О централизации сервисов безопасности. Может, стоит не изобретать велосипед, а просто достать его из кустов?

BIS Journal №4(47)2022

15 декабря, 2022

О централизации сервисов безопасности. Может, стоит не изобретать велосипед, а просто достать его из кустов?

Идея создания центра противодействия киберугрозам в кредитно-финансовой сфере хорошая, интересная, современная и наверняка найдёт своих сторонников. Тем более что уже много лет обсуждается вопрос централизации в некоем общем сервисе платёжных систем небольших банков с выводом в эти централизованные сервисы некоторых функций безопасности. Правда, этот вопрос дальше вялотекущих общих рассуждений никуда не продвинулся.

Тут же предлагается решить задачу не менее, а может быть, и более сложную.

Представляется, что при проработке вопроса создания такого центра (ЦПК) следует рассматривать три обстоятельства:

  1. Правовой статус центра.
  2. Перечень функциональных задач, которые можно передать в этот центр.
  3. Ответственность центра в случае реализации инцидентов у обслуживаемых организаций.

Что касается правового статуса, то очевидно, что он должен находиться в позиции равно удалённости как от регулятора, так и от обслуживаемых организаций. Но это не помешает тому же регулятору войти в него своим капиталом (по схеме НСПК), что обеспечит возможность эффективного контроля его деятельности.

Но этот вопрос, по моему мнению, не самый главный. Важнее два других.

Первое. Какую функциональность в сфере информационной безопасности можно передать в этот центр и как можно обеспечить её выполнение?

Очевидно, что при анализе следует руководствоваться имеющейся нормативной базой по ИБ в кредитно-финансовой сфере, а это значит, два ГОСТа (57580 1 и 2) и несколько нормативных актов Банка России, включая Положение 716-П.

Также следует отметить, что нет никаких оснований рассчитывать на то, что требования по информационной безопасности, изложенные в нормативных документах регуляторов, будут каким-то образом упрощены и смягчены. Скорее наоборот, о чём говорит активность вокруг проблематики персональных данных и указа Президента № 250 от 1 мая 2022 года. Также должен отметить, что системно требования по ИБ, изложенные в отечественных нормативных документах, практически полностью соответствуют современным международным взглядам, зафиксированным в стандартах ISO 27-й и 19-й серий и вряд ли будут допущены отклонения от этих документов, принятых в том числе и в России в качестве государственных стандартов.

Отмечу также, что наиболее высокую эффективность в отражении атак показали мероприятия по оперативному контролю инцидентов и уязвимостей, то есть как раз те, которые в наименьшей степени оказались охвачены нормативным регулированием.

Тем не менее все требования по обеспечению информационной безопасности можно разделить на две большие группы.

Первая – требования, реализуемые нормативно-правовым способом, организационно, то есть требующие участия в этой деятельности самих, часто нескольких сразу, функциональных подразделений организации (распоряжения, приказы, инструкции, методики, отчётность, контрольные мероприятия, аналитическая деятельность, администрирование средств защиты, управление PKI-сервисами, экспертиза решений, обеспечение мероприятий безопасности на всех этапах жизненного цикла и т. д.). Этими способами решается добрая половина задач в области обеспечения безопасности по тому же ГОСТ Р 57580.1.-2017, и маловероятно, что какая-либо организация допустит вмешательство аутсорсера в свою административную и оперативную деятельность. Из этого следует, что все эти задачи должны остаться в поле деятельности, а главное – ответственности этой организации.

Вторая группа – техническое управление системой обеспечения информационной безопасности (СОИБ) СЗИ, а также средствами анализа событий, выявления и классификации вторжений и обработки инцидентов.

Отдельная подзадача – правильная регистрация технической информации по регистрируемым событиям, проведение расследований, форензика, взаимодействие с правоохранительными органами.

Технически такие решения возможны и при высокой степени централизации сервисов, и, возможно, они даже будут эффективны.

Но можно ли в полном объёме передать в аутсорсинг, а это он и есть, всю названную функциональность, отказавшись от собственных сотрудников? Практика говорит, что нет. Любые задачи в области информационной безопасности, переданные на аутсорсинг, требуют адекватной поддержки внутри организации. Тогда есть ли новизна в этом предложении?

И наконец, об ответственности.

Какую ответственность будет нести аутсорсер информационной безопасности в случае реализации инцидента, приведшего к ущербу на подконтрольном объекте? Вопрос неясен, но возможно, что это событие можно застраховать. А будет ли после этого снята с подконтрольного объекта ответственность за возникший у него инцидент? Чья вина в возникновении инцидента? В ГосСОПКУ что сообщать? Технически вопросов нет, понятно, а организационно? Кто будет виноват и как это записывать в отчётность и представлять публично? Означает ли заключение договора на аутсорсинг и договора SLA перенос ответственности на аутсорсера? Тут нет ответа. И вряд ли он будет положительным, если только аутсорсер вдруг не захочет сам себя закопать возникающими у подконтрольных организаций инцидентами.

Тогда такой вопрос: а что сейчас нас не устраивает в сложившейся конфигурации? Ведь практически все возможные сервисы предлагаются и сейчас. Аутсорсинг есть по любому направлению, только выстраивается он индивидуально в каждом конкретном случае. Кстати, на основе прекрасного документа ЦБ СТО БР ИББС‑1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление рисками нарушения информационной безопасности при аутсорсинге». Может быть, в этом направлении пойти, придав обязательный статус этому документу?

 

Каждый должен заниматься своим делом. BIS-комментарий от эксперта по информационной безопасности, кандидата технических наук Василия Окулесского.

Поддерживаю саму идею создания такого централизованного органа (ЦПК), но предвижу ряд законодательных проблем при той реализации, о которой говорит Артём Калашников.

Если попробовать подойти к проблеме с учётом сегодняшних реалий, то вижу решение в углублении и повышении оперативности во взаимодействии МВД, Банка России, самих банков, операторов связи и платёжных систем. Каждый должен заниматься своим делом.

Тем более что сейчас в МВД есть соответствующие подразделения, а в нихчасто очень адекватные сотрудники.

Опыт выявления признаков мошеннических операций в банках огромный. Не надо изобретать велосипед, надо как следует научить ездить на том, что есть.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных