В какой степени использование механизмов саморегулирования, хорошо зарекомендовавшее себя во многих отраслях российской экономики, способно повысить эффективность обеспечения информационной безопасности? Каковы особенности саморегулирования этой области и, в частности – информационной безопасности банков? Эти вопросы – не отвлечённые, а самые практические, поскольку ответы на них помогут определить правильный вектор создания СРО в этой отрасли.

 

НЕОБХОДИМЫЕ ПРЕДПОСЫЛКИ

21 марта 2014 года в рамках недели российского бизнеса прошел IV Всероссийский форум саморегулируемых организаций «Саморегулирование в России: опыт и перспективы развития». Свыше 700 представителей профессионального и предпринимательского сообщества – активных участников саморегулирования, представляющих более 60 отраслей экономической деятельности – лично приняли участие в форуме, и ещё около 2 000 – в интерактивном режиме.

На форуме было отмечено, что сегодня в России насчитывается уже более 1 500 саморегулируемых организаций (СРО), а в той или иной степени в саморегулировании участвуют примерно 10 млн человек. Таким образом, саморегулирование как общественно-правовой институт в нашей стране вполне состоялось. Однако механизмы саморегулирования пока не используются в отрасли информационной безопасности в целом, в том числе применительно к финансово-кредитной системе.

В России пока нет таких СРО, в отличие от других областей, где они успешно функционируют – финансового аудита, строительства, проектирования и т.п. Между тем мировая практика демонстрирует возможность успешной деятельности в области информационной безопасности организаций, аналогичных СРО. Пример тому, хорошо известный, – Совет по стандартам безопасности индустрии платёжных карт (Payment Card Industry Security Standards Council, PCI SSC).

Чтобы обрисовать перспективы саморегулирования на российском рынке информационной безопасности, нужно рассмотреть его структуру (см. Диаграмму 1).

ДИАГРАММА 1. Сегментация рынка информационной безопасности в России (Источник: исследование «Рынок информационной безопасности в Российской Федерации», Е.Царев и др.)

Как можно увидеть, львиную долю рынка – 70% занимают решения по антивирусной защите и сетевой безопасности, в том числе 41% – по сетевой безопасности, 29% – антивирусная защита. Доля консалтинга находится в пределах 5–10%, а аудит представлен весьма незначительно – около 1%. Налицо высокая концентрация определённых видов услуг в сфере IT-безопасности, что открывает объективную возможность использования механизмов саморегулирования. Речь идёт именно об обретении некоммерческим партнёрством субъектов предпринимательства, занимающихся близкими видами деятельности, статуса СРО.

ПРОБЛЕМЫ ДЕЙСТВУЮЩЕГО ПОРЯДКА РЕГУЛИРОВАНИЯ

Рассмотрим, каким образом в настоящее время осуществляется регулирование отрасли информационной безопасности, формируется и развивается нормативно-правовая база, ведётся контрольно-надзорная деятельность.

Нормативно-правовую базу образуют:

• Конституция России;
• законы федерального уровня (в т.ч. кодексы и т.п.);
• указы Президента России;
• постановления Правительства России;
• нормативные правовые акты федеральных министерств и ведомств, субъектов РФ, органов местного самоуправления;
• международные договоры РФ;
• государственные (национальные) стандарты;
• международные стандарты;
• рекомендации, методические указания по стандартизации.

Государственными регулирующими организациями являются:

• Федеральная служба безопасности России (ФСБ России);
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
• Федеральная служба надзора в сфере информационных технологий и массовых коммуникаций (Роскомнадзор);
• Центральный банк Российской Федерации (Банк России).

Государственными организациями, осуществляющими контрольно-надзорную деятельность, являются:

• Совет безопасности России;
• Комитет по безопасности Государственной Думы РФ;
• Федеральная служба безопасности России (ФСБ России);
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
• Министерство внутренних дел РФ (МВД России);
• Министерство коммуникаций и связи РФ;
• Центральный банк РФ (Банк России).

Достаточно ли перечисленных организаций для эффективного регулирования отрасли обеспечения информационной безопасности? Чтобы ответить на этот вопрос, следует учитывать, что единого государственного органа, который централизованно принимал бы решения в области регулирования ИБ, в настоящее время нет. Что не может не сказываться негативно на эффективности регулирования отрасли.

