|
|
|
Регулирование банковского сектора в сфере ИБ
Сегодня российским банкам необходимо иметь в виду два основных нормативных акта, регулирующих процессы информационной безопасности. Это соглашение Basel II и стандарт «Центробанка» по ИТ-безопасности. Хотя до вступления в силу Basel II остается еще 3 года, а стандарт Банка России носит лишь рекомендательный характер, именно от того, какие стратегические цели по этим нормативным актам банки заложат сегодня, зависит их конкурентоспособность завтра.
Соглашение Basel II
Соглашение BaselII («Международная конвергенция измерения капитала и стандартов капитала: новые подходы») было принято в 2004 году странами «большой десятки» (Великобритания, США, Франция, Германия, Швейцария, Нидерланды, Люксембург, Япония, Бельгия и Канада). Данный нормативный акт предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие.
Реализация базовых принципов Basel II требует коренного пересмотра применяемых сегодня подходов в области банковского управления. В частности, одна из парадигм BaselII подразумевает создание комплексной системы управления рисками в каждом банке. От эффективности той системы, которую реализует каждый банк к 2009 году, зависит его конкурентоспособность на долгие годы вперед. Так, чем более точно организация способна оценить будущие операционные, кредитные и рыночные риски, тем меньше капитала ей необходимо резервировать на покрытие этих рисков. Следовательно, в распоряжении банка остается больше пригодных для инвестиций средств, что дает ему непосредственное преимущество по сравнению с теми компаниями, которые вынуждены оценивать свои риски «с запасом» — менее точно. Вдобавок, по мнению InfoWatch, уже реализовавшей несколько проектов соответствия предприятий соглашению BaselII, более точная методика управления рисками может существенно улучшить репутацию любой финансовой организации. С этим действительно сложно поспорить, так как использование более эффективной системы управления рисками явно свидетельствует о силе банка. Кроме того, надзорный орган и рейтинговые агентства обязательно будут следить за типом методик оценки рисков, применяемых в кредитных организациях — так что о более точной системе конкретных банков очень быстро узнает все финансовое сообщество.
В отличие от соглашения BaselI, принятого еще в 1988 году, вторая итерация этого нормативного акта требует от банков учитывать не только рыночные и кредитные риски, но еще и операционные. При этом точная дефиниция этого вида рисков дана в пункте 644 соглашения Basel II, где они определяются как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический риск и риск, связанный с репутацией. Таким образом, в состав операционных рисков, очевидно, попадают угрозы ИТ-безопасности. Более того, авторы соглашения BaselII отдельно выделили противоправные действия инсайдеров (служащих банка), которые с учетом высокой степени информатизации современной банковской среды сводятся к утечке, краже, искажению или уничтожению конфиденциальной и чувствительной информации (финансовой отчетности, приватных данных, информационных активов и т.д.).
Суммируя все вышесказанное, можно сделать следующие выводы. Во-первых, угрозы ИТ-безопасности в целом и особенно инсайдерские атаки являются неотъемлемой частью операционных рисков банка. Во-вторых, в рамках соглашения BaselII кредитные организации обязаны реализовать систему управления операционными рисками, а в виду обязательности BaselII это должно быть сделано к 2009 году. В-третьих, от эффективности метода оценки операционных рисков зависит конкурентоспособность банка, так как более точные методики позволяют высвободить больше капитала. Наконец, в-четвертых, эффективная система защиты от инсайдеров и других угроз позволяет минимизировать риски ИТ-безопасности и, следовательно, существенно снизить величину операционных рисков банка. Таким образом, чтобы подойти к 2009 году во всеоружии кредитным организациям необходимо работать над реализацией положений BaselII уже сегодня.
Стандарт «Центробанка» по ИТ-безопасности
26 января 2006 года «Банк России» ввел в действие вторую версию своего стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0–2006). Данный стандарт предъявляет жесткие требования к системе ИТ-безопасности кредитно-финансовых организаций для повышения эффективности управления операционными рисками. Ознакомиться со стандартом можно в Вестнике Банка России № 6 (876) от 03.02.06.
В разработке этого нормативного документа приняли участие организации, входящие в состав Подкомитета № 3 «Защита информации в кредитно-финансовой сфере» Технического комитета № 362 «Защиты информации» Федерального агентства по техническому регулированию и метрологии. Сразу после принятия стандарта было образовано Сообщество ABISS (Association for; Banking Information Security Standards). В него вошли компании, принимавшие активное участие в разработке нового стандарта, такие как «Андэк», ГНИИИ ПТЗИ ФСТЭК России, KPMG, «Линс-М», НПФ «Кристалл», Ernst&Young, которые теперь ставят своей целью продвижение этого нормативного документа в российской банковской среде.
С момента выхода первой версии стандарта (СТО БР ИББС-1.0 2004) прошло чуть больше года. В течение этого времени «Банк России» испытывал новые нормативные положения на своих территориальных отделениях. Также инициативу проявили несколько коммерческих банков, решивших по собственной воле испробовать стандарт на себе. Таким образом, ряд положений стандарта удалось уточнить, что нашло свое отражение в новой итерации этого нормативного акта.
С профессиональной точки зрения стандарт ЦБ по ИТ-безопасности считается не просто шагом вперед, а целым прыжком. Он объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Свое место в стандарте нашли технологии оценки угроз и уязвимостей, подход к управлению рисками OCTAVE и некоторые положения британской методологии оценки информационных рисков CRAMM.
Структура стандарта ЦБ РФ по ИТ-безопасности
|
Глава
|
Основные положения
|
|
1. Область применения
|
Стандарт распространяется на все коммерческие банки и Банк России. Все требования носят рекомендательный характер.
|
|
2. Нормативные ссылки
|
Приведены ссылки на документы ГОСТ, ISO/IES и т.д.
|
|
3. Термины и определения
|
Объяснены основные термины ИТ-безопасности и управления рисками
|
|
4. Обозначения и сокращения
|
Приведены основные сокращения, встречающиеся в стандарте
|
|
5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций Банковской Системы РФ (БС РФ)
|
Основная глава стандарта. Вводится модель противоборства собственника и злоумышленника, указывается необходимость управления рисками и построения модели угроз. Важная роль отводится политики ИТ-безопасности. Делается акцент на процессный подход к системе управления ИТ-безопасностью.
|
|
6. Основные принципы обеспечения информационной безопасности организаций БС РФ
|
Объясняются такие принципы, как адекватность, контролируемость и эффективность защитных мер.
|
|
7. Модели угроз и нарушителей информационной безопасности организаций БС РФ
|
Указаны основные требования, которым должна удовлетворять такая модель, и даны рекомендации для ее построения.
|
|
8. Политика информационной безопасности организаций БС РФ
|
Указан состав и назначение политики, приведены общие требования к различным положениям политики (защита от вирусов, разделение ролей, управление доступом, использование криптографии и т.д.). В частности указано, что банки должны создавать архивы электронной корреспонденции, бороться со спамом и предотвращать хакерские атаки.
|
|
9. Система менеджмента информационной безопасности организации БС РФ
|
Приведены рекомендации по планированию, реализации и эксплуатации системы управления ИТ-безопасности. Уделено внимание вопросам совершенствования и документирования системы.
|
|
10. Проверка и оценка информационной безопасности организации БС РФ
|
Указаны необходимость проведения внутреннего и внешнего аудита и рекомендации по его проведению.
|
|
11. Модель зрелости процессов менеджмента информационной безопасности организации БС РФ
|
Описаны шесть уровней зрелости. Рекомендуемым является уровень не ниже четвертого. Ему уделено основное внимание.
|
|
12. Направления развития стандарта
|
Указана возможность расширения и уточнения положений стандарта при накоплении опыта его эксплуатации
|
Среди конкретных положений стандарта ЦБ можно отметить ориентацию на решение проблемы инсайдеров — именно они ставятся во главу угла. Так, пункт 5.4 гласит: «Наибольшими возможностями для нанесения ущерба [организации] … обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Чтобы минимизировать инсайдерские риски, «Банк России» требует обеспечить всесторонний контроль над обращением конфиденциальной информации внутри корпоративной среды.
Несмотря на четко выраженный фокус в решении проблемы инсайдеров, стандарт «Центробанка» по ИТ-безопасности охватывает и внешние угрозы. Данный нормативный акт требует от банков наличия антивирусной защиты, фильтрации спама, использования шифрования для защиты от несанкционированного доступа и т.п. Отдельным пунктом стоит отметить необходимость создания специального архива электронной корреспонденции. В нем должны быть реализованы возможности проведения ретроспективного анализа, а соответствующие механизмы безопасности должны поддерживать аутентичность хранимых сообщений.
Отметим, что сегодня стандарт ЦБ носит рекомендательный характер — его положения могут применяться только на добровольной основе. Таким образом, целесообразно рассмотреть основные стимулы к внедрению положений данного нормативного акта в российских банках.
