23 апреля, 2013, BIS Journal №2(9)/2013

Многообещающий юбилей


Северный Владимир

Коррепондент-обозреватель (BIS Journal)

Хроника V Юбилейного Уральского форума «Информационная безопасность банков» (11 ? 16 февраля 2013 года)

11−16 февраля 2013 года в Деловом центре «Юбилейный» (Республика Башкортостан) Ассоциация российских банков, некоммерческие партнёрства «Национальный платёжный совет» и «АБИСС» провели при поддержке Банка России ключевое отраслевое деловое мероприятие – V юбилейный Уральский форум «Информационная безопасность банков», соорганизатором выступила компания ЗАО «АВАНГАРД ЦЕНТР».

Форум – центральное деловое мероприятие отрасли информационной безопасности банков и платёжных систем. В этот раз количество участников превысило 330 человек – представителей государственных регуляторов и участников рынка. Это уникальная площадка непосредственного общения, на которой ведут диалог представители всех государственных регуляторов (Банк России, Роскомнадзор, ФСБ России, ФСТЭК России), правоохранительных органов, банков и платёжных систем, бизнес-сообществ и некоммерческих партнёрств, компаний – поставщиков решений информационной безопасности, также специализированных СМИ.

Возросло представительство различных структурных подразделений главного государственного регулятора отрасли: с докладами выступили руководители и ведущие специалисты Департамента регулирования расчётов, Главного и Московского управлений безопасности и защиты информации, управления методологии банковского регулирования, Межрегионального центра информатизации, Главной инспекции кредитных организаций Банка России. На 20% увеличилось участие представителей кредитно-финансовых организаций.

В сравнении с прошлым годом, тематика форума была существенно расширена. Рассматривались информационная безопасность банковских информационных систем и дистанционных сервисов, но также и защита информации при осуществлении переводов денежных средств в национальной платёжной системе России. Обсуждалась защита электронных платежей, совершаемых посредством мобильных и облачных технологий. Отдельной темой стали задачи отрасли, связанные с перспективами образования мегарегулятора в результате слияния Банка России и Федеральной службы по фондовым рынкам России.

Деловая программа была посвящена изменениям отраслевого законодательства (ФЗ-161 «О национальной платёжной системе» и др.) и стандарта информационной безопасности Банка России. Проведены дискуссии по актуальной проблематике банковской безопасности, угроз и рисков, осуществлён обмен методическими разработками и практическим опытом. Докладчики знакомили аудиторию с новыми услугами аудита, консалтинга, разработки и поставок оборудования и программного обеспечения.

Изюминка юбилейного форума – новые форматы секций, в том числе круглый стол «Диалог с регулятором» и 6 мастер-классов – тестовых атак на системы дистанционного банковского обслуживания и выявления распространённых уязвимостей банковских IT-систем. Расширение формата мероприятия от конференции до форума отразило значимость информационной безопасности как необходимого фактора развития финансовых IT-услуг, этого мощного драйвера роста национальной экономики.

Все участники отметили высокий организационный уровень мероприятия, царящую на форуме атмосферу продуктивных дискуссий и коллективного творчества, а также насыщенную культурно-спортивную программу в часы досуга, включавшую катание на горных лыжах.

 

12 Февраля. ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ №1
«Информационная безопасность в банковском секторе»

Первый день конференции в рамках Уральского форума, несомненно, сразу по многим параметрам задал тон всему мероприятию. По объёму полезной информации, по количеству программных выступлений, по накалу дискуссий о ключевых вопросах информационной безопасности банков – день выдался «горячий» как ни один другой.

Запомнилась церемония открытия форума, на которой прозвучало немало добрых пожеланий в адрес организаторов и участников форума, а также церемония награждения выдающихся деятелей отрасли почётной статуэткой премии ИББ, учредителем которой выступил «BIS Journal».

Одним из первых прозвучал доклад Валерия Шипилова, исполнительного директора Ассоциации российских банков. В нём подводились итоги анкетирования, проведённого АРБ среди свыше 130 банков страны. Оказалось, что ресурсное обеспечение служб ИБ многих российских банков недостаточно. Во многих банках выявлены проблемы бюджетирования ИБ-проектов и финансирования соответствующих подразделений. Кроме того, кадровый голод в ИБ-специалистах испытывают почти 2/3 российских банков.

В выступлении Олега Крылова, начальника ГУБиЗИ Банка России, содержался экскурс по основным направлениям улучшения обеспечения информационной безопасности. По словам руководителя Управления, отраслевое законодательство нуждается в серьёзной доработке определения рисков ИБ. Однако конечных результатов преобразований не стоит ждать в течение ближайших 1 – 1,5 лет из-за процесса образования мегарегулятора, – интеграции Банка России с Федеральной службой по фондовым рынкам.

Директор Департамента регулирования расчётов Банка России Роман Прохоров осветил основные аспекты стратегии обеспечения безопасности национальной платёжной системы России. В настоящее время существует необходимость снижать уровень «зарегулированности» менеджмента рисков, возникающих в деятельности субъектов рынка. Также Роман Прохоров сообщил о ведущейся законодательной работе по смягчению мер регулирования операций с электронными деньгами. Продолжая тему, глава департамента заявил, что благодаря усилиям 122 Технического комитета, прилагавшимся в течение полутора лет, в 2013 году могут выйти в свет первые национальные стандарты России в области информационной безопаности финансовых операций.

Докладчик от Федеральной службы по техническому и экспортному контролю России Анатолий Куц рассказал о проблемных направлениях нормативно-правового регулирования в области защиты информации. Он сообщил, что специалисты ведомства уже завершают работы по реализации Постановления Правительства РФ № 1119. Подготовлена нормативно- правовая документация, содержащая меры защиты хранения персональных данных (ПДн) и их обработки. Данный акт своим выходом отменит действующие Приказ № 58 и порядок классификации систем персональных данных от 13 февраля 2008 года, – пояснил заместитель директора ФСТЭК России. Он также добавил, что ведомство вырабатывает позицию относительно «облачных» вычислений, виртуализации, применения концепции Bring Your Own Device (BYOD).

Начальник управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров подвёл итоги деятельности ведомства по контролю и надзору соблюдения кредитными организациями требований законодательства защищать персональные данные. Говоря о типичных нарушениях, докладчик особенно подчеркнул, что банкам необходимо чётко устанавливать в договорах с клиентами возможность передачи их персональных данных коллекторским агентствам. А также строго соблюдать законодательство при работе со службами рекламной рассылки.

По словам Юрия Контемирова, в целом в 2012 году банки «вели себя хорошо»: уровень выявленных нарушений сократился на треть, в связи с чем было решено также снизить и объём проверок банков. Вместе с тем, он сообщил о грядущих изменениях в КоАП РФ, которые наделят Роскомнадзор полномочиями составления протоколов по ст. 13.11 (нарушение установленного законом порядка сбора, хранения, использования и распространения ПДн), пока находящимися в юрисдикции прокуратуры.

Доклад Артёма Сычева, заместителя начальника ГУБиЗИ Банка России, был посвящён перспективам развития стандарта информационной безопасности Банка России. Учитывая предоставленные новой редакцией федерального закона №152-ФЗ Банку России полномочия вырабатывать отраслевую модель угроз, докладчик подчеркнул готовность тесно сотрудничать с банковским сообществом. Перспективы развития отраслевого стандарта СТО БР ИББС таковы: гармонизация с новыми документами всех отраслевых регуляторов, подготовка требований информационной безопасности для «облачных» сервисов и BYOD, а также выработка рекомендаций по ресурсному обеспечению подразделений информационной безопасности банков.

Артём Михайлович также отметил необходимость введения требований к защищённости АБC и ДБО, адресованные разработчикам банковских систем. Однако идею сертификации подобных разработок он назвал абсурдной, сославшись на невозможность постоянных перепроверок банковских систем,постоянно дорабатываемых разработчиками.

Своё мнение выразил заместитель директора Департамента регулирования расчётов Банка России Андрей Курило: «Необходимо, по всей видимости, создавать некую систему сертификации продуктов АСБ и ДБО для того, чтобы не допускать на рынок заведомо слабые конструкции». Его доклад «Вопросы регулирования, надзора и наблюдения в части защиты информации при осуществлении перевода денежных средств в национальной платёжной системе» был посвящён обзору контролирующей и надзорной деятельности Банка России в отношении выполнения банками и платёжными системами положений отраслевой нормативной базы. Андрей Петрович выделил Положение Банка России № 382-П как главный ориентир выполнения субъектами платёжных систем требований информационной безопасности.

Докладчик также представил предварительные итоги обработки отчётности по формам, определённым Указанием Банка России № 2831-У. Вывод таков: около половины инцидентов в платёжных системах связаны с фродом, ещё 15% – с виной персонала. Опираясь на полученную статистику, Андрей Петрович призвал банковское сообщество выстроить эффективную централизованную систему борьбы с фродом.

Выступление Владимира Простова, представителя ФСБ России, было посвящено порядку сертификации средств криптографической защиты информации (СКЗИ) согласно федеральному закону № 63-Ф3 «Об электронной подписи». СКЗИ, поступившие на сертификацию до 1 января 2013 года, будут оцениваться по старым стандартам, но лишь до 2014 года. Начиная с 2015 года, сертификация СКЗИ будет проводиться только по новому стандарту. Переход на него должен занять 7 лет и завершиться к 2019 году.

 

Круглый стол «Диалог с регулятором»

Регулирование информационной безопасности в кредитно-финансовой сфере и защита информации при переводе денежных средств

Представители всех отраслевых государственных регуляторов, участвовавшие в «круглом столе», представили позиции своих ведомств и рассказали о подготовке документов по ряду острых вопросов. По их словам, ситуация с пересечением «сфер влияния» между различными регуляторами информационной безопасности банков осталась в прошлом. В настоящий момент все ведомства стремятся к синхронизации отраслевых документов и требований к безопасности.

Полномочия и функции каждого регулятора сформулированы в ст. 19 федерального закона №152-ФЗ и ст. 27 федерального закона № 161-ФЗ, а также в ведомственных документах, – пояснили участники кругого стола. Постановление № 382-П и отраслевой стандарт Банка России, требующие проведения оценки соответствия с разной периодичностью, безусловно, будут синхронизированы.

Говоря о похожести многих положений обоих документов, участники круглого стола выразили собственное мнение: стремление банка выполнять более многочисленные и подробные рекомендации СТО БР ИББС предпочтительнее, чем простое следование положениям Постановления № 382-П, обязательного для выполнения.

Представители Банка России также прояснили ситуацию с аутсорсингом банковских IT-сервисов. По их словам, сегодня такая практика не только вступает в конфликт с федеральными законами «О банках и банковской деятельности» и «О коммерческой тайне», но и чревата серьёзными рисками. У регулятора неминуемо возникнут претензии к кредитным организациям, применяющим подобную практику, – предупредил Артём Сычёв, участвующий в работе Комитета банковского надзора Банка России.

Также участники форума – вендоры и интеграторы, регуляторы и представители отраслевых общественных организаций – активно обсудили вопрос ввоза и сертификации СКЗИ.

О ст. 9 федерального закона №161-ФЗ, предписывающей банкам возвращать клиентам суммы оспоренных платежей, представители регуляторов заявили: данная норма не нуждается в доработке, рекомендации Банка России по данному вопросу достаточны. «9-я статья неким образом консолидирует требования законодательства, которые на сегодня существуют в разных законах, в том числе в законодательстве о защите прав потребителей», – пояснил Андрей Курило.С такой позицией согласились не все участники обсуждения.

Специалистов заинтересовал вопрос обеспечения полноценного информирования клиента банка об угрозах, – как банку лучше выполнить эту обязанность. По мнению ряда выступавших, полное информирование клиентов об угрозах невозможно, что в случае судебной тяжбы заведомо ставит банк в невыгодное положение.

Другие участники дискуссии призвали банки не перекладывать ответственность на клиентов, а налаживать более эффективную защиту от киберпреступников. Например, совершенствовать антифрод-системы, налаживать связи между службами безопасности разных банков, а также сотрудничество с правоохранительными органами для совместной борьбы с мошенниками.

 

«Высоко парить, далеко видеть, крепко бить!»

Премия за достижения в области обеспечения информационной безопасности банков − 2013

Одним из центральных событий на торжественном открытии V юбилейного Уральского форума «Информационная безопасность банков», прошедшем 12 февраля в Деловом центре «Юбилейный» (Республика Башкортостан), стала I церемония награждения премией «За достижения в области обеспечения информационной безопасности».

Эта премия − профессиональная награда, учреждённая специализированным журналом «BIS Journal», чтобы отмечать выдающиеся заслуги организаций и персон, внесших значительный вклад в отрасль информационной безопасности банков. Лауреаты премии были награждены почётными дипломами и символическими статуэтками.

Статуэтка премии представляет собой бронзового орла с широко распростёртыми крылами, в когтях крепко сжимающего перекрещенные золотые криптографические ключи, что символизирует бдительный контроль за безопасностью банковской информации. Стеклянный пьедестал статуэтки отражает собой прозрачность и открытость деятельности, а массивная металлическая основа, на которой выгравировано: «Информационная безопасность банков России», − демонстрирует мощь и стабильность кредитно-финансовой системы России, безусловным гарантом которой является деятельность по обеспечению информационной безопасности банков.

Учреждение Премии вызвано задачами популяризации передовых достижений российских банков в совершенствовании информационной безопасности, а также формирования профессионального сообщества в сфере информационной безопасности банков. Кроме того, награждение Премией призвано стимулировать поддержание высокого уровня профессиональной компетенции среди российских специалистов в области информационной безопасности банковского и кредитно-финансового сектора.

 

ЛАУРЕАТЫ:

За выдающийся вклад в становление и поступательное развитие отрасли:

  • М.Ю. Сенаторов, заместитель Председателя Банка России;
  • Г.А. Тосунян, президент Ассоциации российских банков;
  • А.П. Курило, заместитель директора Департамента регулирования расчётов Банка России.

За эффективное государственное регулирование использования технических средств защиты банковской и платёжной информации:

  • А.В. Куц, заместитель директора ФСТЭК России.

За безупречную репутацию, высокий профессионализм и большое личное участие в развитии отрасли:

  • А.М. Сычев, заместитель начальника Главного управления безопасности и защиты информации Банка России;
  • А.Н. Велигура, председатель Комитета АРБ по информационной безопасности.

За высокий профессионализм и достижения в создании системы информационной безопасности банка:

  • A.А. Грициенко, начальник Службы информационной безопасности ОАО Банк «Возрождение»;
  • B.А. Окулесский, начальник управления информационной безопасности Департамента по обеспечению безопасности ОАО «Банк Москвы»;
  • А.В. Егоркин, начальник Департамента защиты информации ГПБ (ОАО);
  • С.Н. Бондарев, начальник Управления информационной безопасности ОАО «Сбербанк России».

В.А. Окулесский, начальник управления информационной безопасности Департамента по обеспечению безопасности ОАО «Банк Москвы» и В.В. Шипилов, исполнительный директор Ассоциации российских банков.

За организацию плодотворного взаимодействия участников отрасли, государственных регуляторов и органов стандартизации:

  • НП «Национальный платежный совет»;
  • НП «АБИСС».

За методологические исследования и научно-технические разработки по информационной безопасности кредитно-финансовой системы России:

  • B.А. Конявский, научный руководитель Всероссийского научно-исследовательского института проблем вычислительной техники и информатизации.

За образцовую методическую поддержку и информационно-просветительную деятельность:

  • А.В. Лукацкий, эксперт по информационной безопасности, блоггер;
  • А.Г. Сабанов, заместитель генерального директора ЗАО «Аладдин Р.Д.»;
  • C.В. Вихорев, заместитель Генерального директора по развитию ОАО «ЭЛВИС-ПЛЮС».

В кулуарах форума в адрес лауреатов звучали замечательные слова, вдохновлённые видом величавого орла, венчающего статуэтку Премии: «Высоко парить, далеко видеть, крепко бить!». По всеобщему мнению, это пожелание вполне может стать девизом представителей профессионального сообщества специалистов в информационной безопасности банков.

Являясь престижным и почётным знаком отличия, Премия ИББ отражает высокую оценку заслуг специалистов и деятелей отрасли. Первая церемония награждения Премией ИББ была тепло и с воодушевлением встречена в профессиональном сообществе.

 

Смотрите также

НБ и ИБ в любой ЧС

7 августа, 2012
Подпишись на новости!
Подписаться