Банковская система является краеугольным камнем кредитно-финансовой сферы государства и важнейшим финансовым институтом современного общества. В связи с этим на неё возлагаются особые требования к обеспечению информационной безопасности. Как соответствовать требованиям по информационной безопасности в условиях усиления нагрузки со стороны Центрального банка? Своими рекомендациями делятся специалисты ООО «ЦИБИТ»: Олег Иванов, генеральный директор компании, и Роман Косичкин, ведущий эксперт по комплаенсу финансово-кредитной сферы.

Олег Иванов, генеральный директор ООО "ЦИБИТ"

Одним из направлений деятельности ГК «ЦИБИТ» является аудит безопасности кредитных организаций на соответствие требованиям Банка России и других регуляторов.

Автоматизированные банковские системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и о проведении различных финансовых операций. В современном мире стоимость и значимость такой информации многократно возросли, что, в свою очередь, не могло не привлечь рост преступного интереса к ней.

В связи с этим регламентация процессов ИБ и деятельность соответствующих подразделений всегда были в фокусе внимания регуляторов. В последнее время Банк России, как мегарегулятор в кредитно-финансовой сфере принял ряд документов (положений, стандартов), определяющих критерии правильности построения систем ИБ и управления ими.

Однако, при исполнении принятых нормативных документов приходится сталкиваться с определенными трудностями. Специалисты, работающие в подразделениях ИБ банков, должны быть настоящими профессионалами своего дела, одинаково хорошо ориентирующимися во всех областях защиты информации. Кроме того, дополнительные требования предъявляются и к количественному составу служб ИБ.

Эта проблема особенно актуальна для малых и средних финансовых организаций. Требования регуляторов практически одинаковы для всех предприятий кредитно-финансовой сферы, однако, зачастую, у небольших банков не хватает персонала подразделения ИБ, чтобы одинаково хорошо соответствовать всем требованиям. Необходимость подготовки массы документов, работа с большим количеством технических средств защиты, организация и проведение мероприятий по повышению осведомленности пользователей приводит к большой нагрузке на службу ИБ.

Данная проблема актуальна также и для процесса получения оценок соответствия. Аудиторам информационной безопасности очень важно собрать как можно больше сведений о том объекте, которому дается оценка. В качестве свидетельств аудита выступают и документы, регламентирующие систему ИБ и управление ею, и дополнительные свидетельства, такие как настройки систем безопасности, активных сетевых устройств, данные из системных журналов, организация доступа пользователей к различным информационным системам. На практике это оборачивается большими затратами ресурсов как со стороны команды аудиторов, так и специалистов организации-заказчика. Для получения свидетельств, как правило, выделяется сотрудник службы ИБ, который совместно с аудитором затрачивает значительное количество времени для сбора и подготовки данных, влияющих на итоговую оценку.

Роман Косичкин, ведущий эксперт по комплаенсу финансово-кредитной сферы ООО "ЦИБИТ"

Выходом из данной ситуации стало бы наличие программных или аппаратно-программных систем, автоматизирующих часть деятельности службы защиты информации. Эти системы могли бы аккумулировать сведения об актуальных версиях нормативных и организационно-распорядительных документах финансовой организации, о режимах доступа пользователя к информационным системам, о составе программного обеспечения, о настройках систем защиты на компьютерах пользователей, проведенные с ними тренинги и проверки полученных знаний. Предоставление этой информации на единой панели управления позволило бы получить полную картину построенной системы обеспечения информационной безопасности и снизило бы остроту проблемы как построения комплексной защиты, так и ее оценки. Наличие в малых и средних банках подобной системы, в которой все основные показатели, относящиеся к безопасности, сосредоточены в одном месте, резко снизит нагрузку на сотрудников и на аудиторов подразделений ИБ. В этом случае качество защиты и итоговая оценка аудита возрастут, лучше отражая реальное состояние.