Вход
Мы в социальных сетях

Аналитика и комментарии

22 января 2020

Алексей Курских, ARinteg: Банки как драйвер информационной безопасности

A A A

Информационная безопасность давно перестала быть узкоспециализированной темой для ограниченного круга специалистов, считает Алексей Курских, руководитель направления Pre-sale по ИБ, компания ARinteg. В той или иной мере она затронула очень большое количество людей, начиная от громких скандалов со взломом серверов крупных компаний, заканчивая кражами личных аккаунтов в соцсетях.

Однако, защита информации граждан и организаций развивается непропорционально в разрезе отраслей экономики. Рассмотрим банковскую сферу, как самую насыщенную финансовыми ресурсами и персональными данными.

За последние семь лет ИБ в российской банковской сфере претерпела существенные изменения, как юридического, так и технического характера. Вышедшее в 2012 году знаковое для отрасли «Положение № 382-П» призвало финансовые организации не просто формально «иметь информационную безопасность», а уже начинать это делать более осознанно, т.е. провести, как минимум, оценку самих себя с точки зрения рисков и защиты информационных активов и отразить на бумаге фактическую ситуацию. Само собой, делать такую самооценку призывалось объективно.

Вот как раз то, что нужно излагать структурированно и на бумаге — это очень важно. Если раньше состояние дел в ИБ характеризовалось сакраментальным «Да, есть у нас ИБ, но что там конкретно от чего защищает...», то в 2012 году ЦБ РФ обязал не просто описать свою IT-инфраструктуру, а подробно оценить состояние уровней защиты. И это начало работать. Банки начали проверять самих себя, самооценку утверждать у руководства и предоставлять регулятору.

На тот момент работа для нас, как для системного интегратора, была довольно простой. Можно было оказывать консультационные услуги, и то, если заказчик того захочет. Итоговую ответственность несли сотрудники банка.

На сегодняшний день мы прошли путь от 382-П до ГОСТ 57580 во второй редакции, от простой самооценки до строгого аудита. По новым правилам проводить оценку состояния ИБ теперь можно исключительно внешним подрядчиком, имеющим необходимые лицензии. Нам пришлось усилить позиции в этой области, чтобы наиболее компетентно предоставлять подобные услуги. Мы увеличили штат и пересмотрели квалификацию коллег. Причем предыдущий опыт оказания услуг по аудиту ИБ других организаций, не относящихся к кредитно-финансовой сфере, оказался не совсем подходящим. Степень зрелости ИБ в различных отраслях разная. Мы, безусловно, сможем построить комплексную защиту предприятия, но при создании ее в банках приходится опираться на инструкции ЦБ, а значит строить по аналогии с коммерческими компаниями не всегда получается.

Определенно, от действий регулятора и введения подобных регламентирующих документов в реальной жизни есть польза. Защита информационных активов банков становится наиболее структурированной, осознанной, и вследствие этого общий индекс реальной защищённости растет. Есть, конечно, минусы – это всё стоит денег. Хотя при успешных атаках потери гораздо больше, высшее руководство не очень любит сослагательные наклонения при обсуждении необходимости тратить деньги.

Есть еще и неочевидная польза от действий регулятора. Банковская сфера впереди планеты всей по расширению кругозора в области защиты ИБ. Как это не парадоксально, часть наших заказчиков узнала о существовании некоторых продуктов и методов защиты информации только из нормативных актов ЦБ, когда их приказали внедрить. Ну что же, обучение через силу иногда довольно эффективно работает. Запрет самооценки уже благоприятно сказался на уровне безопасности и качестве наведения порядка в кредитных организациях.

А вот интересно, будет ли ИБ так же развиваться в сферах, напрямую не затронутых госрегулированием?

Вопрос сложный. Особых стимулов вкладывать деньги без указаний сверху нет. А как мы выяснили выше, некоторые методы защиты информации, хоть и являются максимально эффективными, но могут стоить неприлично много. Ну и как у нас принято - пока гром не грянет, никто сеть настраивать не будет.  С другой стороны, устойчивым трендом стало мощное самообразование сотрудников и последующая миграция оных не только в банки, но и во вполне обычные компании. Уже сейчас от специалистов, которые перешли из одной сферы в другую, мы получаем запросы на продукты и услуги по аналогии с их прошлым местом работы - банком. А, в-третьих, системные интеграторы, поднаторевшие в обеспечении ИБ в организациях, подлежащих госрегулированию, могут уже качественнее оказывать подобные услуги компаниям, не подотчетным ЦБ РФ. Получается довольно интересный образовательный процесс и передача опыта из одной отрасли в другие, несмотря на то, что в банках ИБ изначально внедрялась под некоторым принуждением.

В современных российских реалиях есть еще одна сторона ИБ, которая начинает сильно влиять на рынок. Это импортозамещение. 2020 год будет очень показательным в этом плане. У нас уже сейчас есть заказчики, попадающие одновременно под действие 187-ФЗ «О безопасности критической информационной инфраструктуры» и регуляторных актов ЦБ РФ. Их требования похожи, но это другая интересная тема для обсуждения.

  • Currently 10/10

Всего проголосовало: 1

10.0

Поделиться:

Комментировать могут только зарегистрированные пользователи

Новости банков и компаний

Предложения Новикомбанка включены в правительственный доклад по нормативному регулированию
Константин Маркелов (ОТР) выступил на юбилейном iFin
Состоялось заседание Совета по регистраторской деятельности СРО НФА
«Сбербанк страхование жизни» застраховала сотрудников медицинской лаборатории

Календарь мероприятий

Ближайшие мероприятия