Стандарту желают стать обязательным

НП «АБИСС» при содействии компании СТЭП ЛОДЖИК провело исследование практики применения в 2011 году комплекса документов Банка России, стандартизующих обеспечение информационной безопасности кредитно-финансовых организаций. Результаты исследования позволяют сделать вывод: приняли, внедряют и оценивают своё соответствие отраслевому стандарту подавляющее большинство российских банков.

ЦЕЛИ ИССЛЕДОВАНИЯ − 2012

Кратко напомним предысторию вопроса. Первая версия стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» вышла в 2004 году. В 2010-м появилась уже четвёртая редакция, включавшая нормативные требования защиты персональных данных и дополнительные методические рекомендации внедрения и оценки соответствия стандарту. Таким образом, отраслью пройден значительный путь, итогом которого стало формирование комплекса документов Банка России, стандартизующих деятельность по обеспечению информационной безопасности кредитно-финансовых организаций.

В целях популяризации стандарта, обмена опытом, а также обеспечения контроля качества на рынке профессиональных услуг внедрения, оценки соответствия и обучения стандарту ещё в 2006 году было создано Сообщество пользователей стандарта Банка России ABISS (Association for Banking Information Security Standards). В конце 2011 года сообщество было преобразовано в Некоммерческое партнерство, объединившее юридических лиц – аудиторов и консультантов, организации-консультантов, а также учебные центры.

Для совершенствования и продвижения отраслевого стандарта НП «АБИСС» сотрудничает с Банком России, государственными регуляторами защиты персональных данных, с кредитными организациями и другими участниками национальной платежной системы.

Проведённое исследование практики применения отраслевого стандарта – своего рода «взгляд в зеркало». Результаты анализа собранных данных позволяют оценить эффективность проделанной работы и определить задачи на будущее.

УЧАСТНИКИ ОПРОСА – БАНКИ

Сбор исходных данных проводился у кредитных организаций. Опрос носил адресный характер, в качестве целевой аудитории были выбраны сотрудники, отвечающие за обеспечение информационной безопасности. Вопросы задавались закрытые и многовариантные, учитывались только данные ответы, статистика отказов отвечать не велась.

В результате исследования были собраны ответы представителей 50 кредитных организациях различного масштаба и разного распределения по регионам. Полученные статистические данные округлялись до целых чисел. В некоторых случаях сумма долей ответов превосходит 100% из-за многовариантных вопросов.

Респонденты классифицировались по количеству сотрудников. Большую часть, 40%, составили микро-банки (до 250 сотрудников), малые банки (от 251 до 1 000 сотрудников) – 42%, средние банки (от 1 000 до 5 000 сотрудников) – 10% и крупные (более чем 5 000 сотрудников) – 8%.

С точки зрения распределения по регионам большую часть, 54%, составили банки, имеющие представительства в Москве и других регионах страны. Доля участвовавших в опросе региональных банков, не имеющих представительств в Москве, составила 28%, исключительно московских – 12% и международных – 6%.

Сравнение данных об участниках опроса позволяет определить типового респондента как кредитную организацию с количеством сотрудников до 1 000 человек и с распределённой информационной инфраструктурой, объединяющей несколько филиалов в пределах России.

ПОКАЗАТЕЛИ ПРОДВИЖЕНИЯ

Количество кредитных организаций, принявших стандарт, неуклонно растет, и на период проведения исследования достигло 80%. Более 60% кредитных организаций в 2011 году выполняли работы по внедрению стандарта, свыше 40% имеют в штате сотрудников, прошедших авторизованные курсы, обучающие его применению. Таким образом, проблема нехватки кадров в области обеспечения информационной безопасности, зафиксированная во время предыдущего исследования 2008 года, уже не критична.

Что касается дальнейшего приобщения кредитных организаций к стандарту, то 68% запланировали работы по оценке соответствия на 2012 год, а 26% опрошенных будут привлекать для этих работ внешних аудиторов. Около 70% планируют на этот год внедрить стандарт, и почти 50% – привлекать для этих работ внешних консультантов. 18% опрошенных запланировали на 2012 год обучение применению стандарта, а 38% пока нет.

Более 50% респондентов отметили сложность технических и организационных аспектов применения стандарта. Тем не менее, почти 90% респондентов приветствуют объединение в стандарте всех требований к информационной безопасности организаций банковской системы. 52% считают, что для дальнейшего распространения стандарта необходимо придать ему статус обязательности.

ЦЕНА ВОПРОСА

Как уже не раз отмечалось пользователями стандарта, основной проблемой является финансирование его применения, которое не всегда выделяется кредитно-финансовыми организациями в должном объеме. Дополнительные затраты связаны как с высокой стоимостью привлечения внешних организаций, так и оплатой труда собственных квалифицированных специалистов. Данные о доле затрат на информационную безопасность в общих затратах на IT-инфраструктуру, полученные в ходе исследования, подтвердили обоснованность беспокойства пользователей стандарта.

