23 февраля, 2011, BIS Journal №1(1)/2011

Что СРО в грядущем нам готовит?


Гениевский Павел

Секретарь Совета Сообщества (ABISS)

Курило Андрей

доцент, председатель Комитета по информационной безопасности НП НСФР, кандидат технических наук (Финансовый университет при Правительстве РФ)

Опыт саморегулирования информационной безопасности банков неминуемо будет широко востребован

Работа по созданию саморегулируемой организации в сфере информационной безопасности банков – шаг, безусловно, новаторский. Прежде переход к саморегулированию наиболее успешно шёл в строительстве и на финансовых рынках. Ни в кредитно-финансовой деятельности, ни на рынке услуг по безопасности, ни в IT-отрасли заметных претензий от отраслевых сообществ на обретение статуса саморегулируемых организаций не наблюдалось.

НАДЗОР ЗА РЕЗУЛЬТАТОМ

Саморегулирование – один из важнейших механизмов осуществления задач модернизации, сформулированных Президентом России. В основу института саморегулирования положена идеология, выработанная на основе передового мирового опыта. По мере роста сознательности, организованности и ответственности участников рынка государство передаёт ряд контрольных и надзорных функций бизнес-сообществам. Естественно, в соответствии со степенью повышения уровня ответственности сообществ перед государством и  гражданами.

Результаты – дебюрократизация экономики, снятие с государства явно избыточных функций по контролю (регулирование и надзор в той или иной форме остаются) и сокращение бюджетных расходов. «Государевым людям» остаётся надзирать не за самой хозяйственной деятельностью, а за надлежащим качеством результатов. Периодические проверки регуляторов трансформируются в надзорные мероприятия, вся необходимая информация о происходящем оперативно поступает от отраслевого «саморегулятора».

Внешним проявлением перехода к саморегулированию является отмена лицензирования отдельных видов деятельности. Некоммерческие партнёрства, создаваемые по регионально-отраслевым принципам, получая статус саморегулируемой организации (СРО), наделяются рядом регулятивных полномочий. Они разрабатывают и устанавливают отраслевые стандарты и требования к членству, санкционируют и контролируют деятельность своих участников, при необходимости применяют дисциплинарные санкции, но также представляют и отстаивают их интересы в органах государственной власти.

Полномочия, которые государственные регуляторы делегируют саморегулируемым организациям, дают широкие права, но и обременяют серьёзной ответственностью. СРО должны в зародыше гасить или улаживать споры, в формате третейских соглашений улаживать возможные конфликты компаний-участников и  потребителей товаров и услуг. В ведении СРО не только формирование требований к сертификации, но и создание условий, чтобы их могла выполнить любая компания-участник. Например, организация обучения и профессиональной аттестации специалистов-сотрудников.

СРО – носитель коллективной ответственности своих членов не только перед государственными ведомствами и службами, но и перед их корпоративными контрагентами и гражданами, чьи интересы могут оказаться затронутыми. Для покрытия возможного ущерба заказчиков и третьих лиц от профессиональной деятельности за счёт взносов компаний-участников формируется компенсационный фонд, возможно сочетание с добровольным страхованием гражданской ответственности.

РЕГУЛЯТОР ГОТОВ ДЕЛЕГИРОВАТЬ

Общая нормативно-правовая база саморегулирования – Гражданский Кодекс РФ и федеральные законы № 7-ФЗ от 12 января 1996 года «О некоммерческих организациях» и № 315-ФЗ от 1 декабря 2007 года «О саморегулируемых организациях» с изменениями, внесёнными №  148-ФЗ от 22 июля 2008 года. Также – постановление Правительства РФ от 29 сентября 2008 года № 724 «Об утверждении порядка ведения государственного реестра саморегулируемых организаций». Есть и отраслевые законы для СРО: например, Градостроительный Кодекс РФ, нормативные, регламентирующие документы, принимаемые регуляторами, стандарты.

Для некоммерческого партнёрства получить почётный и ответственный статус саморегулируемой организации не просто. Для этого нужно соответствовать многочисленным и строгим государственным требованиям: к количеству и квалификации членов, размеру компенсационного фонда, разработке стандартов, формату допуска к работам, к правилам контроля, мерам дисциплинарного воздействия на нарушителей. Необходимо документальное оформление принципов деятельности СРО, перечня самых важных процедур – вступления и прекращения членства, формирования и работы руководящих органов, порядка принятия решений, выдачи свидетельств о допуске к работам, регламентов контроля, рассмотрения жалоб, взаимодействия с регуляторами.

