О проблемах аудита кибербезопасности финансово-кредитных организаций

19 ноября, 2020

О проблемах аудита кибербезопасности финансово-кредитных организаций

17 ноября 2020 года члены ассоциации АБИСС (Ассоциация пользователей стандартов по информационной безопасности) представили журналистам своё видение ситуации на рынке аудита информационной безопасности и перспективы развития этой деятельности. На встрече обсуждались практические вопросы взаимодействия подопечных Центробанка, финансовых организаций и аудиторов по ИБ.

Гордиев узел проблем в сфере кибер- и информационной безопасности (К&ИБ) финансовой отрасли – надуманное разделение работ на «комплаенс» («бумажная» безопасность) и т.н. «реальную» безопасность.

Анастасия Харыбина, директор бизнес-подразделения AKTIV.CONSULTING компании «Актив» и председатель АБИСС в своём выступлении 17 ноября подвергла критике подобную ситуацию, указав, что формальный подход к аудиту негативно влияет на зрелость информационной безопасности, а, стало быть, угрожает фактической безопасности.

Не обошла своим внимание председатель АБИСС и негативные моменты в регуляторной деятельности, а именно те обстоятельства, что нормативные документы написаны сложным языком на основе затейливого симбиоза юридического и ИТ «слэнга», и зачастую по-разному интерпретируются «на земле». К тому же некоторые нормативные документы, подготовленные разными регуляторами, требуют приведения их к общей терминологии и гармонизации в части самих требований.

В связи с этим АБИСС (состав правления ассоциации – ДиалогНаука, ARinteg, STEP LOGIС, Deiteriy, АИС, AKTIV.CONSULTING) видит себя в качестве одного из мозговых центров для решения задач поддержки инициатив финансового мегарегулятора в сфере стандартизацию и унификации подходов к реализации требований регуляторов в сфере К&ИБ.

На встрече отмечалось, что одним из важных инструментов неформального внедрения в практику регуляторных требований является аудит систем К&ИБ.

Однако на данный момент количество действующих аудиторов оценивается в 70 специалистов, тогда как под требования ГОСТ 57580.1 подпадают около 600 финансовых организаций, и только в 2021 году для проведения аудита необходимо иметь 150 аудиторов. Эти цифры привёл в своём докладе Юрий Малинин, директор Академии Информационных Систем (АИС).

В связи с этим в числе первоочередных задач, которые АБИСС предстоит решать в ближайшей перспективе в сотрудничестве с регулятором и финансовыми организациями, видятся:

  • создание базы знаний на технологической основе (Open Source), позволяющей подключить к её наполнению и развитию всем заинтересованных специалистов и организаций, имеющих релевантный прикладной опыт;
  • создание доверенной инфраструктуры аудита ИБ, которая, в том числе, поможет решить проблему квалификации и нехватки кадров;
  • создание реестра аудиторов по ИБ, которые не только прошли обучение по согласованным с Банком России программам, но и получают периодическое подтверждение квалификации.

В контексте этих задач Ассоциация совместно с Академией Информационных Систем разработала курс обучения по ГОСТ 57580.1(.2), который создан при поддержке ДИБ Банка России, и на площадке АБИСС уже создана рабочая группа для разработки концепции доверенной инфраструктуры аудита информационной безопасности финансовых организаций. Банк России поддержал эту инициативу на Уральском форуме в феврале 2020 года, и сегодня в рабочую группу вошли представители 25 компаний.

Среди выступивших на встрече 17 ноября был Евгений Безгодов, исполнительный директор Deiteriy, который рассказал о работах Комитета по адаптации международных стандартов для использования в отечественной практике рекомендаций стандарта безопасности данных индустрии платёжных карт – PCI DSS. Сегодня, по заявлению докладчика, стандарт продвигается платёжными системами МИР, VISA, MasterCard и другими. В числе же заинтересованных в изучении и внедрении опыта, обобщённого в PCI DSS практически все компании, работающие с данными платёжных карт – банки, торгово-сервисные компании и поставщики услуг.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.09.2025
ВТБ: Переход к своим решениям — один из трендов современного финтеха
18.09.2025
«Россельхозбанк»: Китай и «азиатские тигры» показывают кратно опережающую динамику
18.09.2025
«Локомотив» импортозамещения приходит на конечную станцию?
18.09.2025
В Google Workspace появился новый уровень безопасности
18.09.2025
Число угроз API возросло до 40 тысяч инцидентов в первой половине 2025 года
17.09.2025
«Наша задача — обеспечить максимальное удобство и простоту при работе с почтой»
17.09.2025
К 2028 году — выплаты цифровым рублём, универсальный QR-код, биометрические транзакции
17.09.2025
Природа Камчатки киберочистится на четверо суток
17.09.2025
Синтез ИБ и кооперации в новом формате — конференция CoopDays IV
17.09.2025
Госдеп даёт 11 млн долларов за поимку украинского хакера

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных