18/04/2013

Федеральный закон № 161-ФЗ от 27 июня 2011 года «О национальной платёжной системе» наделил Банк России правом государственного регулирования защиты информации в национальной платёжной системе. В связи с этим стал актуальным ряд вопросов о будущем отраслевого стандарта. Каковы теперь его роль и место, как изменятся условия применения комплекса документов «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»?

МОДЕРНИЗАЦИЯ АКТУАЛЬНА

Чтобы обрисовать перспективы отраслевого стандарта, нужно осмыслить произошедшие перемены. К началу 2013 года 533 кредитные организации, или 59,4% общего количества, в той или иной форме приняли отраслевой стандарт. Многие, 338 кредитных организаций, провели оценку своего соответствия требованиям стандарта самостоятельно – 314 (92,9%), либо воспользовались услугами сторонних организаций – 24 (7,1%) (Таблица 1).

Таблица 1. Уровни соответствия отраслевому стандарту обеспечения кредитно-финансовыми организациями информационной безопасности (результаты оценки)

Уровень

Количество банков / % общего числа

EVоопд

EVозпд1

EVозпд2

R

0

Количество

14

7

15

24

% общего числа

4,14

2,07

4,44

7,1

1

Количество

32

36

23

91

% общего числа

9,47

10,65

6,8

26,92

2

Количество

82

95

75

85

% общего числа

24,26

28,11

22,19

25,15

3

Количество

87

96

90

60

% общего числа

25,74

28,4

26,63

17,75

4

Количество

8

81

96

60

% общего числа

2,37

23,96

28,4

17,75

5

Количество

115

23

39

18

% общего числа

34,02

6,8

11,54

5,33

 

В настоящий момент интересен не столько подробный анализ приведённой сводной статистики результатов оценки (см. таблицу). Главное, что руководство большинства кредитных организаций стало уделять достаточно серьёзное внимание обеспечению информационной безопасности, причём на регулярной основе. С точки зрения регулятора именно это обстоятельство является наиболее важным.

На повестке дня стоит вопрос пересмотра методики оценки соответствия требованиям стандарта. Потому что действующая методика основательно отстала от новых реалий банковского сообщества. Для начала просто обозначив этот вопрос, отметим, что он требует отдельного обсуждения и проработки вместе с банковским сообществом.

К ОТРАСЛЕВОЙ МОДЕЛИ УГРОЗ

Учитывая темпы продвижения стандарта, необходимо своевременно учитывать при его развитии различные тенденции. Прежде всего, последние изменения законодательства о защите персональных данных. Это одно из важных направлений модернизации отраслевого стандарта информационной безопасности, всего комплекса документов.

Новая редакция ФЗ-152 от 25 июля 2011 года предоставила Банку России право разработать для кредитно-финансовых организаций модель угроз безопасности персональных данных. Формирование отраслевой модели угроз безопасности персональных данных будет сопровождаться совершенствованием требований отраслевого стандарта. Эта работа уже начата, ведётся она не кулуарно, а будет сопровождаться открытым обсуждением всем банковским сообществом.

Для этого есть эффективные площадки – Ассоциация российских банков, НП "Национальный платёжный совет" и иные отраслевые общественные организации и объединения. Разработка отраслевой модели угроз безопасности персональных данных будет производиться с учётом как особенностей деятельности самого Банка России, так и бизнес-процессов коммерческих банков. Далее, на основании принятой модели угроз будут сформулированы требования к обеспечению защиты информации.

Ряд норм окажутся новыми, другие предстанут новыми версиями уже существующих, модернизированных на основании требований других государственных регуляторов нашей отрасли - ФСТЭК России, ФСБ России и Роскомнадзора. Комплекс документов отраслевого стандарта будет гармонизироваться Банком России по мере поступления новых требований других регуляторов, с учётом специфики отраслевой модели угроз. Отдельной проработки заслуживает угроза недокументированных возможностей оборудования и программного обеспечения. Не для всех систем и не для всех кредитных организаций она является столь актуальной.

РЕСУРСНОЕ ОБЕСПЕЧЕНИЕ

Отдельное направление работ – это рекомендации по ресурсному обеспечению служб информационной безопасности кредитно-финансовых организаций. На сегодняшний день любая служба безопасности сталкивается, прежде всего, с вопросом, как мотивировать руководство или акционера организации на выделение тех или иных ресурсов для её деятельности. Подобная задача существует и в Банке России.

У кредитных организаций возникают вопросы, как практически выполнять требование положения Банка России 382-П иметь службы информационной безопасности не только в центральном офисе, но и в филиалах банка. Поэтому сейчас идет работа по формированию рекомендательного документа, на методологическом уровне обосновывающего обеспечение информационной безопасности ресурсами – кадрами, финансами и т.д.

МИНИМУМ ДЛЯ ПРИЛОЖЕНИЙ ДБО

Практика показывает, что есть необходимость формировать требования к кредитно-финансовым организациям в части обеспечения информационной безопасности приложений, в том числе с помощью которых клиенты пользуются дистанционным банковским обслуживанием. Поскольку актуальными для кредитно-финансовых организаций, включая Банк России, являются риски, связанные с появлением всё новых и новых банковских прикладных решений и программных продуктов для них. Достижения в обеспечении их безопасности не столь впечатляющие.