Достигнув требуемых критериев, некоммерческое партнёрство формирует пакет регистрационных документов и подаёт в надзирающий орган – отраслевое ведомство. Единого федерального органа власти, который бы вёл единый реестр СРО и осуществлял нормативное обеспечение института саморегулирования, пока нет. Поэтому в случае положительного решения некоммерческое партнёрство регистрируется в отраслевом реестре «своего» ведомства в порядке, прописанном соответствующим административным регламентом. Исключение СРО из государственного реестра с утратой соответствующего статуса возможно лишь из-за несоблюдения требований установленного количества членов или размера компенсационного фонда.

ДЕФИЦИТ ЕДИНСТВА

Государственных регуляторов для каждой отрасли немало. Государственная Дума и Правительство России, различные ведомства активно работают в области законодательства, формирования нормативно-правовой базы. Надзорные функции выполняют профильные структуры федеральной исполнительной власти. Для строителей, проектировщиков и инженерных изыскателей – Ростехнадзор, для арбитражных управляющих и оценщиков – Росреестр, для аудиторов и обследователей энергетических объектов – Минэнергетики РФ.

В информационной безопасности дело сложнее: у этой сферы в России нет единого регулятора, надзорные сферы ФСБ России и ФСТЭК России частично пересекаются. Есть активные ведомства вроде Минкомсвязи РФ, которые осуществляют отдельные функции отраслевого регулирования. Появляются и новые субъекты государственного регулирования в сфере информационной безопасности, такие как Роскомнадзор.

Проблема в том, что у «новичков» нет ни достаточных полномочий, им бывает сложно привлекать необходимых специалистов. Приходится использовать полномочия и возможности «классиков» – ФСБ России и ФСТЭК России, которые традиционно регулируют технические вопросы. При таком «разделении труда» за рамками остаётся главное – особенности обеспечения информационной безопасности в разных отраслях, в нашем случае – в кредитно-финансовой сфере.

У регулятора банковского сектора, Банка России, нет полномочий ни нормативного регулирования вопросов информационной безопасности, ни надзорных. Приходится выкручиваться: вместо полноценного регулирования писать «рекомендации», взамен наблюдения и надзора проводить «обследования». В трудном положении находятся и банки, которые вынуждены проецировать на свои практические задачи документы многочисленных регуляторов, порой далекие от совершенства.

К ОБЩЕМУ ЗНАМЕНАТЕЛЮ

Механизм взаимодействия получается усложнённый, затратный и не всегда надёжный. Между тем отсутствие чёткого механизма регулирования и однозначных требований в сфере информационной безопасности банковской системы проявляется особенно негативно. При такой ненадлежащей постановке дела не приходится удивляться частым инцидентам с «высокотехнологичными» мошенничествами и хищениями. Недаром говорится, что у семи нянек дитя без глаза.

Еще один важный аспект: вместе с развитием IT-отрасли и инфраструктура постоянно усложняется, и практика обеспечения информационной безопасности банков. Становится больше нормативных документов, усложняются методики проверок, создаются новые регламенты документирования работ, фиксации результатов проверок и контроля, какие было трудно представить еще 6–8 лет назад. Очевидно, что это устойчивая тенденция, так будет и дальше. Разве что пока не сменится парадигма контроля качества, а когда это произойдёт, никому не известно. Можно ли привести к единому знаменателю регулятивную разноголосицу, если да, то как?

Все государственные регуляторы – Банк России, ФСБ России, Роскомнадзор и ФСТЭК России совместно заинтересованы в единой площадке для постоянного взаимодействия друг с другом. Но как её создать? Существенно продвинуться в решении этого вопроса удалось в ходе широкого и интенсивного обсуждения проблемы защиты персональных данных, а также работы над федеральным законом «О национальной платёжной системе». Чётко обрисовались три главные проблемы отрасли:  выработка единого стандарта, достижение регуляторами и регулируемыми взаимного доверия, и, наконец, формирование понятного и безотказного механизма регулирования.

«ТРИ КИТА» САМОРЕГУЛИРОВАНИЯ

Выяснили, что решение первой проблемы, выработки единого стандарта, уже существует. Единственным работоспособным механизмом обеспечения информационной безопасности кредитно-финансовых организаций оказался Комплекс документов Банка России в области стандартизации, согласованный с остальными ключевыми регуляторами отрасли – ФСТЭК России, ФСБ России и Роскомнадзором. Универсальность комплекса подтверждена практически.

Кредитным организациям было рекомендовано принять внутренним приказом стандарт информационной безопасности Банка России как руководство для защиты информации. «Письмо шестерых» к №01-23/3148 от 28 июня 2010 года подписали, кроме руководителей четырёх главных  государственных регуляторов, также первые лица ведущих отраслевых бизнес-сообществ – Ассоциации российских банков и Ассоциации региональных банков России. Единый отраслевой стандарт информационной безопасности банков, таким образом, был создан. Проводником этих общепризнанных правил информационной безопасности в духе времени должна стать отраслевая саморегулируемая организация.

