О проблемах аудита кибербезопасности финансово-кредитных организаций

О проблемах аудита кибербезопасности финансово-кредитных организаций

17 ноября 2020 года члены ассоциации АБИСС (Ассоциация пользователей стандартов по информационной безопасности) представили журналистам своё видение ситуации на рынке аудита информационной безопасности и перспективы развития этой деятельности. На встрече обсуждались практические вопросы взаимодействия подопечных Центробанка, финансовых организаций и аудиторов по ИБ.

Гордиев узел проблем в сфере кибер- и информационной безопасности (К&ИБ) финансовой отрасли – надуманное разделение работ на «комплаенс» («бумажная» безопасность) и т.н. «реальную» безопасность.

Анастасия Харыбина, директор бизнес-подразделения AKTIV.CONSULTING компании «Актив» и председатель АБИСС в своём выступлении 17 ноября подвергла критике подобную ситуацию, указав, что формальный подход к аудиту негативно влияет на зрелость информационной безопасности, а, стало быть, угрожает фактической безопасности.

Не обошла своим внимание председатель АБИСС и негативные моменты в регуляторной деятельности, а именно те обстоятельства, что нормативные документы написаны сложным языком на основе затейливого симбиоза юридического и ИТ «слэнга», и зачастую по-разному интерпретируются «на земле». К тому же некоторые нормативные документы, подготовленные разными регуляторами, требуют приведения их к общей терминологии и гармонизации в части самих требований.

В связи с этим АБИСС (состав правления ассоциации – ДиалогНаука, ARinteg, STEP LOGIС, Deiteriy, АИС, AKTIV.CONSULTING) видит себя в качестве одного из мозговых центров для решения задач поддержки инициатив финансового мегарегулятора в сфере стандартизацию и унификации подходов к реализации требований регуляторов в сфере К&ИБ.

На встрече отмечалось, что одним из важных инструментов неформального внедрения в практику регуляторных требований является аудит систем К&ИБ.

Однако на данный момент количество действующих аудиторов оценивается в 70 специалистов, тогда как под требования ГОСТ 57580.1 подпадают около 600 финансовых организаций, и только в 2021 году для проведения аудита необходимо иметь 150 аудиторов. Эти цифры привёл в своём докладе Юрий Малинин, директор Академии Информационных Систем (АИС).

В связи с этим в числе первоочередных задач, которые АБИСС предстоит решать в ближайшей перспективе в сотрудничестве с регулятором и финансовыми организациями, видятся:

• создание базы знаний на технологической основе (Open Source), позволяющей подключить к её наполнению и развитию всем заинтересованных специалистов и организаций, имеющих релевантный прикладной опыт;
• создание доверенной инфраструктуры аудита ИБ, которая, в том числе, поможет решить проблему квалификации и нехватки кадров;
• создание реестра аудиторов по ИБ, которые не только прошли обучение по согласованным с Банком России программам, но и получают периодическое подтверждение квалификации.

В контексте этих задач Ассоциация совместно с Академией Информационных Систем разработала курс обучения по ГОСТ 57580.1(.2), который создан при поддержке ДИБ Банка России, и на площадке АБИСС уже создана рабочая группа для разработки концепции доверенной инфраструктуры аудита информационной безопасности финансовых организаций. Банк России поддержал эту инициативу на Уральском форуме в феврале 2020 года, и сегодня в рабочую группу вошли представители 25 компаний.

Среди выступивших на встрече 17 ноября был Евгений Безгодов, исполнительный директор Deiteriy, который рассказал о работах Комитета по адаптации международных стандартов для использования в отечественной практике рекомендаций стандарта безопасности данных индустрии платёжных карт – PCI DSS. Сегодня, по заявлению докладчика, стандарт продвигается платёжными системами МИР, VISA, MasterCard и другими. В числе же заинтересованных в изучении и внедрении опыта, обобщённого в PCI DSS практически все компании, работающие с данными платёжных карт – банки, торгово-сервисные компании и поставщики услуг.