Отрасль разрастается

ИЗДЕРЖКИ РОСТА

Ежегодный главный отраслевой форум проходил в привычном месте − под Магнитогорском, в формате, уже ставшем традиционным. На рабочую неделю лицом к лицу оказались представители всех ведущих участников отрасли: государственных надзорных и регулирующих органов, некоммерческих отраслевых партнёрств, кредитно-финансовых учреждений и поставщиков решений, а также инфраструктуры − учебных заведений, организаторов деловых мероприятий и специализированных периодических изданий.

Рынок услуг по информационной безопасности банков продолжает расти, на него приходят всё новые и новые игроки. Увеличивается количество поставщиков услуг, оборудования и комплексных решений − консультантов, аудиторов, вендоров. Расширяется спектр предлагаемых решений, повышается качество поставок и эффективность и выполнения работ. Целостно сложилась и развивается отраслевая инфраструктура, на которую успешно выводятся новые услуги и субъекты.

Рост информационно-коммуникационной сферы − важнейшая тенденция современного научно-технического прогресса. В том числе таких важных направлений как электронное правительство, оказание государственных услуг в электронной форме и универсальная электронная карта. Аналогичное продвижение наблюдается и в кредитно-финансовой сфере России, что сопровождается увеличением разнообразных угроз и возможного ущерба.

Интенсивно развиваются информационно-коммуникационные технологии, появляются новые расчётные инструменты и новые субъекты платежной системы. Наряду с положительными тенденциями этот процесс, к сожалению, сопряжен и с новыми рисками и «болезнями роста». Широкое внедрение безналичных платежей, электронных денег и дистанционных расчётов сопровождается с высокими рисками мошенничества и криминальных покушений. Возрастает актуальность проблематики информационной безопасности, защиты сотен миллионов финансовых операций и транзакций.

В БОЕВЫХ УСЛОВИЯХ

В таких условиях важно совершенствовать комплекс мер, технологий и механизмов обеспечения стабильности и бесперебойности функционирования платёжной инфраструктуры в Российской Федерации. Выступавшие были едины во мнении, что их профессиональная работа − своеобразный «момент истины». Юридические нормы, требования стандартов, организационные и технические решения, квалификация специалистов проверяются не умозрительно, и даже не на ринге с известным партнёром по спаррингу по установленным правилам, а, можно сказать, в боевых условиях.

В жизни происходит борьба с реальными кибер-преступниками, для которых и писаный закон − не закон. Как остроумно заметил начальник управления информационной безопасности департамента безопасности ОАО «Сбербанк России» С.Н. Бондарев,  наши дни на роль вездесущего незримого соглядатая, «Большого Брата», претендуют не всесильные спецслужбы, а преступные сообщества с участием хакеров. Специалистам по информационной безопасности банков предстоит модернизировать системы управления рисками и защиты российской кредитно-финансовой системы.

Центральным, смыслообразующим на форуме был доклад ключевого субъекта отрасли, главного регулятора – Банка России -  о текущих результатах реализации отраслевого подхода в обеспечении информационной безопасности национальной банковской системы Российской Федерации. А.П. Курило, заместитель начальника ГУБЗИ Банка России, обстоятельно поведал обо всех перипетиях, связанных с использованием банками отраслевого стандарта, о перспективах и различных аспектах превращения его требований из рекомендательных в директивные.

К ТОЧКЕ НАСЫЩЕНИЯ

Другой сотрудник Банка России В.П. Харламов, начальник отдела методологии обеспечения безопасности информационных ресурсов, привёл статистику опроса банков по принятию и внедрению отраслевого стандарта информационной безопасности, полученную по Москве − центру и средоточию финансовой жизни страны. В нём участвовали 70% банков. 66% опрошенных приняли или планируют принять отраслевой стандарт, всего можно ожидать, что доля «согласных» составит 70-80%.

Первопроходцы и флагманы − такие ведущие крупные банки как ОАО «Газпромбанк», ОАО «Россельхозбанк», АКБ «Абсолют Банк» (ЗАО), к ним планируют присоединиться ОАО «АЛЬФА-БАНК» и ОАО Банк «Петрокоммерц». Количество пользователей стандарта Банка России росло с ускорением, но, возможно, близка «точка насыщения».

Участниками форума всецело одобрены предложения по реализации отраслевого подхода к решению вопросов обеспечения информационной безопасности на основе СТО БР ИББС. В итоговом документе III Межбанковской конференции отмечены положительные результаты внедрения в банковской комплекса требований стандарта информационной безопасности, разработанного Банком России. Более того: признано целесообразным учитывать эти нормы при заключении банками договоров с контрагентами, в том числе клиентами.

НАЗИДАНИЕ «ОТКАЗНИКАМ»

На другом полюсе, «в отказе» остаются 5-10%, как правило, небольших банков. Там жалуются, что выполнение требований отраслевого стандарта информационной безопасности для них «непосильно дорого». Предостережением для банков, уделявших недостаточное внимание информационной безопасности, вполне может служить эмоциональное выступление представителя Банка России И.М. Гвоздева. Начальник главного центра ключевой информации электронных систем привёл несколько свежих примеров крайне неприятных инцидентов этой сфере.

Налицо разгадываемые парадоксы: по мере увеличения доли банков, принимающих отраслевой стандарта информационной безопасности, растёт доверие к низким результатам оценки либо самооценки соответствия его требованиям. Опыт первопроходцев, в том числе Банк «Возрождение» (ОАО),  показывает: «сами собой» ни отраслевой стандарт, ни требования регуляторов выполняться не будут.

Минимальный срок на доведение до ума системы информационной защиты три года при затратах от менее 1 млн. до 5-10 млн. рублей в год. Таким образом, общий бюджет банков на выполнение требований стандарта информационной безопасности по России может достигать 1 млрд. рублей в год.

РАСШИРЯЯ УНИВЕРСАЛЬНОСТЬ

В выступлениях отмечалось, что последняя редакция отраслевого стандарта, лета 2010 года, универсально применима для обеспечения безопасности персональных данных и платёжных систем. Сравнительный анализ требований стандартов Банка России и международных ISO/IEC JTC 1/SC 27 показывает отсутствие принципиальных противоречий.

По мере расширения использования комплекса БР ИББС не прекращается работа по его дальнейшему совершенствованию, учитывая международный опыт. Участники конференции решили предложить Банку России более полно учитывать в формулировках отраслевого стандарта требования стандарта PCIDSS, а также позитивный опыт реализации механизмов саморегулирования при оценке соответствия требованиям стандартов безопасности, зафиксированный PCISecurityStandardsCouncil.

Также Банку России рекомендовали более полно учитывать опыт международных платежных систем в частности методологию проверки соответствия банков указанным требованиям консультациями с международными платежными системами, в частности с «VISAInternational».

ЗАКОНОТВОРЧЕСКОЕ ИЗОБИЛИЕ

Много внимания было уделено совершенствованию законодательной, нормативно-правовой базы обеспечения информационной безопасности в областях национальных проектов, защиты персональных данных, использования цифровой подписи и формирования национальной платёжной системы. В докладах, выступлениях, репликах с мест и прениях затрагивались самые разнообразные правовые аспекты функционирования отрасли.

Прозвучала озабоченность непомерными объемами работ, которых требует полная реализация требований Федерального закона от 27 июня 2006 №152-ФЗ «О персональных данных». Участники форума решили просить Банк России, Роскомнадзор, ФСБ России и ФСТЭК России ускорить процесс согласования требований ведомственных документов, регламентирующих организацию и контроль приведения информационных систем персональных данных в соответствие с требованиями законодательства.

Поражало изобилие конструктивных законотворческих новаций. В частности, отмечено, что перспективы полноценного применения электронной подписи востребуют разработку типовых требований к информационным системам кредитных организаций. Сетовали на отсутствие четкой нормативной базы и проблемы обеспечения безопасности дистанционного банковского обслуживания.

Говорили о необходимости внесения в Уголовный кодекс РФ согласованных с Управлением «К» МВД России изменений, касающихся признаков классификации мошеннических действий в платежных технологиях, включая дистанционного банковского обслуживания. В выступлении представителя ОАО «Россельхозбанка» прозвучала озабоченность, связанная с отсутствием в нормативной базе государства и Банка России однозначных критериев и определенного алгоритма действий, позволяющих приостанавливать операции по счетам, на которые выводятся похищенные в системах дистанционного банковского обслуживания финансовые средства. Эта озабоченность была поддержана участниками конференции из других кредитных организаций и представителями правоохранительных органов.