О решении второй проблемы регулирования отрасли – выработке взаимного доверия «рядовыми» участниками отрасли и регуляторами. Трудности приходится преодолевать скорее психологические. Иногда у сотрудников банков и интеграторов возникают сложности обсуждения с некоторыми представителями государственных регуляторов некоторых нюансов информационной безопасности банков. Когда привлекаются эксперты, встаёт вопрос о критериях их отбора. Сотрудники подразделений информационной безопасности банков имеют право на подобную постановку вопроса. В настоящее время это, как правило, ветераны и молодые специалисты самой высокой квалификации, получившее профильное образование в ведущих вузах.

СРО как постоянная площадка общения поможет эффективно выработать взаимное доверие всех участников отрасли. Регуляторы, банки, интеграторы и представители отраслевой инфраструктуры смогут оперативно и напрямую обмениваться достоверной информацией.

Третий, подытоживающий вопрос регулирования – какой субъект смог бы эффективно выполнять функции единого саморегулятора и площадки общения всех участников отрасли. Главный и бесспорный, по крайней мере, на нынешний момент, претендент на статус саморегулируемой организации – это сообщество ABISS. Как фактически единственная общественная организация, которая объединяет пользователей отраслевого стандарта информационной безопасности организаций банковской системы. Членами сообщества являются 13 организаций-консультантов, 9 организаций-консультантов в статусе кандидатов в члены, 40 кредитных организаций и 7 образовательных учреждений.

КАЖДОМУ СВОЁ

Для организаций-консультантов, поставщиков услуг в сфере информационной безопасности, членство в ABISS – свидетельство профессионализма и компетентности в области предоставления услуг, связанных с внедрением и оценкой соответствия информационной безопасности требованиям стандарта СТО БР ИББС 1.0. Сформулированы и эффективно выполняются две важнейшие функции саморегулирования – регламент взаимодействия ABISS с Банком России и квалификационные требования к организациям, желающим вступить в сообщество.

Так, квалификационные требования к организациям-консультантам – наличие обученных специалистов и функционирование системы менеджмента качества предоставляемых услуг. Следует отметить, что сертификаты обучения, выдаваемые ABISS, высоко котируются на рынке труда. Сообщество ABISS выполняет и такую функцию саморегулирования как право проводить контроль качества услуг выборочными проверками организаций.

Для банков членство в ABISS служит наглядным подтверждением регуляторам – Банку России, ФСБ России, Роскомнадзору и ФСТЭК России – своего деятельного стремления полностью соответствовать текущей версии Комплекса БР ИББС.

Сообщество ABISS зарекомендовало себя как эффективный механизм сопряжения взаимных интересов Банка России и кредитных организаций в сфере информационной безопасности. В соответствии с утвержденным регламентом взаимодействия Банка России и Сообщества ABISS результаты применения отраслевого комплекса стандартов в области информационной безопасности банковских организаций, в том числе оценки/самооценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС 1.0, могут быть предоставлены для рассмотрения возможности их публикации в официальных источниках и на официальном сайте Банка России.

То же самое можно реализовать с другими регуляторами, для этого необходимо разработать и утвердить подобные регламенты взаимодействия с ФСБ России, Роскомнадзором и ФСТЭК России. Таким образом, регуляторам, которые делегируют Сообществу ABISS часть своих полномочий по контролю, останется проверять качество работы и, конечно, спрашивать за результаты деятельности.

ВСЕМ ИНТЕРЕСНЫ ВСЕ

Встречные пожелания иметь единого отраслевого представителя интересов сформулировали кредитные организации, аудиторские и консалтинговые компании, а также учебно-образовательные организации. Для последних участие в СРО открывает рынок услуг подготовки специалистов по информационной безопасности.

Для кредитных организаций СРО – «единое окно», через которое можно общаться со всеми регуляторами. Например, при проведении работ по оценке соответствия информационной безопасности требованиям Стандарта Банка России СТО БР ИББС 1.0 кредитной организации достаточно выбрать организацию-консультанта из состава СРО. Далее, организация-консультант через СРО взаимодействует со всеми регуляторами – Роскомнадзором, Банком России, ФСБ России и ФСТЭК России и предоставляет им всю необходимую информацию.

Оптимальным путём был признан алгоритм реорганизации сообщества ABISS в некоммерческое партнерство с дальнейшей регистрацией как саморегулируемой организации – СРО, деятельность которой признавали бы все регуляторы – Банк России, Роскомнадзор, ФСБ России и ФСТЭК России.

Первый шаг – преобразование Сообщества ABISS в некоммерческое партнёрство.

