Важным элементом защиты финансово-кредитных организаций от постоянных кибератак является соблюдение требований регуляторов в области информационной безопасности. Поскольку существует довольно большое количество нормативных документов, порой взаимоисключающих друг друга, банкам может быть полезна помощь внешних консультантов, компетенции которых позволяют не только формально подойти к проблеме соответствия ИБ банка требованиям регуляторов, но и решить практические задачи защиты.  

Огромные масштабы кибератак при быстром темпе развития технологий постоянно создают угрозу целостности и репутации банковского сектора. Эксперты отмечают, что в текущем году ландшафт угроз стал более сложным, атаки приобрели целенаправленный характер и бьют по слабым местам конкретной финансово-кредитной организации уже с учетом имеющихся средств защиты. Поэтому банки нередко вынуждены «латать дыры» в своей безопасности уже постфактум.

Согласно данным Банка России, всего 20% всех существующих задач по обеспечению безопасности могут быть решены техническими способами посредством средств контроля периметра, контроля доступа, сетей VPN, антивирусов, фаерволов, PKI, SSL и т.д. 

При этом 80% всех проблем решается с помощью организационных, административных, процедурных средств. Эксперты уверены, что защита данных будет эффективной лишь при наличии организованной системы управления, использующей разнообразные сервисы и процедуры, без которых этот процесс невозможно себе представить.

Наиболее серьезное внимание в настоящее время уделяется защите персональных сведений и данных платежных карточек, а также комплексной безопасности информационной банковской системы.
Важнейшей составляющей процесса обеспечения безопасности является соблюдение требований и стандартов по информационной безопасности. Следует отметить, что за последние годы в области обеспечения информационной безопасности появилось множество новых требований, которые предъявляются к организациям банковской сферы внешними регуляторами. Банк России (стандарт Банка России СТО БР ИББС-1.0-2014), международные платежные системы (стандарт Payment Card Industry Data Security Standard), SWIFT, Минкомсвязь России, Роскомнадзор, ФСТЭК, ФСБ и другие государственные и экспертные организации разрабатывают стандарты и методическую базу, позволяющие привести защиту информационных ресурсов организации в соответствие предъявляемым требованиям.

Наряду с этим банки обязаны соблюдать положения закона о защите персональных данных (ФЗ от 27.07.2006 № 152), закона о Национальной платежной системе (ФЗ от 26.07.2011 № 161).

Таким образом, финансовый сектор сегодня вынужден решать огромное количество задач, связанных с обеспечением информационной безопасности и соответствием требованиям как государственных, так и отраслевых стандартов организаций банковской сферы.

СТО БР ИББС

Больше десяти лет назад, в середине 2000-х годов, Банк России выступил инициатором создания фактически первого полноценного отраслевого стандарта ИБ банковской системы России. В нем регулятор на основе лучших мировых практик сформулировал требования и процедуры, которыми могут руководствоваться банки для обеспечения необходимого уровня ИБ, а также для выполнения требований законодательства. В результате появился комплекс стандартов по информационной безопасности банковской системы РФ – СТО БР ИББС, состоящий из ряда отдельных стандартов и рекомендаций, которые освещают общие вопросы обес­печения ИБ, а также некоторые важнейшие задачи, связанные с ним. 

Со временем отдельные документы комплекса СТО БР ИББС актуализировались. С появлением нормативных актов в области защиты персональных данных (ПДн) комплекс пополнился отраслевой моделью угроз ПДн, требованиями по обеспечению безопасности ПДн, а также методическими рекомендациями по выполнению требований законодательства в области ПДн.

Практическая значимость СТО БР ИББС заключается в том, что банкам предложен единый комплексный подход к обеспечению защиты информации и информационных технологий, позволяющий одновременно выполнять требования законодательства. При этом каждая финансово-кредитная организация может самостоятельно или с использованием внешнего аудитора провести оценку степени выполнения у себя требований СТО БР ИББС и получить ее численное значение. Полученные показатели дают возможность понять, насколько банк продвинулся в направлении защиты ИБ.
Как и любой стандарт, рассматриваемый комплекс не обязателен для выполнения в банках, он всего лишь предлагает набор лучших практик.

