Алексей Доля: Все упирается в Стандарт Банка России по ИТ-безопасности
CNews: В чем вы видите специфику обеспечения информационной безопасности в российских банках? Алексей Доля: Прежде всего, в зарегулированности. Сегодня требования к ИБ в российских банках предъявляют «Центробанк», ФСБ, ФСТЭК и «Россвязьнадзор». Кстати, именно на «Россвязьнадзор» возложены функции по претворению в жизнь ФЗ «О персональных данных». Кроме того, банки постоянно испытывают проблемы с внутренней ИБ. Исследование компании InfoWatch, в ходе которого было опрошены более 300 российских банков, показало, что 44% респондентов в 2006 году допустили минимум одну утечку конфиденциальной информации. Более того, 22% банков допустили более 5 таких утечек. Таким образом, нормативные акты и утечки — две основные проблемы банков. Именно с зарегулированностью и внутренними нарушителями сегодня борются службы ИБ. CNews: Какие нормативные акты можно выделить в банковской сфере? Алексей Доля: Нормативных актов тоже достаточно много, но я полагаю, что наибольшее внимание банков сегодня сосредоточено на Стандарте Банка России по ИБ, приближающемся соглашении Basel II и уже принятом ФЗ «О персональных данных». CNews: Каким образом можно, по вашему мнению, наиболее эффективно решить проблемы с зарегулированностью и внутренними утечками? Алексей Доля: Наиболее правильное решение — внедрить Стандарт Центробанка по ИБ. Это позволит решить как проблемы нормативного давления со стороны Банка России, так и минимизировать риски внутренней ИБ. Например, пункт 5.4 Стандарта ЦБ по ИБ гласит: «Наибольшими возможностями для нанесения ущерба [организации] … обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Другими словами, полноценное внедрение Стандарта Банка России по ИБ позволяет снизить угрозу утечки конфиденциальной информации. CNews: Насколько дорогим может стать, на ваш взгляд, внедрение Стандарта ЦБ по ИБ? Алексей Доля: Все зависит от масштаба банка. Но в целом по отрасли сложилось неверное мнение, что внедрение Стандарта Банка России по ИБ потребует закупки огромного количества программного или аппаратного обеспечения, что влетит банку в копеечку. Отнюдь, Стандарт ЦБ — это, прежде всего, стандарт менеджмента ИБ. Он требует принятия в первую очередь организационных мер (вовлеченность в процесс обеспечения ИБ руководства, написание политик). Лишь на заключительном этапе требуется внедрить критически важные продукты, если у банка их еще нет. Например, пункт 8.2.6.4 гласит: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». С одной стороны здесь банку придется внедрить специальный продукт, а с другой — это общепринятая мировая практика: собирать и хранить все электронную корреспонденцию. CNews: Насколько соотносится с внутренними угрозами Соглашение Basel II? Алексей Доля: Если немного упростить цепочку, то Basel II предъявляет требования к управлению операционным риском, в состав которого входят угрозы ИБ, а следовательно, инсайдеры и утечки. Согласно соглашению Basel II, финансовые организации обязаны рассчитать кредитные, рыночные и операционные риски с целью обеспечения резервного капитала, достаточного для покрытия таких рисков. Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Таким образом, в операционные риски попадают, прежде всего, действия инсайдеров (кража конфиденциальной информации, мошенничество, халатность и безалаберность) и компьютерные угрозы (несанкционированный доступ, вредоносные коды и т.д.). Исследование компании InfoWatch «Соглашение Basel II в России 2006: операционные риски — основная проблема банков» показало, что среди всех операционных рисков наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, так как банки традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35%) и персоналом (который представляет основную угрозу — так считает 91% респондентов). CNews: Каким образом банкам лучше всего организовать управление операционным риском в рамках Basel II? Алексей Доля: Все упирается в Стандарт Банка России по ИТ-безопасности. Чтобы управлять львиной долей операционных рисков — а это как раз и есть угрозы ИБ — следует внедрить Стандарт ЦБ. Банк России отнюдь не случайно разработал и принял Стандарт по ИБ, а теперь так активно его продвигает. До 2009 года осталось немного, а Стандарт ЦБ как раз и является той дорожной картой, которой следует руководствоваться, если банк хочет эффективно вписать в рамки Basel II в плане операционного риска. CNews: ФЗ «О персональных данных» тоже упирается в Стандарт Банка России по ИБ? Алексей Доля: Абсолютно верно. Внедрив Стандарт ЦБ, банк обеспечит конфиденциальность персональных данных. Это и есть основное требование ФЗ. Вообще, очень сложно понять банки, которые сейчас внедряют ISO 27001 или что-нибудь похожее, а также системных интеграторов, которые навязывают банкам какие-то другие стандарты. Зачем это банку? Ведь все ответы содержатся именно в Стандарте Банка России по ИБ. Причем кроме него, «Центробанк» вряд ли признает какой-нибудь другой стандарт. CNews: Чем завершается процесс внедрения Стандарта Банка России по ИБ? Алексей Доля: Прохождением процедуры оценки соответствия. Здесь очень важно, чтобы банк не просто говорил, что он внедрил Стандарт, а реально прошел оценку. Для этого можно обратиться в Сообщество ABISS. В его состав входят организации, у которых есть соответствующие полномочия. А уже после прохождения оценки, результаты будут вывешены на сайте Банка России. Этими результатами следует руководствоваться, чтобы повысить эффективность своей системы ИБ, так как безопасность — это процесс, над которым надо постоянно работать. Однако тот факт, что Ваши результаты висят на сайте Банке России, уже говорит о многом. Сейчас на сайте ЦБ есть оценки только «Внешэкономбанка» и «Метробанка». Этого, конечно, мало. CNews: С чего банку следует начать внедрение Стандарта ЦБ по ИБ? Алексей Доля: Во-первых, зайти на специальный раздел сайта Банка России, где собраны стандарты и рекомендации. Во-вторых, вступить в Сообщество ABISS, что автоматически повлечет с собой начало работы по внедрению Стандарта. CNews: Спасибо. |
О зарегулированности банковского сектора и проблемах с внутренней информационной безопасностью в интервью CNews рассказывает Алексей Доля, руководитель аналитического центра InfoWatch.
