BIS Journal №4(39)/2020

13 декабря, 2020

Залезь в ящик… Пандоры!

Риск-ориентированный подход – это о том, как не выполнять требования, или совсем наоборот?

C 01.01.2018 кредитно-финансовые организации свободно могут пользоваться, казалось бы, ключом от ящика Пандоры – разделом 6.1 ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».

 

Что требует регулятор:

И Банк России, и ФСТЭК требуют от подконтрольных организаций осознанных и обоснованных решений в области защиты информации.

 

А как же мы раньше работали?

Долгое время можно (и нужно) было просто чётко выполнять все установки того же семейства стандартов СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», Приказов ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» или от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и, в общем, не сильно задумываться о том, насколько они необходимы и достаточны в конкретной организации, адекватны и соразмерны масштабам, специфике её деятельности.

Справедливости ради надо отметить, что и тогда указанные документы предусматривали возможность некоторой настройки лежащих в их основе лучших практик под конкретную ситуацию – например, с помощью оценки актуальности угроз безопасности (см. [1]).

Вполне можно было (см. [2]) построить модель угроз и нарушителя и именно под них подобрать комплекс мер и средств защиты. Однако построение полноценной модели угроз и нарушителя для всей организации и даже для отдельной автоматизированной системы (во всяком случае, такой, с которой потом можно работать и реально на её базе делать какой-то математически обоснованный прогноз)– дело нетривиальное и требующее больших компетенций и ресурсов, поэтому подавляющее большинство организаций вполне устраивал предлагаемый регуляторами набор требований, лишь бы в эти дебри не лезть.

 

А почему сейчас так нельзя?

Можно. Можно просто выполнять базовый набор требований. У регуляторов он такой подробный и большой, что если удастся его реализовать весь, то в подавляющем большинстве случаев этого будет достаточно.

Только при этом надо помнить, что безопасность уже давно не «бумажная». Это значит, что номинально утвердить в организации типовой комплект нормативных актов, в которых будут декларироваться «правильные вещи», уже будет недостаточно, чтобы набрать баллы, например, на рекомендованную Банком России оценку (см. [3]) по результатам очередного аудита. Методики проверки изменились (и началось это не с ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», а с требований категории 3 в Положении Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»), теперь без практики и свидетельств деятельности «на троечку», которой надо соответствовать в 2021-м (см. [4]), не вытянуть.

 

А почему просто не принять риски невыполнения всех «неудобных» требований?

Аналогично тому, почему нельзя до бесконечности заметать мусор под ковёр. Формально, конечно, можно выбрать и такую стратегию. Но тогда придётся резервировать много средств на случай не «если», а «когда» принятые риски реализуются.

Изменился ландшафт цифрового мира. С тех пор как в него переместились большие деньги и вообще большие рычаги управления, в нём всё стало масштабнее, быстрее, серьёзнее – потенциал злоумышленника, разнообразие угроз, неотвратимость их реализации, последствия (финансовые и репутационные, конечно, а не ответственность по статьям 13.12 и 19.5 КоАП РФ, про которые вспоминают чаще всего только при оценке регуляторных рисков). Уже давно вопрос не в том, реализуется ли атака, а в том, когда она реализуется; не в том, удастся ли её предотвратить, а как быстро и с какими потерями удастся её остановить.

Создание и поддержание таких резервов рискует оказаться затратнее реализации соответствующих мер защиты, чего, скорее всего, и надо регулятору, чтобы заставить сообщество думать, оценивать, выбирать, а не закрывать проблемы формальными бумагами (не хочется называть их «отписками»).

 

То есть, когда стало можно не соблюдать требования, оказалось, что это уже никому не нужно?

Да, получается так. Своего рода «вредные советы» от регулятора. Сейчас сами организации стали заинтересованы в том, чтобы эффективно защитить свои информационные технологии и ресурсы оптимальным образом не для регулятора, а «для себя». Пришли к тому, чтобы искать, что именно нужно реализовать, а не «можно не делать». В кредитно-финансовой сфере сейчас наблюдается переход организаций на новый уровень зрелости процессов защиты информации. Вступившее в силу Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» и находящийся в разработке проект стандарта управления риском реализации информационных угроз скорее являются ответом на запрос и потребности сообщества, чем навязанной опережающей нормой.

 

[1] Смотри «Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённую заместителем директора ФСТЭК России 14.02.2008.

[2] Смотри СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» раздел «Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации» п. 5.7 и далее.

[3] Смотри п. 11.4 СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014».

[4] Смотри п. 9.2 Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» с учётом информационного письма Банка России от 14.05.2020 №ИН-014-56/88 «О неприменении мер в связи с коронавирусной инфекцией (COVID-19)».

Смотрите также