В 50% кредитных организаций финансирование задач информационной безопасности остаётся на уровне менее 3% IT-бюджета, что явно недостаточно по сравнению с общемировыми тенденциями. Негативными следствиями такой «экономии» являются сложности как подбора квалифицированного персонала, так и привлечения внешних аудиторов и консультантов.

Опрос показал: половина опрошенных банков выделяют на информационную безопасность менее 3% 1Т-бюджета, чуть больше 26% – 3–5%, около 10% – 4%, и лишь пятая часть – 5–10%. Что подтверждает результаты опроса, проведенного в 2011 году Gartner IT Key Metrics Data, выявившего, что более чем у 70% отечественных кредитных организаций финансирование информационной безопасности ниже среднего отраслевого показателя в мире, который составляет 5,6%.

В то же время свидетельством роста внимания к обеспечению информационной безопасности может служить присоединение большинства опрошенных организаций к отраслевому стандарту. Оптимизм внушает тот факт, что 90% опрошенных уже приняли его или сделают это в ближайшие два года.

Как и следовало ожидать, 80% респондентов основной причиной принятия стандарта назвали согласование его требований к защите персональных данных Роскомнадзором, ФСБ России и ФСТЭК России. При этом абсолютное большинство (58%) отметило положительное влияние стандарта на общий уровень обеспечения информационной безопасности. 30% были воодушевлены планами развития стандарта и включения в него требований к защите платёжных систем. Поддерживают респонденты и дальнейшее объединение в стандарте требований к кредитным организациям по защите информации (88%).

Таким образом, можно констатировать полную поддержку респондентами дальнейших шагов Банка России по включению в стандарт требований к обеспечению информационной безопасности различных видов и направлений банковской деятельности. Высокую оценку получили обсуждаемые в последнее время планы усилить взаимодействие с регулирующими государственными органами, а также интегрировать в стандарт отечественные и международные требования к защите данных платежных карт.

Интересные ответы были получены на вопрос о дальнейших мерах, направленных на продвижение стандарта. 52% опрошенных считают наиболее действенным шагом введение обязательности выполнения его требований. Как вариант, включить требования стандарта в распорядительные документы Банка России, обязательные для исполнения всеми кредитными организациями.

КАДРОВАЯ ПОЛИТИКА

Полученные данные подтверждают выполнение одного из важнейших требований стандарта – наличия выделенного подразделения информационной безопасности. Полученные результаты позволяют сделать вывод: практически всеми кредитными организациями оно успешно выполнено. Стоит отметить, что по сравнению с результатами предыдущих исследований НП «АБИСС», доля организаций без такого подразделения сократилась с 30% до 2%. Эти данные особенно показательны с учетом того, что большая часть опрошенных – малые и средние банки.

Но хотя и сделан ощутимый шаг на пути решения организационных вопросов менеджмента информационной безопасности, пока не решён основной вопрос – мотивации сотрудников, обеспечивающих информационную безопасность. Треть (32 %) опрошенных указала, что средняя зарплата специалистов, обеспечивающих информационную безопасность в их организации, составляет менее $1 000. Ещё 40% указали доход в $1 000-2 000, 20% – $2 000-3 000, а достаточно высокую зарплату, свыше $3 000, только 8% респондентов.

Сравнение полученных данных с результатами наблюдений сайта hh.ru приводит к выводу, что средняя заработная плата системного администратора ($1 500) минимум в 30% случаев превышает заработок администратора информационной безопасности. С учетом особого значения защиты информации в кредитно-финансовой деятельности, полученные результаты могут свидетельствовать о повышенных рисках, связанных с недостаточной финансовой мотивацией сотрудников подразделений информационной безопасности.

Недостаточную заработную плату респонденты отметили и при ответе на вопрос о проблемах поиска специалистов по информационной безопасности – 38% опрошенных. Другими важными причинами можно считать недостаточные знания в области обеспечения информационной безопасности и банковских технологий, на которые указали, соответственно, 28% и 23%.

В то же время нужно признать, что выявленные до кризиса 2009 года предыдущими исследованиями проблемы нехватки кадров в настоящее время уже не так масштабны. Только 16% опрошенных испытывают острую потребность в специалистах и только в 22% организаций открыты такие вакансии.

Необходимо упомянуть и об отмеченной в ходе предыдущих исследований НП «АБИСС» проблеме повышения квалификации специалистов, наличие которой подтверждено настоящим исследованием. Эффективной мерой повышения квалификации можно считать сертифицированные НП «АБИСС» курсы обучения различным аспектам применения стандарта.

Как указано в диаграмме, уже 45% опрошенных воспользовались этой возможностью и имеют в штате минимум 1 сотрудника, прошедшего такие курсы. Полученные результаты позволяют рассчитывать, что дальнейшее совершенствование программы курсов, рост их популярности помогут восполнять недостаток специальных знаний в сфере информационной безопасности кредитных организаций.

На необходимость дальнейшего обучения и обмена опытом указывает и процент обративших внимание на организационные и технические сложности. На недостаточное осознание руководством проблем обеспечения информационной безопасности указали 45%. При этом мнение о сложности стандарта выразили более 50% опрошенных.

СТАТИСТИКА СООТВЕТСТВИЯ

Результаты работ по внедрению стандарта демонстрирует статистика проведенных работ по оценке достигнутого уровня соответствия его требованиям. Абсолютное большинство участников опроса, 64%, провело такую оценку в 2011 году, 28% организаций прошли её уже в 2010-м, 2% – ещё в 2009-м, и только 6% пока ещё не проводили.

Учитывая ограниченное финансирование, эту работу абсолютное большинство кредитных организаций осуществляло самостоятельно, хотя независимая оценка, проводимая внешней организацией, особенно членом НП «АБИСС», оценивается как более объективная. Для обращения к членам партнёрства на сайте www.abiss.ru есть удобные механизмы регистрации и поиска. Можно получить подробную информацию об организациях – консультантах и аудиторах, аккредитованных проводить работы, соответственно, по внедрению стандарта и по оценке соответствия его требованиям.

Практически все респонденты уже запланировали работы по оценке на ближайшие годы. При этом, вероятно, в соответствии с принятыми стратегиями долгосрочного планирования, 68% будут проводить ее в этом году, 36% − в следующем, 20% строят на 2014 год и только 4% не планируют такие работы вовсе.

Необычным выглядит мнение респондентов о преимуществах внешней оценки. Хотя большинство и признаёт рекомендации Банка России по привлечению внешних аудиторов, 24% кредитных организаций не видят в этом преимуществ.

Отсутствие доверия к внешним аудиторским организациям можно объяснить как относительно молодым рынком таких услуг, так и отсутствием требования обязательности внешней оценки, в противоположность, например, аудиту финансовой отчетности банков. Те же, кто планирует привлекать к оценке внешние организации, ориентируются на членов НП «АБИСС» – 20%, подтверждая важность гарантированно высокого качества таких услуг. При выборе сторонних организаций-консультантов для внедрения стандарта также видно предпочтение организаций – членов партнёрства.

Одной из основных задач создания и функционирования системы менеджмента информационной безопасности является анализ рисков информационной безопасности. В связи с этим был задан вопрос об актуальности данных работ. Большинство опрошенных (58%) проводило такие работы в 2009-2012 гг., в то время как 42% пока такого анализа не производили. При этом 70% кредитных организаций планируют проводить анализ рисков информационной безопасности в 2012 году, более 30% – в 2013-м, 10% – в 2014-м и 4 % его пока не планируют.

ВЫВОДЫ

По результатам исследования можно сделать следующие общие выводы.

Во-первых, Комплекс документов Банка России, нормирующих обеспечение информационной безопасности, получил широкое признание со стороны подавляющего большинства кредитных организаций, что подтверждено существенным ростом количества проектов его внедрения и оценки соответствия предъявляемым требованиям.

Во-вторых, Комплекс БР ИББС постоянно развивается, интегрируя последние нормативные требования в области информационной безопасности и передовые практики управления информационными рисками.

В-третьих, многие из опрошенных отмечают целесообразность придания основному документу Комплекса, стандарту СТО БР ИББС 1.0, статуса обязательного, чтобы усилить мотивацию руководства кредитных организаций принимать стандарт и выделять необходимые для выполнения его требований ресурсы.

В-четвертых, постепенно решается задача обеспечения служб информационной безопасности кредитных организаций квалифицированными кадрами. Утоление «кадрового голода» подтверждается значительным ростом количества специалистов, обученных на сертифицированных НП «АБИСС» курсах. Однако в небольших банках проблема должной мотивации таких профессионалов пока ещё не решена в полной мере.

В-пятых, по мере развития рынка информационной безопасности кредитных организаций всё более актуальной становится проблема контроля качества оказываемых профессиональных услуг. Участники опроса высоко оценивают содействие НП «АБИСС» кредитным организациям в выборе квалифицированных аудиторов, консультантов и учебных центров.

В целом, налицо положительная динамика внедрения стандарта Банка России в кредитных организациях. Однако для сохранения её темпов и получения качественных результатов требуются дальнейшие скоординированные усилия государственных регулирующих, надзорных и контрольных органов, НП «АБИСС» и самих кредитных организаций. Направления совместной работы – совершенствование Комплекса БР ИББС, его продвижение, а также постоянный обмен опытом и повышение квалификации специалистов по информационной безопасности.

 

Владимир Павлов -- Шеф-редактор (BIS Journal)

BIS Journal №3(6)/2012

28 августа, 2012

Смотрите также