Основные стимулы к реализации стандарта ЦБ в российских банках
|
№
|
Стимул
|
Расшифровка
|
|
1
|
Банк получает эффективную
и управляемую систему
ИТ-безопасности
|
Таким образом, банк минимизирует ущерб в результате успешной реализации внутренних и внешних угроз ИТ-безопасности, а также гарантирует непрерывность бизнес-процессов
|
|
2
|
Банк получает эффективную систему управления операционными рисками
|
Угрозы ИТ-безопасности являются неотъемлемой частью операционных рисков. Следовательно, банк, построивший эффективную систему ИТ-безопасности в соответствии со стандартом СТО БР ИББС-1.0-2006, решает этим львиную долю проблем, связанных с управлением операционными рисками.
|
|
3
|
Банку проще обеспечить совместимость с
соглашением BaselII
|
Реализация положений стандарта ЦБ позволяет организовать эффективное управление операционными рисками, требуемое соглашением Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы»), к которому Россия намерена присоединиться в 2009 году. Таким образом, кредитно-финансовые организации, планирующие снизить величину резервных отчислений по операционным рискам и упростить процесс обеспечения совместимости с Basel II, получат преимущество, если реализуют положения стандарта ЦБ в своей компании.
|
|
4
|
Банк улучшает и защищает
свой имидж
|
Привлекательность в глазах партнеров и клиентов, а также незапятнанность репутации очень важны для каждого банка. Стандарт ЦБ позволяет избежать инцидентов, которые ухудшают имидж банка, а сам факт совместимости с добровольным, но жестким стандартом «Центробанка» служит хорошим доводом в пользу сотрудничества с такой финансовой организацией.
|
|
5
|
Банк может повысить
свою цену при слияниях
и поглощениях
(а также в рамках IPO и IR)
|
Слияния и поглощения, выход на иностранные фондовые рынки (IPO), эффективная стратегия для общения с инвесторами (IR) — все эти пункты связаны с привлечением средств извне и требуют от банка быть максимально привлекательным. Причем наиболее эффективный способ улучшения своего имиджа в данном контексте связан именно со стандартизацией.
|
|
6
|
Банк может повысить свою привлекательность в глазах иностранных инвесторов и партнеров
|
Для признания банка на международных рынках (без использования процедуры IPO) российским банкам требуется максимально улучшать свои формальные показатели, одним из которых является совместимость со стандартом «Центробанка» по ИТ-безопасности.
|
Несмотря на добровольный характер стандарта, ряд факторов указывают на то, что в скором времени он может перейти в разряд обязательных для исполнения. Среди них развитие и ужесточение российского нормативного регулирования, тенденции развития мировых финансовых рынков и отношение национальных банков к стандарту ЦБ.
Суммируя все вышесказанное, можно уверенно утверждать, что стратегические планы каждого конкурентоспособного банка должны включать проекты по обеспечению совместимости со стандартом «Банка России» по ИТ-безопасности. Во-первых, реализация положений стандарта сулит целый ряд выгод: эффективное управление системой ИТ-безопасности и, следовательно, операционными рисками, улучшение и защита имиджа организации и т.д. Во-вторых, в связи с вступлением в силу в 2009 году соглашения BaselII, в обязательности которого не приходится сомневаться, каждому банку так или иначе придется создать систему управления операционными рисками. При этом рекомендации «Центробанка», изложенные в стандарте, показывают, как это сделать максимально эффективно. В-третьих, сам стандарт «Банка России» легко может стать обязательным. По крайне мере, большая часть рынка (72 %) видит это уже через четыре года (см. исследование «Стандарт Центробанка по информационной безопасности: регулятор воспитывает банки»). Таким образом, проблема совместимости со стандартом «Банка России» по ИТ-безопасности превращается в вопрос конкурентоспособности и выживания кредитно-финансовой организации.
Стандарт «Центробанка» по ИТ-безопасности задает тот вектор, которого должны придерживаться российские банки, если они хотят построить максимально эффективную систему безопасности, обеспечить оптимальное управление операционными рисками и существенно упростить процесс достижения совместимости с соглашением BaselII. Именно в рамках стандарта «Банка России» кредитным компаниям необходимо реализовывать проекты в сфере ИТ-безопасности. Причем именно от того, какое место в стратегических планах каждого российского банка займет совместимость с BaselII и стандартом ЦБ сегодня, зависит конкурентоспособность этой кредитной организации завтра.
Денис Зенкин / для CNews Analytics
|
|
