28 февраля, 2012, BIS Journal №2(5)/2012

Перспективы статуса


Гениевский Павел

Председатель НП «АБИСС» (Некоммерческое партнерство «Сообщество пользователей стандартов по информационной безопасности АБИСС» (НП «АБИСС»))

Преобразование сообщества ABISS в некоммерческое партнёрство стало необходимым этапом на пути к саморегулированию

Решение «переформатировать» Сообщество ABISS в НП «АБИСС» с перспективой статуса саморегулируемой организации было одобрено итоговой резолюцией III Межбанковской конференции «Информационная безопасность банков». Работу, которую предстояло проделать, называли тогда «дорогой длиной в год». Какие шаги были сделаны за это время, каковы итоги прошедшего года, насколько удалось осуществить задуманное?

РАЗВИТИЕ И РАСПРОСТРАНЕНИЕ СТАНДАРТА

Непосредственная цель образования Некоммерческого партнерства «Сообщество пользователей стандартов по информационной безопасности АБИСС» (НП «АБИСС») – создание для своих членов и участников максимально благоприятных условий для реализации стандартов, рекомендаций и правил, направленных на обеспечение информационной безопасности в кредитных и других организациях – участниках национальной платежной системы Российской Федерации.

Одной из первоочередных задач НП «АБИСС» является разработка и соблюдение таких правил предпринимательской деятельности при предоставлении услуг, которые был отвечали требованиям Банка России, Роскомнадзора, ФСБ России и ФСТЭК России.

Помогая расширять сферу действия единых стандартов и «правил игры» распространяя и продвигая их, НП «АБИСС» содействует повышению общего уровня информационной безопасности, способствует развитию всей кредитно-финансовой сферы и национальной платежной системы.

Членство в НП «АБИСС» открыто для организаций, предоставляющих профессиональные услуги аудита и консалтинга в области стандартов информационной безопасности, как в кредитных, так и в других организациях – участниках национальной платежной системы Российской Федерации, а также для образовательных учреждений, проводящих обучение по программам, утвержденными партнерством.

Кроме того, в работе партнерства могут участвовать кредитные организации, которые приняли стандарт Банка России и заинтересованы в обмене опытом его внедрения, а также демонстрации своих достижений в этой области.

Важным преимуществом участия в партнерстве для кредитных организаций является возможность правильно выбрать консультанта или аудитора: они могут ознакомиться с опытом каждого из членов НП «АБИСС», проверить в базе данных валидность сертификатов специалистов, обученных по утверждённым программам.

Для специалистов появится возможность записаться на ближайшие курсы повышения квалификации, в перспективе – пройти дистанционное обучение, что особо актуально для регионов.

Для своих членов Некоммерческое партнерство «АБИСС» является единым ресурсом и инструментом, с помощью которого можно взаимодействовать с остальными участниками, такими как кредитные организации, регулирующие и контрольные органы.

Так, например, члены партнёрства могут через личный кабинет на портале НП «АБИСС» создавать портфолио своей компании, рассказывать о своем опыте предоставления услуг в области информационной безопасности, публиковать корпоративные новости. Для обсуждения участниками различных профильных вопросов в режиме он-лайн будет функционировать форум.

Главное преимущество новой организации – в использовании механизмов саморегулирования для развития и продвижения отраслевого стандарта. Тем самым создаются оптимальные возможности сотрудничества в развитии стандарта, оперативной интеграции в него часто меняющихся норм различных законов и международных стандартов. НП «АБИСС» является постоянно действующей площадкой разностороннего взаимодействия всех участников отрасли – регулирующих и контролирующих ведомств, заказчиков, исполнителей и специалистов.

ХРОНОЛОГИЯ «ПЕРЕФОРМАТИРОВАНИЯ»

Хронология основных вех на пути создания саморегулируемой организации в сфере обеспечения информационной безопасности банков такова.

В феврале 2011 года итоговая резолюция IIIМежбанковской конференции «Информационная безопасность банков» одобрила инициативу создания на базе Сообщества ABISSНекоммерческого партнёрства АБИСС с перспективой обретения ею статуса саморегулируемой организации, а также порядок этой работы и ответственных исполнителей.

На тот момент Сообщество ABISSобъединяло более 40 кредитных организаций, 25 организаций-консультантов с большим опытом работы и реализованными проектами в сфере информационной безопасности кредитных организаций, а также 6 профильных образовательных организаций.

Первым важным шагом стало учреждение 4 июля НП «АБИСС» группой организаций. В качестве учереди-телей выступили 8 организаций:

  • Ассоциация российских банков;
  • ООО «Валидата»;
  • ООО «Инфосекьюрити Сервис»;
  • ООО «КАБЕСТ»;
  • Небанковская кредитная организация ЗАО «Национальный расчетный депозитарий» (НКО ЗАО НРД);
  • ООО «ПАЦИФИКА»;
  • ЗАО «Практика Безопасности»;
  • ЗАО «РНТ».

Далее, 23 сентября Некоммерческое партнёрство АБИСС было зарегистрировано Министерством юстиции России. Была начата детальная разработка полного пакета документации, регламентирующей все стороны и аспекты деятельности партнёрства, в том числе направления работы и структуру, формы участия, квалификационные и иные требования к организациям-членам, правила приёма новых организаций.

Немного спустя, 28 сентября было проведено расширенное заседание Правления некоммерческого партнёрства с участием представителей регулирующих и контрольных органов, на котором было принято решение о создании важного рабочего органа – Консультативного совета. Этот орган должен осуществлять взаимодействие партнерства с государственными и иными организациями и учреждениями, осуществляющими в соответствии с федеральным законодательством регулирование в области обеспечения информационной безопасности банковской системы Российской Федерации. На начало 2012 года заложен фундамент механизма саморегулирования, и каждому члену и участников партнёрства предстоит «уложить по кирпичику». Очень важна обратная связь между всеми участниками партнёрства. Недопустимо тянуть одеяло на себя, иначе получится «долгострой».

КТО И КАК УЧАСТВУЕТ В ПАРТНЁРСТВЕ

Какие организации в настоящее время входят состав НП «АБИСС» на правах членов, какие принимают участие в его деятельности, с какими осуществляют взаимодействие?

Членами НП «АБИСС» могут быть как коммерческие, так и некоммерческие организации, разделяющие его цели, выполняющие требования устава и решения органов управления, а также своевременно в полном объеме уплачивающие членские взносы.

В соответствии с Положением о членах НП «АБИСС» все члены партнерства разделяются на три группы:

Аудиторы – организации, имеющие достаточный опыт и компетенцию для оказания услуг по проведению аудита и по обеспечению информационной безопасности в организациях банковской системы РФ, по внедрению средств защиты информации и реализации систем обеспечения информационной безопасности.

Консультанты – организации, имеющие достаточный опыт и компетенцию для оказания услуг по обеспечению информационной безопасности в организациях банковской системы РФ, по внедрению средств защиты информации и реализации систем управления информационной безопасностью, в том числе по результатам проведенного аудита.

Учебные центры – организации, имеющие достаточный опыт и компетенции для оказания услуг по обучению информационной безопасности.

Многие из компаний-членов участвуют в обсуждениях и разработке положений стандартов информационной безопасности. В частности, их представители входят в состав технического комитета № 122 «Стандарты финансовых операций». Необходимо отметить, что установленныеквалификационные требования к этим группам позволяют формировать состав партнерства из самых авторитетных субъектов предпринимательской и профессиональной деятельности – признанных лидеров обеспечения информационной безопасности.

Участники НП «АБИСС» – кредитные организации из числа принявших отраслевой стандарт. Участие в партнёрстве в первую очереди помогает им быть в курсе самых последних нововведений в сфере стандартизации, законодательства и требований государственных регуляторов и, главное, найти подрядчиков, гарантированно способных обеспечить выполнение действующих норм.

В планах – налаживание связей с международными организациями, занимающимися стандартизацией, такими как ISACA и PCI Council, накопивших огромный опыт реализации механизмов саморегулирования.

СТРУКТУРА И НОРМАТИВНАЯ БАЗА

Высшим органом партнёрства является общее собрание членов, постоянно действующим коллегиальным органом – правление, возглавляемое должностным лицом – председателем. Была предусмотрена возможность создания специализированных органов – советов, комиссий, рабочих групп и т.п.

Структура партнерства и принятая нормативная база позволяют на регулярной основе:

  • контролировать деятельность организаций, выполняющих оценку соответствия кредитных организаций требованиям стандарта Банка России и реализации его положений;
  • проводить сертификацию аудиторов и специалистов по внедрению средств информационной защиты;
  • осуществлять обучение и повышение квалификации по профессиональному профилю.

Осуществляя свою деятельность, НП «АБИСС» ведёт реестр кредитных организаций, принявших отраслевой стандарт информационной безопасности (Банка России). Для членов партнёрства это самый полный перечень потенциальных заказчиков, потребителей предлагаемых ими услуг (аудита, консалтинга и программ профессионального обучения).

С другой стороны, партнёрство ведёт реестр действующих организаций-членов НП «АБИСС» и реестр сертификатов специалистов, обученных по нашим программам.

Примером выполнения НП «АБИСС» функций контроля деятельности организаций-членов и анализа распространения Стандарта Банка России является сбор данных, сколько кредитных организаций прошли независимый аудит, либо выполнили самооценку соответствия отраслевому стандарту. Эта статистика сопоставляется с данными проверок регулирующих и контрольных органов.

По результатам становится ясно, насколько эффективна процедура самооценки и какие из организаций, проводившие внешний аудит, выполнили его недостаточно качественно. Если окажется, что такую работу некачественно проводила компания, входящая в состав НП «АБИСС», будет проведена независимая экспертиза, на основании которой будут приниматься меры вплоть до исключения организации из членов партнерства. Такая же реакция будет со стороны НП «АБИСС» при поступлении претензий в адрес ее членов со стороны кредитных организаций.

Только так вместе мы сможем реализовать задуманное и заслужить авторитет у всех регулирующих и контрольных органов – Банка России, ФСБ России, ФСТЭК России, Роскомнадзора. Аудиторские отчеты и заключения, подготовленные членами АБИСС, должны отражать реальную картину и пользоваться доверием.

Реализация механизмов саморегулирования в деятельности НП «АБИСС» позволит отладить взаимодействие и выстроить систему доверия между заинтересованными сторонами, создать самостоятельную систему контроля и повысить качество услуг. Успех задуманного откроет перспективы использования механизмов саморегулирования, формирования стандартов и правил предпринимательской деятельности в сфере информационной безопасности не только для кредитных организаций, но и организаций других, смежных отраслей – информационных технологий, банковского дела и услуг по безопасности.

На фотографии – расширенное заседание Правления НП «АБИСС» с участием представителей регулирующих и контрольных органов, состоявшееся 28 сентября 2011 года