Новые информационные технологии и сервисы в настоящее время возникают быстро и порой неожиданно. К тому же, во многом в рамках глобальной телекоммуникационной инфраструктуры, включающей обширные зарубежные ресурсы. Так, в настоящий момент значительный перечень серьёзных информационных угроз привносится телекоммуникационными сервисами. Их предоставляют компании, деятельность которых выходит за рамки полномочий перечисленных государственных организаций.

Учитывая названные моменты, государству бывает трудно заблаговременно, без запаздывания выстраивать результативные механизмы регулирования их информационной безопасности. С другой стороны, сами участники рынка услуг связи и информационно-телекоммуникационных сервисов не выступают с заметными инициативами по решению этой проблемы. Между тем, в одиночку её решить нельзя, требуется взаимодействие информационно-телекоммуникационных компаний друг с другом, с государственными органами, банками и другими участниками отрасли.

Нормативно-правовое регулирование информационной безопасности IT-отрасли осложняется и тем, что не подпадает под действие федерального закона № 184-ФЗ от 27 декабря 2002 года «О техническом регулировании». Возможно, по этой причине усилия по созданию отраслевых технических регламентов не привели к положительным результатам.

Проблемы, возникающие с механизмами регулирования отрасли обеспечения информационной безопасности, сопровождаются рядом негативных последствий. Наиболее заметное следствие – рост киберпреступности, которая обсуждается сейчас на уровне ООН в одном ряду с работорговлей, незаконной миграцией, оборотом оружия и торговлей наркотиками. Вопросы борьбы с киберпреступностью приобретают всё более высокий приоритет среди наиболее актуальных вопросов деятельности российского государства.

Другая проблема – снижение эффективности затрат на информационную безопасность, когда значительные вложения совершаются в системы и средства не самой высокой результативности. Более дальние последствия – замедленное развитие IT-сервисов и бизнеса, отставание от потребностей населения в электронных услугах. В конечном счёте, такие тенденции мало способствуют повышению авторитета государства как регулятора отрасли IT-безопасности.

ПЛЮСЫ САМОРЕГУЛИРОВАНИЯ

Восполнить указанные недостатки отечественной системы регулирования отрасли информационной безопасности может СРО. Основной принцип саморегулирования – передача государственными органами части контрольно-надзорных функций за деятельностью субъектов рынка им самим, точнее – их некоммерческому партнёрству, которому придан соответствующий статус. В таком случае государственные органы разгружаются от оперативного контроля деятельности участников рынка, сосредоточиваясь на надзоре за её результатами. Очевидно, что такой подход выгоден как для государства, так и для самих участников рынка.

Участники рынка, объединившиеся в саморегулируемую организацию, будучи заинтересованными в прибыльности, выстраивают между собой равноправные отношения цивилизованной конкуренции. Вместе с тем они получают большие возможности донести свою точку зрения на важнейшие вопросы до государственных регуляторов. В частности, на развитие нормативно-правовой базы, включая сам институт саморегулирования. Такое консолидированное мнение участников рынка более весомо, чем каждого по отдельности, и чем просто некоммерческих партнёрств, не обладающих статусом СРО.

Государство, внедряя и поддерживая институт саморегулирования, получает возможность оптимизировать деятельность своих организаций, сокращать затраты ресурсов на регулирование такой специфической сферы как IT-безопасность. Кроме надзора за результатами работы действующих на рынке отраслевых СРО, за государственными органами остаётся дополнительное регулирование их деятельности, совершенствование «правил игры» в обоюдных интересах.

Можно обоснованно утверждать, что российская отрасль обеспечения информационной безопасности успешно дозревает до саморегулирования. На текущий момент сформировался и продолжает активно развиваться рынок организаций, специализирующихся на различных аспектах этой деятельности. Создаются некоммерческие организации – ассоциации компаний и профессиональные объединения специалистов, проводятся деловые мероприятия, работают различные дискуссионные площадки. Участники отрасли принимают активное участие в совершенствовании нормативно-правовой базы – стандартов, формулируют позицию в отношении регламентирующих документов, выдвигают законодательные инициативы.

Вместе с тем налицо возможности повышения ответственности участников рынка, создания системы дополнительных гарантий высокого качества их деятельности. Потому что, к сожалению, пока отсутствует фильтр, в том числе при проведении конкурсов и аукционов, который бы отсеивал те организации, надлежащее качество продуктов и услуг которых неизвестно чем обеспечено.

Поэтому востребовано объединение лучших участников рынка, которые способны оценить по достоинству уровень своих коллег-конкурентов. Такое некоммерческое партнёрство, обладая статусом саморегулируемой организации, даёт полные гарантии, включая финансовую компенсацию качества деятельности, которую осуществляет его участник. Наличие на рынке отраслевой СРО дало бы чёткие ориентиры заказчикам и поставило заслон потенциальным недобросовестным исполнителям.

Федеральный закон № 315-ФЗ от 1 декабря 2007 года «О саморегулируемых организациях» предоставляет участникам рынка возможность создать профессиональные объединения в виде некоммерческих саморегулируемых организаций – СРО ИБ. Под участниками рынка понимаются субъекты предпринимательской деятельности – юридические лица и индивидуальные предприниматели, специализирующиеся в области информационной безопасности. ФЗ-315 наделяет СРО ИБ полномочиями разрабатывать стандарты и правила производства товаров, работ и услуг, а также контролировать соответствие предпринимательской деятельности своих участников утверждённым нормам.

Для того, чтобы некоммерческое партнёрство могло получить статус СРО, необходимо наличие в его составе не менее чем 25 отечественных субъектов предпринимательской деятельности, специализирующихся на информационной безопасности. Кроме того, СРО ИБ обязано обеспечивать дополнительную имущественную ответственность каждого своего члена перед потребителями его работ или услуг.

РЕШАЕМЫЕ ЗАДАЧИ

Целесообразность распространения механизмов саморегулирования на IT-отрасль объективно обусловлена быстрым ростом значения информационной безопасности в современном обществе. Всё больше увеличивается доля информационных продуктов в совокупности производимых товаров, работ и услуг. Но ещё быстрее расширяется спектр угроз фальсификации достоверности и нарушения целостности информации.

Стремительно увеличивается арсенал аппаратно-программных средств осуществления атак на информационно-телекоммуникационные системы. К сожалению, во всём мире, и в России в частности, всё чаще предпринимаются попытки несанкционированного доступа к электронным базам данных различных организаций. Успех таких атак сопровождается как материальными потерями, так и ущербом репутации  жертв.

Статистика киберпреступлений характеризуется высокими темпами роста, что подтверждает необходимость выработки эффективных мер противодействия. Особенно в финансовой сфере, банков и платёжных систем, где обладание информацией предоставляет возможность распоряжаться реальными деньгами.

СРО ИБ способно внести существенный вклад в разработку, выстраивание и функционирование механизмов коллективного противодействия киберпреступности. В частности, в создание системы мониторинга и быстрого реагирования на киберпреступления, в том числе в финансовой сфере.

Высокий, пока ещё не задействованный в отрасли потенциал саморегулирования создаёт прекрасные перспективы успешного решения СРО ИБ целого ряда актуальных задач, среди которых:

• установление правил конкуренции на рынке обеспечения безопасности информационно-телекоммуникационных услуг, противодействие монополизации рынка защиты информации, содействие сбалансированной интеграции России в мировое информационное пространство;
• разработка, согласование (с участниками рынка и государственными регулирующими органами) и принятие требований, рекомендаций и стандартов обеспечения безопасности информационно-телекоммуникационных систем и сетей, систем персональных данных (за исключением информационных систем критически важных объектов) и возможных новых IT-технологий;
• организация системы добровольной аккредитации организаций, оценки качества продуктов и услуг (в том числе новых информационных технологий) на соответствие требованиям, рекомендациям, стандартам СРО ИБ, – такая процедура оценки позволит заметно ускорить вывод на рынок новых информационных технологий;
• создание системы добровольной сертификации продуктов и услуг обеспечения ИБ информационных систем (ИС), в т.ч. ИС персональных данных (за исключением ИС критически важных объектов и других специальных систем);
• отстаивание интересов членов СРО ИБ при разработке и изменении российского и международного законодательства и стандартов ИБ (в том числе по персональным данным), а также в правоприменительной практике;
• взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (Роскмонадзором) при регулировании отношений между субъектами персональных данных и участниками рынка информационно-телекоммуникационных услуг;
• содействие ФСБ России, ФСТЭК России, Минкомсвязи РФ и Банку России в разработке требований (рекомендаций) к обеспечению ИБ, включая защиту персональных данных, для рынка информационно-телекоммуникационных услуг.

ПУТЬ К ОБРЕТЕНИЮ СТАТУСА

Итак, российская отрасль информационной безопасности не только созрела для использования механизмов саморегулирования, но и остро нуждается в их внедрении. Специфика саморегулирования информационной безопасности, а значит, деятельности соответствующего СРО, такова:

1. Общие принципы саморегулирования отрасли обеспечения информационной безопасности могут быть спроецированы на банковскую сферу и на деятельность саморегулируемой организации в области информационной безопасности банков – СРО ИББ;
2. Главным государственным регулятором информационной безопасности банков является Банк России, который, соответственно, является для СРО ИББ основным субъектом взаимодействия;
3. Разработанная Банком России нормативно-правовая и методологическая база постоянно совершенствуется и дополняется, поэтому целесообразно участие в этом процессе СРО ИББ.

Некоторый задел для создания СРО в сфере информационной безопасности, в том числе банковской, уже есть.

По инициативе ряда организаций, многие годы успешно работающих в области информационной безопасности, в том числе банков, были созданы отраслевые некоммерческие партнёрства – НП. Эти партнёрства, достигнув соответствия предъявляемым к СРО требованиям, могут получить такой статус. Одно из некоммерческих партнёрств – «Содружество организаций, работающих в области информационной безопасности» (НП «СОИБ»), было создано в сфере обеспечения информационной безопасности в целом. Второе, более узкоспециализированное, НП «АБИСС»  – в сфере обеспечения информационной безопасности банков.

В 2013 году по инициативе ряда членов МОО «Ассоциация защиты информации» был пройден первый этап создания СРО в области информационной безопасности – состоялось учреждение некоммерческого партнерства НП «СОИБ». Сейчас идёт второй этап, проводится работа по подготовке необходимого для регистрации в качестве СРО пакета документов.

В первую очередь, разрабатываются стандарты и правила – деловая этика членов партнёрства, препятствующая недобросовестной конкуренции. По завершении разработки полный пакет необходимой документации будет подан на регистрацию, которая завершится внесением НП «СОИБ» в государственный реестр СРО.

НП «АБИСС», действующее в сфере информационной безопасности банков, прошло долгий путь становления. 2 февраля 2006 года рядом организаций был подписан меморандум о создании Сообщества ABISS, деятельность которого направлена на развитие и продвижение стандарта Банка России СТО БР ИББС. Инициаторами создания сообщества стали ЗАО «Андек», НПФ «Кристалл», ГНИИ ПТЗИ ФСТЭК России, ООО «Линс-М», компании КПМГ и «Эрнст энд Янг». В 2011 году Сообщество ABISS сконцентрировалось на задаче внедрения механизмов саморегулирования, развития взаимодействия с государственными регулирующими и контрольными органами – Банком России, ФСБ России, ФСТЭК России и Роскомнадзором. Сообщество трансформировалось в некоммерческое партнёрство НП «Сообщество пользователей стандартов по информационной безопасности АБИСС».

В 2013 году начата реорганизация НП «АБИСС», необходимая для обретения статуса саморегулируемой организации. Соответственно, в 2014 году главной задачей НП «АБИСС» является выполнение всех требований, предъявляемых к СРО. В том числе завершение создания системы контроля качества, включая формирование Комитета по контролю качества.

Представляется, что создание участниками рынка СРО ИБ, поддержанное отраслевыми государственными регуляторами, и активное использование механизмов саморегулирования послужат весомым вкладом в построение в России современного безопасного информационного общества. Именно такая важная задача поставлена «Стратегией развития отрасли информационных технологий в Российской Федерации на 2014–2020 годы и на перспективу до 2025 года», принятой Правительством России 1 ноября 2013 года.