Одна из тенденций в развитии банковского бизнеса – это увеличение доли дистанционного взаимодействия с клиентом. В том числе с использованием ДБО. В программных продуктах систем ДБО, предлагаемых разработчиками, выявляется много недостатков. Таких, как использование устаревших модулей со всем давно известными уязвимостями. Иногда создается впечатление, что разработчики системы или приложения вспомнили об информационной безопасности только в последнюю минуту.

Полностью контролировать ситуацию с клиентскими приложениями банковских систем ДБО вряд ли возможно. Их сертификация в современных условиях недостижима, стремиться к ней неправильно. Но Банк России видит необходимым, в первую очередь для себя, разработать рекомендательные требования к безопасности банковских приложений.

Требования к информационной безопасности прикладных программных продуктов будут включать минимальные параметры безопасности и порядок оценки соответствия установленным критериям. Таким образом, подобные рекомендации могут служить хорошим методологическим инструментом для общения кредитной организации и разработчиков систем ДБО, что в свою очередь позволит обеспечить минимально достаточный уровень информационной безопасности банковских IT-сервисов.

УПРАВЛЕНИЕ ИНЦИДЕНТАМИ

Следующее направление развития отраслевого стандарта, важное и перспективное, – конкретизация требования к управлению инцидентами. Современные автоматизированные средства каждый день фиксируют события безопасности, которые в больших количествах происходят в информационных системах банка. Отраслевой стандарт указывает, что инцидентами информационной безопасности надо управлять. Но пока нет даже рекомендаций, как это делать.

Проработать для кредитно-финансовых организаций порядок управления инцидентами информационной безопасности, включая инциденты ДБО, – вот очередная задача, которая решается в настоящее время Банком России. Для этого будет определено, что считать просто событием информационной безопасности, а что инцидентом, кто и как должен реагировать на такие инциденты.

Работа эта не просто на ближайшую, но и на более отдалённую перспективу. В практику всё полнее входят новые технологии, в том числе облачные вычисления и мобильные решения. Играя на опережение, в настоящее время Банк России отрабатывает требования информационной защиты облачных сервисов и мобильного доступа к внутренним информационным ресурсам организаций. Предполагается, что появится соответствующий документ рекомендательного характера.

ПРЕДУПРЕДИТЬ УТЕЧКИ

Следующее направление развития стандарта – защита от утечек информации по различным информационным каналам, в том числе при использовании сервисов социальных сетей в банковской деятельности. Социальные сети – явление не новое, но перспективное и заметное, потому и присутствие в них банков и их сотрудников формирует новые угрозы.

В социальных сетях присутствуют все крупные кредитно-финансовые организации, а индивидуально участвуют сотрудники практически всех банков. Делается это во многом интуитивно, потому что пока трудно сказать, как такое присутствие сказывается на собственно банковской деятельности. В любом случае понятно, что должна обеспечиваться защита персональных данных.

Но присутствие банков и их сотрудников в социальных сетях может также подпадать под действие федерального закона ФЗ-98 от 29 июля 2004 года «О коммерческой тайне». А также – ст. 26 о банковской тайне ФЗ-395-1 от 2 декабря 1990 года «О банках и банковской деятельности». Тем самым присутствие сотрудников банков в социальных сетях с точки зрения возможностей утечки важной информации напрямую относится к сфере обеспечения информационной безопасности.

ИНТЕГРАЦИЯ С ТЕЛЕКОМОМ

Вопрос, который предстоит активно разрабатывать – быстрая интеграция банковского бизнеса со смежными видами, в первую очередь с телекоммуникационными компаниями. Идут встречные процессы. Банки всё шире используют сервисы, осуществляемые посредством телекоммуникаций. Телекоммуникационные компании, в свою очередь, осваивают платёжные сервисы, выступают как участники национальной платёжной системы, создают собственные банки.

Такая интеграция требует формирования общего пространства доверия между телекоммуникационными компаниями и кредитно-финансовыми организациями. Чтобы сделать это, нужно наметить пути сближения, стыковки, взаимной адаптации стандартов информационной безопасности, разработанных в банковской системе и для телекоммуникаций.

Наше встречное движение друг к другу – многообещающая перспектива, востребованная тема. Принадлежа к банковскому сообществу, призываем коллег двигаться навстречу телекоммуникационным компаниям, искать точки соприкосновения наших стандартов информационной безопасности с их стандартами.

ПРИЗЫВ К СОТРУДНИЧЕСТВУ

Вести разработку отраслевого стандарта по перечисленным направлениям Банк России будет согласно базовым принципам взаимодействия с банковским сообществом. Один из них, который неуклонно соблюдается, – равные возможности взаимодействия для всех представителей, без преференций для кого-либо.

Ценно мнение каждой общественной организации – ассоциации, партнёрства. Все должны быть услышаны, у каждого должна быть возможность высказать свою точку зрения. Такой подход полезен и всему банковскому сообществу, и Банку России, и другим государственным регуляторам, и государству в целом.

Базовой площадкой обсуждений и совместной работы по-прежнему остаётся подкомитет №1 технического комитета №122 «Стандарты финансовых операций». В Банке России ответственным за развитие отраслевого стандарта было и остается Главное управление безопасности и защиты информации – ГУБиЗИ. Мы полностью открыты для взаимодействия.

В части формирования отраслевых стандартов ресурсы Банка России не безграничны. Именно поэтому ПК1 ТК122 открыт для сотрудничества. Специалистов и организации, у которых есть замечания и предложения, призываем не выступать пассивными наблюдателями и критиками, а активно участвовать в развитии отраслевого стандарта.