О проблемах аудита кибербезопасности финансово-кредитных организаций

19 ноября, 2020

О проблемах аудита кибербезопасности финансово-кредитных организаций

17 ноября 2020 года члены ассоциации АБИСС (Ассоциация пользователей стандартов по информационной безопасности) представили журналистам своё видение ситуации на рынке аудита информационной безопасности и перспективы развития этой деятельности. На встрече обсуждались практические вопросы взаимодействия подопечных Центробанка, финансовых организаций и аудиторов по ИБ.

Гордиев узел проблем в сфере кибер- и информационной безопасности (К&ИБ) финансовой отрасли – надуманное разделение работ на «комплаенс» («бумажная» безопасность) и т.н. «реальную» безопасность.

Анастасия Харыбина, директор бизнес-подразделения AKTIV.CONSULTING компании «Актив» и председатель АБИСС в своём выступлении 17 ноября подвергла критике подобную ситуацию, указав, что формальный подход к аудиту негативно влияет на зрелость информационной безопасности, а, стало быть, угрожает фактической безопасности.

Не обошла своим внимание председатель АБИСС и негативные моменты в регуляторной деятельности, а именно те обстоятельства, что нормативные документы написаны сложным языком на основе затейливого симбиоза юридического и ИТ «слэнга», и зачастую по-разному интерпретируются «на земле». К тому же некоторые нормативные документы, подготовленные разными регуляторами, требуют приведения их к общей терминологии и гармонизации в части самих требований.

В связи с этим АБИСС (состав правления ассоциации – ДиалогНаука, ARinteg, STEP LOGIС, Deiteriy, АИС, AKTIV.CONSULTING) видит себя в качестве одного из мозговых центров для решения задач поддержки инициатив финансового мегарегулятора в сфере стандартизацию и унификации подходов к реализации требований регуляторов в сфере К&ИБ.

На встрече отмечалось, что одним из важных инструментов неформального внедрения в практику регуляторных требований является аудит систем К&ИБ.

Однако на данный момент количество действующих аудиторов оценивается в 70 специалистов, тогда как под требования ГОСТ 57580.1 подпадают около 600 финансовых организаций, и только в 2021 году для проведения аудита необходимо иметь 150 аудиторов. Эти цифры привёл в своём докладе Юрий Малинин, директор Академии Информационных Систем (АИС).

В связи с этим в числе первоочередных задач, которые АБИСС предстоит решать в ближайшей перспективе в сотрудничестве с регулятором и финансовыми организациями, видятся:

  • создание базы знаний на технологической основе (Open Source), позволяющей подключить к её наполнению и развитию всем заинтересованных специалистов и организаций, имеющих релевантный прикладной опыт;
  • создание доверенной инфраструктуры аудита ИБ, которая, в том числе, поможет решить проблему квалификации и нехватки кадров;
  • создание реестра аудиторов по ИБ, которые не только прошли обучение по согласованным с Банком России программам, но и получают периодическое подтверждение квалификации.

В контексте этих задач Ассоциация совместно с Академией Информационных Систем разработала курс обучения по ГОСТ 57580.1(.2), который создан при поддержке ДИБ Банка России, и на площадке АБИСС уже создана рабочая группа для разработки концепции доверенной инфраструктуры аудита информационной безопасности финансовых организаций. Банк России поддержал эту инициативу на Уральском форуме в феврале 2020 года, и сегодня в рабочую группу вошли представители 25 компаний.

Среди выступивших на встрече 17 ноября был Евгений Безгодов, исполнительный директор Deiteriy, который рассказал о работах Комитета по адаптации международных стандартов для использования в отечественной практике рекомендаций стандарта безопасности данных индустрии платёжных карт – PCI DSS. Сегодня, по заявлению докладчика, стандарт продвигается платёжными системами МИР, VISA, MasterCard и другими. В числе же заинтересованных в изучении и внедрении опыта, обобщённого в PCI DSS практически все компании, работающие с данными платёжных карт – банки, торгово-сервисные компании и поставщики услуг.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.05.2024
Хакеры из Head Mare утверждают, что «положили» системы СДЭК
28.05.2024
СПЧ и МВД — о масштабах потерь от действий скамеров
28.05.2024
Узбекистан откалывается от «Мира»?
28.05.2024
«Росатом»: Регуляторика ИИ с чёткой логикой сегодня отсутствует
28.05.2024
В ходе дискуссии может появиться многогранная программа ИИ
28.05.2024
Существует неопределённость в толковании и применении правовых норм использования ИИ
28.05.2024
«РУССОФТ»: В ИИ-гонке выигрывает не тот, кто придумал, а тот, кто внедрил
28.05.2024
Хакеры грозят опубликовать ПДн клиентов аукционного дома Christie’s
27.05.2024
НКЦКИ запустит сервис бесплатной «скорой помощи» пострадавшим от киберинцидентов
27.05.2024
Банкиры спасли от скамеров два триллиона рублей своих клиентов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных