9 августа, 2010, BIS Journal №1(1)/2011

Самоучитель общего языка


Курило Петр

Начальник Управления информационной безопасности (ООО «АМT Банк»)

Внедрение банками Комплекса стандартов информационной безопасности, предлагаемых Банком России, помогает субъектам отрасли лучше понимать друг друга

В середине 2010 года Банк России ввел новую редакцию комплекса документов «Обеспечение информационной безопасности организации банковской системы РФ» (Комплекс БР ИББС), разработанный с учетом требований закона о персональных данных (152-ФЗ), тем самым усилив его роль в качестве отраслевого стандарта. В связи с этим для банковской сферы становится актуальным вопрос создания СРО − саморегулируемой организации, которой будет делегирован ряд полномочий по обеспечению и контролю требований в области информационной безопасности. Следует ожидать, что в результате соответствующий отраслевой стандарт для банков превратится из рекомендуемого в обязательный.

ЕСТЬ ПЕРВОПРОХОДЦЫ

В последнее время можно наблюдать тенденцию – все больше банков собираются ввести или уже ввели Комплекс БР ИББС, предложенный Банком России, в качестве обязательного к выполнению внутреннего стандарта информационной безопасности. В большей мере, причиной послужило то, что Комплекс позволяет соответствовать законодательству.

И сейчас уже, конечно, можно наблюдать, как активизировался процесс совместного продвижения Комплекса регуляторами, банками и компаниями-интеграторами. Проходят знаковые для банковского сообщества конференции по информационной безопасности, дискуссиями по этому вопросу бурлит интернет. Но хочу обратить внимание на то, что есть передовые банки, которые объединившись под эгидой ABISS,  вели работы по внедрению и раньше, и довольно успешно. Естественно, их не много, т.к. до последнего времени большинство банков занимали выжидательную позицию и наблюдали за процессом со стороны.          

Сразу хочется сказать: внедрение в банке отраслевых стандартов в области информационной безопасности − не голая декларация и не единовременный акт. Так, в ООО «АМT БАНК» уже более двух лет ведется работа по внедрению Комплекса БР ИББС. Официальное решение руководства банка о введении Комплекса послужило только толчком для начала огромной работы в этом направлении. Ведь здесь важно выполнение всего пакета документов и соблюдение обязательных процедур, предписанных регуляторами.

ПИСАНИНА НЕ ПУГАЕТ

Когда банку удаётся достигнуть более-менее приемлемых результатов и понизить риски, то  дело далеко не завершено - это всего лишь означает, что открывается новая обширная группа задач, направленных на достижение более высокого уровня безопасности. Важно понимать, что работа ведётся не по статической, а по циклической модели непрерывного совершенствования: сделал, проверил, переделал, снова проверил, дальше улучшил и так далее, без конца… В свою очередь, продолжается развитие самого Комплекса БР ИББС. Требования информационной безопасности регулярно обновляются, и банки должны быть постоянно готовы к этому.

В деле внедрения требований стандарта Банка России для всех кредитных организаций безусловно ценным является опыт «Россельхозбанка», «Раффайзенбанка», «Метробанка», «Возрождения» и ряда других пионеров на этом пути. В ходе работ стали очевидны определённые трудности: чтобы добиться соответствия предъявляемым требованиям в минимальные сроки, нужно привлекать немалые ресурсы, и в первую очередь − сотрудников-специалистов. Комплекс задает направление в сторону улучшения менеджмента. Соответствие требованиям, в основном, достигается за счёт разработки и, главное, внедрения комплекта документов, прописывающих политики, регламенты, протоколы, операции, настройки и т.п. Разработанные документы необходимо регулярно актуализировать, т.к. происходят изменения в архитектуре информационных систем, законодательстве, меняются продукты, задачи пользователей и т.д.

Приходится признать, писанины немало. Здесь понятна выжидательная позиция небольших банков, где каждый специалист на счету. Но и крупным кредитным организациям проще ненамного... Обеспечение информационной безопасности в принципе требует создания и внедрения большого количества сопровождающих документов. Волей-неволей приходится думать о том, чтобы «раскошелиться» на привлечение для этой работы специализированных консалтинговых фирм, а это тоже, естественно, затраты.

УВЕРЕННОСТЬ КОМФОРТНА

Ну как при этом при всём не задаться вопросом: стоит ли игра свеч? Решительно отвечаю: да, стоит. И говорю так не просто потому, что затрачено немало усилий. Позитивные результаты принятия и внедрения Комплекса БР ИББС налицо. Первыми их чувствуют сотрудники службы информационную безопасности − эти стандарты значительно улучшают взаимопонимание со службой безопасности, IT-подразделениями, юридическими подразделениями, и − что особенно важно! − с руководством банков.

И сотрудникам, и руководству, и акционерам − собственникам банков принятие отраслевых стандартов придаёт уверенности в общении и с аудиторами, и с регуляторами. Это своего рода универсальный отраслевой язык, а Комплекс БР ИБСС – своеобразный «самоучитель» этому общему языку.

Отраслевые стандарты − решающий аргумент в пользу предполагаемых мероприятий и затрат. Пример − автомобилист, который оборудовал свой автомобиль хорошей сигнализацией и набором других противоугонных систем, старающийся, по возможности, всегда соблюдать правила дорожного движения. Абсолютной гарантии от угона, аварии, или неприятного разговора с инспектором ГИБДД нет, но постоянный психологический комфорт и сокращение риска – максимальны.

Дело не только во внутренней уверенности, мол, «мы сделали всё от нас зависящее». Аудиторы, как правило, руководствуются международными нормативами обеспечения информационной безопасности, а требования Комплекса как раз разработаны на той же самой основе, являясь своеобразной «выжимкой» лучшего, максимально адаптированы к российским реалиям. Ну и конечно, насколько это возможно, обеспечивается взаимопонимание с регуляторами при проведении проверок банков.

АККУМУЛЯТОР ТРЕБОВАНИЙ

Вот и «всплывают» дополнительные удобства – Комплекс БР ИББС аккумулирует нормы и требования целого ряда законодательных и нормативно-правовых документов. В том числе Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информатизации и о защите информации»,  Федерального закона от 08 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности», также, по отдельности, требований регуляторов – ЦБ РФ, Роскомнадзора, ФСБ и ФСТЭК.

Комплекс отлично дополняет и упрощает выполнение требований PCIDSS, также соответствует различным требованиям других международных и российских стандартов. Ну разве не проще следовать единому стандарту, чем каждый раз перебирать целую подборку?

Есть еще важное маркетинговое обстоятельство – банк, соответствующий отраслевым стандартам информационной безопасности, становится привлекательным для клиентов. Ведь требования касаются безопасности их персональных данных и материальных средств. Так, например, если на сооружении есть надпись «Охраняется милицией», то доверия к данному объекту психологически больше.

А есть еще страхование рисков – перспективная новая услуга страховых компаний. Соответствие банка требованиям Комплекса БР ИБСС может оказаться обязательной гарантией для заключения договора страхования и с банком, и с клиентом. Наподобие ОСАГО + КАСКО при покупке автомобиля в кредит.

В заключение можно добавить: отраслевые стандарты являются системой с обратной связью. Каждый банк, работающий в соответствии с требованиями Комплекса БР ИБСС, не просто механический исполнитель предъявляемых извне требований. Есть реальная возможность, вырабатывая замечания и пожелания, подключиться к «живому» процессу совершенствования стандартов и стать полноправным участником этого процесса.

Практический опыт банков, внедряющих отраслевые стандарты информационной безопасности, внушает определенный оптимизм. Затраченные каждым усилия, порой немалые, способны окупаться с лихвой. Открывается перспектива выхода на качественно новый уровень обеспечения информационной безопасности не только отдельных кредитных организаций, но и банковской системы России в целом.

Публикацию подготовила Александра ЛОСЕВА