Второй шаг – разработка регламентов взаимодействия некоммерческого партнерства с Банком России, ФСБ России, ФСТЭК России и Роскомнадзором, а также разработка и согласование квалификационных требований к организациям, желающим вступить в состав партнерства.

Следующий, третий шаг – освоение некоммерческим партнёрством полного набора функций саморегулирования, фактическое выполнение всего набора государственных требований к СРО. Заключительный этап – подача пакета регистрационных документов ключевому регулятору, государственная регистрация и внесение в отраслевой реестр саморегулируемых организаций.

ДОРОГА ДЛИНОЙ В ГОД

Чтобы достигнуть соответствия предъявляемым государственным требованиям, ABISS в качестве некоммерческого партнёрства должно отвечать трём основным условиям саморегулирования.

Первое требование  – на основании отраслевых стандартов сформулировать правила предпринимательской и профессиональной деятельности, обязательные для выполнения всеми членами саморегулируемой организации.

Второе условие – численность участников, наличие как минимум двадцати пяти субъектов предпринимательской деятельности или не менее ста субъектов профессиональной деятельности в сфере обеспечения информационной безопасности.

Третье – обеспечение дополнительной имущественной ответственности каждого члена СРО перед потребителями продукции и иными лицами, а именно формирование компенсационного фонда.

Высшим органом некоммерческого партнёрства ABISS станет собрание учредителей. Контроль выполнения требований к организациям, входящим в некоммерческое партнёрство ABISS, будет осуществляться постоянно действующим коллегиальным органом управления, в который могут войти члены Совета Сообщества ABISS. Назначение руководителя исполнительного органа – председателя правления – относится к компетенции общего собрания членов некоммерческого партнёрства. Техническую и организационную работу будут выполнять штатные сотрудники исполнительной дирекции.

На создание саморегулируемой организации в сфере информационной безопасности банков отводится год. Отсчёт ведётся с даты проведения учредительного собрания, преобразующего сообщество ABISS в некоммерческое партнёрство. Если содержательные и формальные аспекты «переформатирования» ясны, то также очевидны и трудности, которые придётся совместно преодолевать в рабочем порядке.

ДВЕРИ НАРАСПАШКУ

Так, стандарт Банка России содержит не жесткую формулировку, а 6 уровней различной степени соответствия требованиям, предъявляемым к системам информационной безопасности банков. Нулевой уровень самый низкий, пятый – к которому нужно постоянно стремиться, рекомендуемый уровень – «четвёрка».

Но подавляющее большинство банков на сегодняшний день по результатам оценки либо самооценки соответствуют только второму или третьему уровням. Даже для того, чтобы добиться таких успехов, требуется много поработать. Если немедленно жёстко установить наивысшую планку, четвёртый уровень соответствия, в числе «нарушителей» неминуемо окажется большинство кредитных организаций…

Представители банков высказывали пожелания, чтобы к концу текущего года регуляторы признали «двойки»  и «тройки» удовлетворительными «оценками» – не в школе же мы, в самом деле, а в следующем году «повысили планку». Банки готовы к ежегодному совершенствованию, чтобы постепенно достичь рекомендуемого высшего уровня.

Однако необходимо отметить, что некоторые требования стандарта по безопасности, особенно в отношении криптографических систем, могут оцениваться только в двоичной системе оценки – «выполнено» или «не выполнено». Их придется выполнять четко и сразу, иначе о безопасности можно забыть. Но это предмет особого разговора, и он будет продолжен.

Следует ожидать, что при решении подобных вопросов регуляторы будут учитывать мнение ABISS уже в статусе некоммерческого партнёрства. Членами которого, в дальнейшем – СРО, могут стать все участники нынешнего сообщества ABISS. На любом последующем этапе двери открыты для новых участников – при условии уплаты членских взносов, соответствии квалификационным требованиям и наличии квалифицированных специалистов.

На общих основаниях вступать в некоммерческое партнёрство, пользоваться всеми преимуществами участия смогут и небанковские кредитные организации – платёжные системы, инвестиционные, финансовые, факторинговые, лизинговые компании, кредитные союзы и товарищества, пенсионные фонды, страховые общества и даже ломбарды. Двери широко открыты для всех, кто хочет и может соблюдать ясные и взаимовыгодные «правила игры».

Успешный опыт формирования саморегулируемой организации обеспечения информационной безопасности в кредитно-финансовой сфере может оказаться крайне полезным для «больших отраслей» – банковского дела, рынка услуг по безопасности и IT. Ведь это узкоспециализированное направление деятельности сформировалось как раз на их «стыке».

 

Смотрите также

Одна голова лучше

22 сентября, 2010
Подпишись на новости!
Подписаться