Андрей ФЕДОРЕЦ, председатель комитета по информационной безопасности Ассоциации российских банков в интервью NBJ обозначил основные темы отрасли, вокруг которых сейчас ведётся дискуссия между регулятором и экспертным сообществом.

NBJ: Назовите самые актуальные, на ваш взгляд, темы по информационной безопасности, которые активно обсуждаются экспертным сообществом в начале 2023 года.

А. ФЕДОРЕЦ: В начале 2023 года наиболее обсуждаемыми темами были две – реализация требований Федерального закона от 29.12.2022 № 572-ФЗ «О единой биометрической системе», который ввёл жёсткие ограничения на использование некоторых биометрических данных в кредитных организациях, а также исполнение Указа Президента России от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который существенным образом поменял подход к обеспечению кибербезопасности в российских компаниях. Есть ещё ряд тем, которые постоянно обсуждаются в сообществе, однако эти две – наиболее масштабные.

NBJ: Почему они вызывают такую дискуссию?

А. ФЕДОРЕЦ: Тема использования биометрических данных для выполнения финансовых операций сама по себе дискуссионная. Уже пять лет ведутся дебаты по поводу применимости и нужности подобного взаимодействия с банками. Пока побеждают те, кто утверждает, что это не нужно и вообще, следовало бы запретить, ибо опасно. Вот для подобного 572-ФЗ вводит запрет на использование и обработку биометрических данных, если они не хранятся в ЕБС. Сама дискуссия ведётся, в основном, на тему: «Надо вложить сколько-то денег для того, чтобы ещё надёжнее защитить данные, которые никаким образом в банковской деятельности не используются». Хотя есть и другие точки зрения на тему полезности широкого применения удалённой биометрической идентификации, но пока эта точка зрения проигрывает упаднической.

Второй вопрос волнует вовлечённых в процесс сотрудников подразделений информационной безопасности потому, что Указ 250 действительно вносит кардинальные изменения в процесс обеспечения информационной безопасности. Теперь на все субъекты критической информационной инфраструктуры (КИИ), к которым относятся все организации финансовой сферы, распространяются требования о назначении руководителя по информационной безопасности заместителем высшего руководителя организации. Для банков это означает, что руководитель по ИБ должен быть заместителем председателя Правления банка. Также определяется обязательность выстраивания процессов информационной безопасности с учётом современных требований.

NBJ: Взгляд регуляторных органов на решение поднятых вопросов?

А. ФЕДОРЕЦ: Представители профильных подразделений ЦБ понимают широту тектонических изменений в области ИБ, которые определяются обсуждаемыми документами и, на самом деле, пока, что называется, «предподзакрывают» глаза на то, как требования этих документов вводятся в жизнь финансовых организаций. Но, надо сказать, со стороны АРБ мы видим положительные моменты. Экспертные советы АРБ по информационной безопасности и информационным технологиям достаточно открыто обсуждают с ДИБ ЦБ различные вопросы, которые возникают в отрасли. Надеемся, что такой диалог будет позитивным.

NBJ: А что думает экспертное сообщество на этот счёт?

А. ФЕДОРЕЦ: Я уже отметил, что взгляды экспертного сообщества разделились. Часть экспертов рынка настаивает на необходимости изменить условия использования биометрии таким образом, чтобы не все банки в обязательном порядке использовали возможности УБИ, а только те, которые изъявляют желание сделать таковое. Это существенно сократило бы затраты банка на невостребованный в этом банке сервис. Меньшая часть экспертов выступает за пространство равных возможностей. Когда любой банк может предоставлять финансовые сервисы дистанционно. Но в этом случае действительно требуется вложиться в инфраструктуру обеспечения ИБ.

По теме же Указа 250 множество экспертов скептически относятся к важному требованию Указа, а именно к тому, что руководитель ИБ должен быть заместителем председателя Правления. Тут либо зампред будет далёк от понимания ИБ, либо руководитель ИБ будет не совсем зампред…

NBJ: На ваш взгляд, есть ли возможность достигнуть взаимоприемлемого решения по этим вопросам?

А. ФЕДОРЕЦ: В АРБ существует комитет по информационной безопасности и комитет по информационным технологиям. В них входят эксперты рынка, представители банков. В связи с достаточно большим количеством пересекающихся вопросов, было принято решение организовать рабочую группу двух комитетов, в которую вошли активные их представители и, что немаловажно, представители регулятора. В рамках этой рабочей группы обсуждаются вопросы, волнующие рынок и формируются документы, которые направляются в ЦБ в качестве предложений рынка.

Мы считаем, что подобный механизм позволит «сократить расстояние» между представителями регулятора и организациями финансовой сферы. 

Беседовал: Станислав Комаров

Материал также опубликован в печатной версии Национального банковского журнала (май 2023)