Для финансовых организаций меняются критерии оценки, формат проверок и формы отчётности.
Банк России совершенствует обеспечение информационной безопасности финансовой сферы по нескольким направлениям. Среди ближайших нововведений − новые форматы оценки и проверки подведомственных организаций: риск-профиль и киберучения. Новшества будут отражены в изменении системы подготовки кадрового обеспечения отрасли.
НАПРАВЛЕНИЯ УЛУЧШЕНИЙ
Банк России, государственный регулятор информационной безопасности финансовой сферы, нацелен на совершенствование отрасли по трём направлениям:
совершенствование корпоративного управления вопросами информационной безопасности;
осознание и оценка того, насколько финансовая организация может обеспечивать свою операционную надёжность;
улучшение кадрового потенциала, подготовки и переподготовки специалистов служб информационной безопасности.
Таковы ближайшие планы, работа по их осуществлению ведётся. Внесены некоторые коррективы в базовый документ Положение Банка России № 382-П от 9 июня 2012 г. Дорабатываются новые инструменты надзорной деятельности: риск-профиль и киберучения.
ФОРМАТ ОЦЕНКИ − РИСК-ПРОФИЛЬ
Риск-профиль − новый важный формат для оценки уровня обеспечения информационной безопасности финансовых организаций. Многое о нём уже хорошо известно. Эта тема предварительно обсуждалась на XII Уральском форуме «Информационная безопасность финансовой сферы» в феврале 2020 года.
Остановиться следует на том, на что влияет риск-профиль и как в ближайшем будущем будет складываться надзорная деятельность в сфере информационной безопасности. Учитывая, что риск-профиль уже рассчитывается не только для кредитных, но и для некредитных организаций: пенсионных фондов, страховых компаний, других крупных инфраструктурных участников финансового рынка и т. д.
Основой для формирования риск-профиля является информация, поступающая в Банк России по нескольким каналам.
Это, во-первых, отчётность по 203-й форме об операциях, совершаемых без согласия клиентов в рамках Национальной платёжной системы.
Во-вторых, информация об инцидентах, приходящая от банков и нефинансовых организаций по линии АСОИ ФинЦЕРТ.
Эта база будет развиваться − расширяться и усложняться. Новых форм отчётности для банков не появится. Поступающая в АСОИ информация будет рассматриваться с точки зрения дата-центричности, чтобы автоматически обрабатываться. Отчётность будет рассматриваться с точки зрения не только технической, но и экономической составляющей и перепроверяться.
На сегодняшний день финансовые организации обязаны сообщать в Банк России обо всех инцидентах информационной безопасности. До сих пор соответствующей формы отчётности не существовало. Предстоит сделать этот поток сообщений о событиях информационной безопасности обязательным, утвердив форму отчётности.
В основе риск-профиля лежит необходимость для Банка России понимать, насколько финансовая организация готова противостоять инцидентам в сфере ИБ, а также учитывать, в какой степени у неё достаточно ресурсов для покрытия возможного ущерба.
ОТ ТЕХНИКИ К УПРАВЛЕНИЮ
Это путь постепенного отхода от сосредоточения на чисто технических вопросах обеспечения информационной безопасности поднадзорными организациями. Наши коллеги, приходя с проверками в финансовые организации, иногда углубляются в такие вопросы: какие антивирусы стоят, как настроены, в работу со средствами криптографической защиты.
Чрезмерно погружаясь в технические детали, можно не заметить принципиальных проблем, которые способны возникнуть у финансовой организации, но находятся не в зоне технических специалистов, а на уровне руководства.
Одна из главных задач, решаемых государственным регулятором при формировании риск-профиля, − перенос акцента с технических моментов обеспечения информационной безопасности на управленческие вопросы. В центре оказывается качество корпоративного управления, а также наличие у финансовой организации достаточных ресурсов, чтобы преодолеть кризисную ситуацию в случае возникновения проблемы.
Проблемы могут быть разными: хищение денежных средств, нарушение устойчивости работы информационной инфраструктуры, непредоставление важного и нужного сервиса клиентам. Предметом оценки является способность финансовой организации обеспечить непрерывность, бесперебойность и операционную надёжность своего функционирования.
Со стороны Банка России надзорный процесс перестанет быть привязан к оценке чисто технических составляющих. В центре внимания оказывается готовность финансовой организации противостоять угрозам, её реальная защищённость.
МЕТОДОЛОГИЯ ПРОВЕРОК – КИБЕРУЧЕНИЯ
Готовится новая методология проверки, идущая на смену обычным проверкам. Это киберучения. Первое в пробном режиме начнётся в октябре, несколько запланировано до конца 2020 года. В дальнейшем эта практика будет расширена.
Методология киберучений прорабатывалась с несколькими участниками финансового рынка и отражает коллективную позицию, а не только точку зрения Банка России. Документ станет доступным для всех участников финансового рынка. Процесс внедрения киберучений будет не закрытым, а публичным.
Первая задача киберучений – оценить защитные возможности, моделируя стрессовую ситуацию. Понять, насколько финансовая организация готова к отражению такой атаки.
Вторая задача − проверить, в какой степени она готова локализовать проблему, предотвратить дальнейшее развитие инцидента.
Задача третья − выявить ресурсы финансовой организации для предотвращения либо устранения последствий инцидента.
Все три перечисленных момента складываются в единую общую задачу. Понять, как конкретная атака, инцидент может повлиять на устойчивость функционирования финансовой организации. По итогам проверочной деятельности при выявлении серьёзных проблем будут приниматься меры реагирования.
На первом этапе это будут командно-штабные учения, то есть никаких информационных атак на финансовые организации генерироваться не будет.
ОБНОВЛЕНИЕ КОМПЕТЕНЦИЙ КАДРОВ
Формат киберучений − моделирование атак определённого типа и отслеживание последовательности действий служб информационной безопасности. Например, в случае распространения злоумышленниками вредоносного программного обеспечения − вируса, шифрующего данные.
Важно проверить, насколько и на каком этапе проверяемая организация сумела его выявить. Начал ли вирус-шифровальщик распространяться по корпоративной сети, какую работу успел проделать, какие действия, в какой последовательности и кем были предприняты, чтобы локализовать инцидент и устранить последствия. Будет проводиться оценка ущерба и сроки восстановления полноценной работы организации.
Методология киберучений идёт не от произвольного набора инструментов, типовых уязвимостей в технологиях. Перед началом стресс-тестирования крайне важно понимать бизнес-модель работы банка. На её базе формируется представление о сопутствующих рисках, уязвимостях и типах атак, которые могут быть использованы.
Проверки будут проводиться не по единой для всех схеме. Только с учётом особенностей бизнес-процессов и технологий реальных конкретных финансовых организаций.
Это не очень легко и для Банка России, и для проверяемых организаций. Потребуется перестройка всего механизма и надзорной деятельности, и работы подразделений информационной безопасности финансовых организаций.
Их сотрудникам теперь придётся отвечать на вопросы не только исключительно технические, но и связанные с бизнес-деятельностью. Для чего надо будет выстраивать отношения как с коллегами в информатизации, так и с руководителями, участвующими в управлении кредитной организацией.
Испытание будет непростым. Специалистам по информационной безопасности надо будет учиться выстраивать обратную связь: доносить свои мысли до руководства и получать ответы по существу.
Эти новые актуальные компетенции учитываются в разработке профессионального стандарта специалиста в области информационной безопасности. Можно надеяться, что в 2021 году этот документ будет утверждён, что приведёт к изменению учебных программ, проведению курсов повышения квалификации.