ПРОВЕРЯЮЩИЕ НЕДОВОЛЬНЫ

Современный этап развития отрасли характеризуется, с одной стороны, можно назвать «временем кнута» − ужесточения государственными регуляторами предъявляемых требований, а также надзора и контроля. Яркими свидетельствами тому стали два ключевых доклада о результатах проверок банков согласно административному регламенту государственного контроля защиты персональных данных.

В перечне недостатков, отмеченных начальником управления Роскомнадзора по защите прав субъектов персональных данных Л.Б. Васильевой и представителем ФСБ России С.Л. Акимовым − отсутствие учёбы и повышения квалификации, нехватка квалифицированных специалистов по криптозащите, недостатки при эксплуатации криптосредств и изъяны аутсорсинга.

Не отрицая отмеченных упущений, сотрудники структур информационной безопасности банков выдвинули встречные претензии. В частности, относительно чрезмерной стоимости сертификации средств криптографической защиты, отстаивали право выбирать оборудования по собственному усмотрению. «Пряником», который в той или иной мере уравновешивает «кнут», стали перспективы использования в сфере информационной безопасности российской банковской системы механизмов саморегулирования.

РЕГУЛИРУЕМ САМИ

Доклад секретаря Совета Сообщества ABISS П.В. Гениевского о реорганизации этой организации в некоммерческое партнерство с дальнейшей регистрацией саморегулируемой организации вызвал неподдельный интерес всех участников конференции. Новый статус позволит новорождённой СРО разрабатывать и продвигать профессиональные стандарты и контролировать качество информационной безопасности.

Рассматривались и вопросы развития отраслевой инфраструктуры. Научные аспекты информационной безопасности банков рассмотрели в своих докладах научный руководитель института, заместитель директора по научно-исследовательской работе ФГУП ВНИИПВТИ В.А. Конявский и заместитель директора по научной работе Института проблем информатики РАН В.И. Будзко.

Кроме использования в перспективе преимуществ саморегулирования, на конференции изрядно «нагрузили» работой традиционные бизнес-сообщества, в первую очередь Ассоциацию российских банков − АРБ. Ассоциации предстоит совершенствовать работу своего Консультационного центра, который помогает заказчиков и разработчиков прикладных банковских систем быть в курсе новаций в области обработки и защиты персональных данных.

Именно АРБ конференция поручила совместно с Банком России и правоохранительными органами разработать схему оперативного взаимодействия для предотвращения инцидентов в сфере дистанционного банковского обслуживания.

ВСЕМ МИРОМ ПРОТИВ ХАКЕРОВ

Предстоит создать и отработать механизмы межбанковского взаимодействия, для начала − обмена информацией, в том числе технической, а для сотрудников подразделений информационной безопасности банков − в режиме on-line. Такая система обеспечит возможность не только оперативно оповещать банки о сомнительных операциях, но и незамедлительно реагировать при подтверждении подозрений на хищение. В качестве начала такой работы в рамках комитета АРБ по информационной безопасности уже действует список рассылки с информацией по так называемым «дроперам».

Сотрудничество банков в сфере информационной безопасности должно быть регламентировано и документировано. Будут подготовлены типовые рекомендации по порядку проведения служебных проверок инцидентов связанных с попытками противоправных действий, в том числе для клиентов. Процесс разработки, в котором АРБ примет непосредственное участие, и внесения изменений в ряд законодательных актов займёт некоторое время.

Много внимания было уделено потребности разработки образовательных стандартов на базе Комплекса БР ИББС и PCIDSS. Говорилось о необходимости не только обучать специалистов по информационной безопасности кредитно-финансовой сферы, но и отрабатывать формы их взаимодействия. Актуальность этой проблемы не раз подтверждали выступавшие на форуме представители банковского сообщества.

Среди моментов, которые оживляли работу конференции, можно отметить предложение аутсорсинга информационной безопасности для средних и малых банков с возложением контроля за качеством на страховые компании, сделанное одним из интеграторов. Одно из заседаний оживила острая дискуссия о правовых аспектах и этических границах противодействия кибер-преступности, которая вспыхнула между представителем компании-интегратора и сотрудником службы защиты информации крупного банка.

Стать автором BIS Journal