Аналитика и комментарии
Руслан Рахметов, ГК «Интеллектуальная безопасность» (бренд Security Vision): Эволюция подхода мегарегулятора к вопросам обеспечения ИБ
Актуальность вопросов информационной безопасности неоднократно подчеркивалась на самом высоком государственном уровне. И, естественно, это затрагивает кровеносную систему экономики – кредитно-финансовую сферу, в которой основные тренды формирует и, можно сказать, формализует мегарегулятор в лице Центрального банка. Главным направлением, задачей, является переход от формального выполнения требований информационной безопасности к риск-ориентированному подходу и минимизации реальных рисков с использованием вычислимых, измеряемых деньгами, показателей обеспечения ИБ.
Наличие такой вычислимой эффективности инвестиций в ИБ и соответствующий надзор регулятора будут мотивировать менеджмент организаций проводить дополнительную работу по минимизации рисков ИБ.
Прорабатываемый Центральным банком риск-ориентированный подход к ИБ поднадзорных будет учитывать показатели:
– несанкционированных операций, что напрямую касается клиентов и их денежных средств;
– операционной надежности;
– оценки соответствия требованиям регулятора;
– информационного фона;
– качества корпоративного управления.
Будет составлен соответствующий риск-профиль, оценка которого будет влиять на требования к резервированию, т.е. возникнет прямая зависимость недостатков ИБ и экономических показателей организации. Негативные изменения в показателях риск-профиля также привлекут особое внимание регулятора, которое обязательно результируется внеочередной проверкой на местах.
Хотелось бы обратить внимание и на дополнение надзора за выполнением требований регулятора контролем «внешних», выходящих за периметр организации, показателей информационной безопасности, а именно показателей информационного фона, операционной надежности и фрода. Это серьезный шаг в развитии, так как не всегда реальный уровень информационной безопасности соответствует заключению аудитора и отчетам. Более того, на последних тематических мероприятиях регулятор анонсировал ряд инициатив по переходу от периодического контроля к непрерывному, подкрепляя их углубленным анализом бизнес-процессов поднадзорных, механизмами расширенной аналитики, выявления и прогнозирования рисков ИБ с учетом специ-фики организаций, при использовании технологий обработки больших данных, с последующим фактическим контролем через проведение киберучений.
Для реализации данных инициатив планируется развитие механизмов информационного обмена поднадзорных с регулятором (в том числе, на базе ФинЦЕРТа) в целях сбора статистики по реализованным рискам и уточненной оценке возникающих потерь, что также даст возможность более точной оценки рисков в денежном эквиваленте. Можно предположить, что такие данные в обобщенном виде сделают доступными рынку, и это даст безопасникам на местах железную аргументацию при обосновании затрат на ИБ. В таких условиях без комплексной автоматизации и контроля показателей практически в режиме «онлайн» организации невозможно будет «держать руку на пульсе», поспевая за регулятором. При этом регулятор подчеркивает, что сам надзор будет смещаться от карательного в сторону консультативного, и действия будут направлены в первую очередь на повышение реального уровня информационной безопасности в кредитно-финансовой сфере.
На мой взгляд, регулятор отвечает вызовам времени и выпускает своевременные нормативы. Мы, как производители средств защиты в области управления информационной безопасности, видим это, как никто другой. Ранее было невозможно иметь картину защищенности в режиме реального времени. На сегодня технологии и опыт в области управления информационной безопасностью позволяют это сделать. За последнее десятилетие рынок ИБ скакнул от классических SIEM систем до автоконтроля ИБ. Финансовый сектор – один из первых, кто начинал внедрять SIEM системы, постепенно перебираясь к более зрелым моделям и построению SOC систем. Выстроив стройные дежурные смены и набрав опыта и экспертизы, представители финансовой отрасли одними из первых задумались об автоматизации/роботизации SOCов и реагирования на киберинциденты, переходя на новый уровень систем – IRP системы.
В настоящее время выражен тренд на внедрение IRP систем, направленных на автоматизацию, роботизацию и повышение эффективности процессов управления, реагирования и расследования инцидентов ИБ. Фундаментом для появления IRP систем стали SOCи. А IRP системы стали фундаментом для нового уровня ИБ-систем класса SGRC (auto-SGRC) – появилась возможность соответствовать требованиям регулятора в автоматическом режиме, осуществлять автоконтроль ИБ.
Линейка продуктов Security Vision на сегодняшний день способна удовлетворить все актуальные потребности обеспечения информационной безопасности финансового сектора:
1. Security Vision SOC – построение ситуационных центров ИБ, дающих возможность наглядного и управляемого процесса обработки киберинцидентов, с акцентом на процессы и наглядность. Процессы, как правило, в жизни сложнее, чем в теории, мы помогаем начать с AS IS и усовершенствовать их под заказчика. Важно, что теперь знания накапливаются и процессы совершенствуются.
2. Security Vision IRP – автоматизация и роботизация SOC. Для тех, кто готов к автоматизированному оператору и набрал опыт в ручном управлении SOC. Это действенный инструмент, если вы ограничены в ресурсах. Позволяет офицерам безопасности охватить всю инфраструктуру и увеличить глубину проверок безопасности. С внедрением решения многие заказчики констатируют, что вопрос нехватки кадров у них полностью решен.
3. Security Vision SGRC – история про compliance (ФЗ-152, СТО БР ИББС, PCI-DSS, ГОСТ Р 57580 и др.), аудиты, документы, уязвимости, риски и основные процессы ИБ. Предназначен для автоматизации построения комплексной системы управления ИБ, позволяющей оперативно принимать управленческие решения, основываясь на объективных данных из множества систем. Управление рисками полноценно входит в продукт, хотя мы его и выделили в отдельный продукт CRS. Отдельно мы реализуем auto-SGRC – автоконтроль требований ИБ, который базируется на IRP инструментах и дополняется Complince методами.
4. Security Vision CRS – отдельный продукт для автоматизации процессов управления рисками кибербезопасности. Данный инструмент позволяет произвести как количественную, так и качественную оценку киберрисков автоматически, что сейчас крайне актуально в свете Проекта положения о СУОР Центробанка. В ряде случаев мы автоматизируем полностью СУОР, а не только киберриски. Риски – основополагающий домен в области ИБ, поэтому это не просто модуль в нашем продукте, а отдельный продукт линейки Security Vision. Общеизвестно, что 2020 году часть требований регулятора в сфере ИБ станет обязательной для кредитных организаций. И на рынке уже есть инструментарий – CRS, который может помочь выполнить эти требования.
5. Security Vision КИИ – продукт, который целенаправленно создавался для автоматизации обеспечения соответствия требованиям 187-ФЗ. Процесс в Security Vision КИИ выстроен с учетом нормативной документации 187-ФЗ, ПП 127, Приказов ФСТЭК № 235, 236, 239. Продукт позволяет построить взаимодействие с технической инфраструктурой НКЦКИ (ГосСОПКА – Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) с учетом нормативных документов Приказа ФСБ №367, 368.
Еще одним важным направлением в обеспечении кибербезопасности кредитно-финансовой сферы является развитие инновационных финансовых технологий и, в частности, обеспечение их информационной безопасности. Центральный Банк сам выступает в качестве двигателя развития и внедрения таких технологий, активно участвует в их практической реализации: достаточно вспомнить уже реализованные сервис быстрых платежей (СБП), мастерчейн (сертифицированную блокчейн-платформу), единую биометрическую систему и перспективные – финансовый маркетплейс, цифровой профиль, открытые программные интерфейсы (OpenAPI), инициативу по регуляторной «песочнице». Такая активность выражается в раннем подключении регулятора к решению вопросов обеспечения ИБ и регулирования финтеха, что, по сути, позволяет участникам минимизировать затраты, обеспечить информационную безопасность новых технологий и снизить регуляторные риски, получив «на выходе» более зрелые продукты. Банк России сообщает, что в сфере его интереса также находятся такие технологии, как Big Data, искусственный интеллект, интернет вещей, распределенные реестры и т.д. Так что в ближайшие годы можно ожидать появления соответствующей нормативной базы регулятора.
Также хотелось бы обратить внимание на инициативы регулятора по повышению профессионального уровня сотрудников организаций кредитно-финансовой сферы и подготовке кадров, в частности, разработку профессиональных стандартов «Специалист в области финансовых технологий» и «Специалист по информационной безопасности в кредитно-финансовой сфере», а также по повышению финансовой грамотности («киберграмотности») населения и информирования по вопросам, связанным с информационной безопасностью. Последняя инициатива (с привлечением самих организаций кредитно-финансовой сферы) при должном подходе и масштабности даст эффект в борьбе с социальной инженерией, которая стала трендом последних лет, когда точка возникновения инцидентов значительно сместилась от банков и их инфраструктуры в сторону клиентов.
В итоге можно сказать, что мегарегулятор выступает драйвером развития и формирует тенденции, которые в перспективе обещают значительно повысить уровень информационной безопасности поднадзорных и их клиентов, что будет иметь ярко выраженный экономический эффект, благоприятно скажется на бизнесе и даст конкурентные преимущества, в том числе, на глобальном рынке. Вероятно, другие регуляторы и вместе с ними законодатели будут активно перенимать опыт Центрального банка и реализовывать перспективные подходы к регулированию сферы ИБ.
Материал также опубликован в печатной версии Национального банковского журнала (№189, март).