Идея создания центра противодействия киберугрозам в кредитно-финансовой сфере хорошая, интересная, современная и наверняка найдёт своих сторонников. Тем более что уже много лет обсуждается вопрос централизации в некоем общем сервисе платёжных систем небольших банков с выводом в эти централизованные сервисы некоторых функций безопасности. Правда, этот вопрос дальше вялотекущих общих рассуждений никуда не продвинулся.
Тут же предлагается решить задачу не менее, а может быть, и более сложную.
Представляется, что при проработке вопроса создания такого центра (ЦПК) следует рассматривать три обстоятельства:
Что касается правового статуса, то очевидно, что он должен находиться в позиции равно удалённости как от регулятора, так и от обслуживаемых организаций. Но это не помешает тому же регулятору войти в него своим капиталом (по схеме НСПК), что обеспечит возможность эффективного контроля его деятельности.
Но этот вопрос, по моему мнению, не самый главный. Важнее два других.
Первое. Какую функциональность в сфере информационной безопасности можно передать в этот центр и как можно обеспечить её выполнение?
Очевидно, что при анализе следует руководствоваться имеющейся нормативной базой по ИБ в кредитно-финансовой сфере, а это значит, два ГОСТа (57580 1 и 2) и несколько нормативных актов Банка России, включая Положение 716-П.
Также следует отметить, что нет никаких оснований рассчитывать на то, что требования по информационной безопасности, изложенные в нормативных документах регуляторов, будут каким-то образом упрощены и смягчены. Скорее наоборот, о чём говорит активность вокруг проблематики персональных данных и указа Президента № 250 от 1 мая 2022 года. Также должен отметить, что системно требования по ИБ, изложенные в отечественных нормативных документах, практически полностью соответствуют современным международным взглядам, зафиксированным в стандартах ISO 27-й и 19-й серий и вряд ли будут допущены отклонения от этих документов, принятых в том числе и в России в качестве государственных стандартов.
Отмечу также, что наиболее высокую эффективность в отражении атак показали мероприятия по оперативному контролю инцидентов и уязвимостей, то есть как раз те, которые в наименьшей степени оказались охвачены нормативным регулированием.
Тем не менее все требования по обеспечению информационной безопасности можно разделить на две большие группы.
Первая – требования, реализуемые нормативно-правовым способом, организационно, то есть требующие участия в этой деятельности самих, часто нескольких сразу, функциональных подразделений организации (распоряжения, приказы, инструкции, методики, отчётность, контрольные мероприятия, аналитическая деятельность, администрирование средств защиты, управление PKI-сервисами, экспертиза решений, обеспечение мероприятий безопасности на всех этапах жизненного цикла и т. д.). Этими способами решается добрая половина задач в области обеспечения безопасности по тому же ГОСТ Р 57580.1.-2017, и маловероятно, что какая-либо организация допустит вмешательство аутсорсера в свою административную и оперативную деятельность. Из этого следует, что все эти задачи должны остаться в поле деятельности, а главное – ответственности этой организации.
Вторая группа – техническое управление системой обеспечения информационной безопасности (СОИБ) СЗИ, а также средствами анализа событий, выявления и классификации вторжений и обработки инцидентов.
Отдельная подзадача – правильная регистрация технической информации по регистрируемым событиям, проведение расследований, форензика, взаимодействие с правоохранительными органами.
Технически такие решения возможны и при высокой степени централизации сервисов, и, возможно, они даже будут эффективны.
Но можно ли в полном объёме передать в аутсорсинг, а это он и есть, всю названную функциональность, отказавшись от собственных сотрудников? Практика говорит, что нет. Любые задачи в области информационной безопасности, переданные на аутсорсинг, требуют адекватной поддержки внутри организации. Тогда есть ли новизна в этом предложении?
И наконец, об ответственности.
Какую ответственность будет нести аутсорсер информационной безопасности в случае реализации инцидента, приведшего к ущербу на подконтрольном объекте? Вопрос неясен, но возможно, что это событие можно застраховать. А будет ли после этого снята с подконтрольного объекта ответственность за возникший у него инцидент? Чья вина в возникновении инцидента? В ГосСОПКУ что сообщать? Технически вопросов нет, понятно, а организационно? Кто будет виноват и как это записывать в отчётность и представлять публично? Означает ли заключение договора на аутсорсинг и договора SLA перенос ответственности на аутсорсера? Тут нет ответа. И вряд ли он будет положительным, если только аутсорсер вдруг не захочет сам себя закопать возникающими у подконтрольных организаций инцидентами.
Тогда такой вопрос: а что сейчас нас не устраивает в сложившейся конфигурации? Ведь практически все возможные сервисы предлагаются и сейчас. Аутсорсинг есть по любому направлению, только выстраивается он индивидуально в каждом конкретном случае. Кстати, на основе прекрасного документа ЦБ СТО БР ИББС‑1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление рисками нарушения информационной безопасности при аутсорсинге». Может быть, в этом направлении пойти, придав обязательный статус этому документу?
Каждый должен заниматься своим делом. BIS-комментарий от эксперта по информационной безопасности, кандидата технических наук Василия Окулесского.
Поддерживаю саму идею создания такого централизованного органа (ЦПК), но предвижу ряд законодательных проблем при той реализации, о которой говорит Артём Калашников.
Если попробовать подойти к проблеме с учётом сегодняшних реалий, то вижу решение в углублении и повышении оперативности во взаимодействии МВД, Банка России, самих банков, операторов связи и платёжных систем. Каждый должен заниматься своим делом.
Тем более что сейчас в МВД есть соответствующие подразделения, а в нихчасто очень адекватные сотрудники.
Опыт выявления признаков мошеннических операций в банках огромный. Не надо изобретать велосипед, надо как следует научить ездить на том, что есть.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных