмечают, что на практике утечки из банков гораздо значительнее и нелегальные базы данных заемщиков–физических лиц лишь малая их часть. Наибольший интерес для мошенников представляют данные по корпоративным клиентам, а отследить пропажу такой информации гораздо сложнее. При этом риски банков в случае утечки информации о корпоративных клиентах несопоставимо выше.
К грядущим проверкам Банк России готовится с начала года. В январе был разработан проект стандарта по аудиту информационной безопасности в банках (СТО БР ИББС-4.0), а также проект методики оценки уровня информационной безопасности в банках на соответствие требованиям стандарта СТО БР ИББС-1.0-2006. Эти документы были представлены для обсуждения в Ассоциацию пользователей стандартов ЦБ по обеспечению информационной безопасности организаций банковской системы РФ. После того как документы будут утверждены, ими будут руководствоваться аудиторы при проверке информационной безопасности в банках и сами сотрудники ЦБ. При этом методика проверки банков содержит перечень показателей информационной безопасности, которые будет изучать ЦБ, а также способы их оценки.
Банкиры предполагают, что проверки выявят огромные объемы утечки конфиденциальной банковской информации, в первую очередь о корпоративных клиентах. Несмотря на, казалось бы, прямую заинтересованность банкиров в качественных системах безопасности, ревизионная активность ЦБ вызывает у них резкое отторжение. По их мнению, эффективность предлагаемого стандарта неочевидна, поэтому проведение каких-либо проверок на сегодняшний день представляется по меньшей мере преждевременным. Участники рынка считают, что полная реализация стандарта потребует серьезных финансовых, временных и трудовых затрат. Стандарт переводной и слабо адаптирован к российской действительности, для его выполнения нужна совершенно иная модель делопроизводства, нежели существующая в российских банках, а, следовательно, придется перекраивать весь бизнес. По утверждению участников рынка, заинтересованность ЦБ этой ситуацией свидетельствует о намерении сделать стандарты информационной безопасности обязательными для исполнения.
ЦБ проверит уровень информационной безопасности в банках
Письма с предупреждением о грядущих проверках уже разосланы участникам рынка.
Начать дискуссию