Конечно, изначально банки не проявляли особого рвения в соблюдении стандарта, потому что не было жестких законодательных требований, обязывающих это делать. Кредитно-финансовым организациям пришлось обратить пристальное внимание на требования ИБ после появления ряда законодательных актов, касающихся защиты персональных данных. Общеизвестно, что в России фактически для всех организаций появились обязательные требования в части ИБ только после того, как начал работать Федеральный закон «О персональных данных» и все последующие документы: его редакции, подзаконные акты и т.д. Наверное, именно ФЗ «О персональных данных» стал переломным событием в развитии отрасли обеспечения информационной безопасности. 

Новый стандарт ИБ

Следует отметить, что не так давно, в августе текущего года, был утвержден новый национальный стандарт Российской Федерации – ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», который будет введен в действие с 1 января 2018 года.

В Центробанке пояснили, что до­кумент содержит требования к организации всех основных процессов информационной защиты, включая противодействие вредоносному коду, утечкам информации, а также нарушению целостности информационной инфраструктуры. Отдельно рассмотрены требования к защите информации при осуществлении удаленного доступа с использованием мобильных устройств.

Стандарт предлагает комплексный подход к планированию, реализации, контролю и совершенствованию процесса защиты информации в финансовых организациях.

Также в документе приведены требования к защите информации на всех этапах жизненного цикла автоматизированных систем и приложений, используемых компаниями и банками.
«Переход на новые стандарты позволит финансовым организациям повысить уровень защищенности от киберпреступлений, обеспечить стабильное и бесперебойное обслуживание клиентов», – подчеркивают в Банке России.

Внешние консультанты могут помочь

Не вызывает сомнений, что главной целью регуляторов при выпуске всех нормативных документов является повышение уровня информационной безопасности данных, требующих защиты. Достигнуть этого можно путем консолидации и формализации перечня защитных мер, определения методологии, принципов и подходов в обеспечении информационной безопасности и построения систем защиты. Однако, по мнению банковских экспертов, далеко не все действующие нормативы учитывают специфику конкретных банковских систем, бизнес-процессов, изменений конъюнктуры и множество других факторов. Некоторые требования регуляторов банковские «безопасники» считают избыточными, другие – труднореализуемыми. Не говоря уже о том, что некоторые из них либо взаимоисключают друг друга, либо повторяют. Естественно, при приведении информационных банковских систем в соответствие стандартам и законодательству неизбежно возникают проблемы.

Нередко в таких случаях полезна помощь внешних консультантов, которые могут не только провести аудит информационной безопасности организации, но и предпринять ряд мер, направленных на приведение системы информационной безопасности в соответствие с требованиями российских и зарубежных стандартов. Такой подход позволяет оптимизировать затраты на создание системы ИБ, сохранить вложенные в защиту инвестиции, а также значительно сократить сроки приведения в соответствие.

Внешняя компания – консультант может взять на себя либо весь комплекс работ по приведению процессов обеспечения ИБ в соответствие требованиям стандартов, либо отдельные мероприятия. Причем перечень необходимых мер определяется в индивидуальном порядке для каждого банка с учетом его особенностей.    

 

Андрей Янкин, 
заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» 

Говоря о процессе приведения кредитных организаций в соответствие требованиям регуляторов в области ИБ, стоит обратить внимание на вопрос гармонизации положений большого числа различных нормативных документов. К банкам предъявляют требования по информационной безопасности ЦБ РФ, платежные системы (PCI DSS), SWIFT, ФСТЭК, ФСБ, Роскомнадзор и еще ряд регуляторов. Плюс существу­ют внутренние стандарты по обеспечению ИБ. Если разбивать работу по данным направлениям на отдельные проекты, то получается множество противоречащих друг другу требований и неподъемная стоимость реализации. 

В данном случае для определения правильных шагов может быть полезно привлечение внешнего консультанта. 

Хороший консультант в рамках compliance-проекта поможет не только выстроить формальное соответствие, но и решить реальные проблемы. Тем более что большая часть спе­циализированных банковских ИБ-стандартов действительно «написана кровью». Там намного меньше бессмысленных требований, чем в других отраслях. Однако сегодня нам в своей практике приходится сталкиваться с тем, что в умах банковских «безопасников» compliance по-прежнему является формаль­ной «обязаловкой». В связи с этим ими игнорируются даже совершенно вопиющие нарушения и придумываются отписки по ним. Например, не устраняются критические уязвимости в системе ДБО, которые  никогда не были бы проигнорированы, если бы были найдены в рамках отдельного проекта по анализу защищенности.