Вход
Мы в социальных сетях

Аналитика и комментарии

22 января 2020

Алексей Курских, ARinteg: Банки как драйвер информационной безопасности

A A A

Информационная безопасность давно перестала быть узкоспециализированной темой для ограниченного круга специалистов, считает Алексей Курских, руководитель направления Pre-sale по ИБ, компания ARinteg. В той или иной мере она затронула очень большое количество людей, начиная от громких скандалов со взломом серверов крупных компаний, заканчивая кражами личных аккаунтов в соцсетях.

Однако, защита информации граждан и организаций развивается непропорционально в разрезе отраслей экономики. Рассмотрим банковскую сферу, как самую насыщенную финансовыми ресурсами и персональными данными.

За последние семь лет ИБ в российской банковской сфере претерпела существенные изменения, как юридического, так и технического характера. Вышедшее в 2012 году знаковое для отрасли «Положение № 382-П» призвало финансовые организации не просто формально «иметь информационную безопасность», а уже начинать это делать более осознанно, т.е. провести, как минимум, оценку самих себя с точки зрения рисков и защиты информационных активов и отразить на бумаге фактическую ситуацию. Само собой, делать такую самооценку призывалось объективно.

Вот как раз то, что нужно излагать структурированно и на бумаге — это очень важно. Если раньше состояние дел в ИБ характеризовалось сакраментальным «Да, есть у нас ИБ, но что там конкретно от чего защищает...», то в 2012 году ЦБ РФ обязал не просто описать свою IT-инфраструктуру, а подробно оценить состояние уровней защиты. И это начало работать. Банки начали проверять самих себя, самооценку утверждать у руководства и предоставлять регулятору.

На тот момент работа для нас, как для системного интегратора, была довольно простой. Можно было оказывать консультационные услуги, и то, если заказчик того захочет. Итоговую ответственность несли сотрудники банка.

На сегодняшний день мы прошли путь от 382-П до ГОСТ 57580 во второй редакции, от простой самооценки до строгого аудита. По новым правилам проводить оценку состояния ИБ теперь можно исключительно внешним подрядчиком, имеющим необходимые лицензии. Нам пришлось усилить позиции в этой области, чтобы наиболее компетентно предоставлять подобные услуги. Мы увеличили штат и пересмотрели квалификацию коллег. Причем предыдущий опыт оказания услуг по аудиту ИБ других организаций, не относящихся к кредитно-финансовой сфере, оказался не совсем подходящим. Степень зрелости ИБ в различных отраслях разная. Мы, безусловно, сможем построить комплексную защиту предприятия, но при создании ее в банках приходится опираться на инструкции ЦБ, а значит строить по аналогии с коммерческими компаниями не всегда получается.

Определенно, от действий регулятора и введения подобных регламентирующих документов в реальной жизни есть польза. Защита информационных активов банков становится наиболее структурированной, осознанной, и вследствие этого общий индекс реальной защищённости растет. Есть, конечно, минусы – это всё стоит денег. Хотя при успешных атаках потери гораздо больше, высшее руководство не очень любит сослагательные наклонения при обсуждении необходимости тратить деньги.

Есть еще и неочевидная польза от действий регулятора. Банковская сфера впереди планеты всей по расширению кругозора в области защиты ИБ. Как это не парадоксально, часть наших заказчиков узнала о существовании некоторых продуктов и методов защиты информации только из нормативных актов ЦБ, когда их приказали внедрить. Ну что же, обучение через силу иногда довольно эффективно работает. Запрет самооценки уже благоприятно сказался на уровне безопасности и качестве наведения порядка в кредитных организациях.

А вот интересно, будет ли ИБ так же развиваться в сферах, напрямую не затронутых госрегулированием?

Вопрос сложный. Особых стимулов вкладывать деньги без указаний сверху нет. А как мы выяснили выше, некоторые методы защиты информации, хоть и являются максимально эффективными, но могут стоить неприлично много. Ну и как у нас принято - пока гром не грянет, никто сеть настраивать не будет.  С другой стороны, устойчивым трендом стало мощное самообразование сотрудников и последующая миграция оных не только в банки, но и во вполне обычные компании. Уже сейчас от специалистов, которые перешли из одной сферы в другую, мы получаем запросы на продукты и услуги по аналогии с их прошлым местом работы - банком. А, в-третьих, системные интеграторы, поднаторевшие в обеспечении ИБ в организациях, подлежащих госрегулированию, могут уже качественнее оказывать подобные услуги компаниям, не подотчетным ЦБ РФ. Получается довольно интересный образовательный процесс и передача опыта из одной отрасли в другие, несмотря на то, что в банках ИБ изначально внедрялась под некоторым принуждением.

В современных российских реалиях есть еще одна сторона ИБ, которая начинает сильно влиять на рынок. Это импортозамещение. 2020 год будет очень показательным в этом плане. У нас уже сейчас есть заказчики, попадающие одновременно под действие 187-ФЗ «О безопасности критической информационной инфраструктуры» и регуляторных актов ЦБ РФ. Их требования похожи, но это другая интересная тема для обсуждения.

  • Currently 10/10

Всего проголосовало: 1

10.0

Поделиться:

Комментировать могут только зарегистрированные пользователи

Новости банков и компаний

В 10 российских городах растет спрос на золото перед 8 Марта
О сборе предложений о мерах по поддержке малого бизнеса через операторов инвестиционных платформ
Российская валюта: коронавирус и Сирия
Новикомбанк оказывает финансовую поддержку проекту МС-21

Календарь мероприятий

Ближайшие мероприятия