О централизации сервисов безопасности. Может, стоит не изобретать велосипед, а просто достать его из кустов?

BIS Journal №4(47)2022

15 декабря, 2022

О централизации сервисов безопасности. Может, стоит не изобретать велосипед, а просто достать его из кустов?

Идея создания центра противодействия киберугрозам в кредитно-финансовой сфере хорошая, интересная, современная и наверняка найдёт своих сторонников. Тем более что уже много лет обсуждается вопрос централизации в некоем общем сервисе платёжных систем небольших банков с выводом в эти централизованные сервисы некоторых функций безопасности. Правда, этот вопрос дальше вялотекущих общих рассуждений никуда не продвинулся.

Тут же предлагается решить задачу не менее, а может быть, и более сложную.

Представляется, что при проработке вопроса создания такого центра (ЦПК) следует рассматривать три обстоятельства:

  1. Правовой статус центра.
  2. Перечень функциональных задач, которые можно передать в этот центр.
  3. Ответственность центра в случае реализации инцидентов у обслуживаемых организаций.

Что касается правового статуса, то очевидно, что он должен находиться в позиции равно удалённости как от регулятора, так и от обслуживаемых организаций. Но это не помешает тому же регулятору войти в него своим капиталом (по схеме НСПК), что обеспечит возможность эффективного контроля его деятельности.

Но этот вопрос, по моему мнению, не самый главный. Важнее два других.

Первое. Какую функциональность в сфере информационной безопасности можно передать в этот центр и как можно обеспечить её выполнение?

Очевидно, что при анализе следует руководствоваться имеющейся нормативной базой по ИБ в кредитно-финансовой сфере, а это значит, два ГОСТа (57580 1 и 2) и несколько нормативных актов Банка России, включая Положение 716-П.

Также следует отметить, что нет никаких оснований рассчитывать на то, что требования по информационной безопасности, изложенные в нормативных документах регуляторов, будут каким-то образом упрощены и смягчены. Скорее наоборот, о чём говорит активность вокруг проблематики персональных данных и указа Президента № 250 от 1 мая 2022 года. Также должен отметить, что системно требования по ИБ, изложенные в отечественных нормативных документах, практически полностью соответствуют современным международным взглядам, зафиксированным в стандартах ISO 27-й и 19-й серий и вряд ли будут допущены отклонения от этих документов, принятых в том числе и в России в качестве государственных стандартов.

Отмечу также, что наиболее высокую эффективность в отражении атак показали мероприятия по оперативному контролю инцидентов и уязвимостей, то есть как раз те, которые в наименьшей степени оказались охвачены нормативным регулированием.

Тем не менее все требования по обеспечению информационной безопасности можно разделить на две большие группы.

Первая – требования, реализуемые нормативно-правовым способом, организационно, то есть требующие участия в этой деятельности самих, часто нескольких сразу, функциональных подразделений организации (распоряжения, приказы, инструкции, методики, отчётность, контрольные мероприятия, аналитическая деятельность, администрирование средств защиты, управление PKI-сервисами, экспертиза решений, обеспечение мероприятий безопасности на всех этапах жизненного цикла и т. д.). Этими способами решается добрая половина задач в области обеспечения безопасности по тому же ГОСТ Р 57580.1.-2017, и маловероятно, что какая-либо организация допустит вмешательство аутсорсера в свою административную и оперативную деятельность. Из этого следует, что все эти задачи должны остаться в поле деятельности, а главное – ответственности этой организации.

Вторая группа – техническое управление системой обеспечения информационной безопасности (СОИБ) СЗИ, а также средствами анализа событий, выявления и классификации вторжений и обработки инцидентов.

Отдельная подзадача – правильная регистрация технической информации по регистрируемым событиям, проведение расследований, форензика, взаимодействие с правоохранительными органами.

Технически такие решения возможны и при высокой степени централизации сервисов, и, возможно, они даже будут эффективны.

Но можно ли в полном объёме передать в аутсорсинг, а это он и есть, всю названную функциональность, отказавшись от собственных сотрудников? Практика говорит, что нет. Любые задачи в области информационной безопасности, переданные на аутсорсинг, требуют адекватной поддержки внутри организации. Тогда есть ли новизна в этом предложении?

И наконец, об ответственности.

Какую ответственность будет нести аутсорсер информационной безопасности в случае реализации инцидента, приведшего к ущербу на подконтрольном объекте? Вопрос неясен, но возможно, что это событие можно застраховать. А будет ли после этого снята с подконтрольного объекта ответственность за возникший у него инцидент? Чья вина в возникновении инцидента? В ГосСОПКУ что сообщать? Технически вопросов нет, понятно, а организационно? Кто будет виноват и как это записывать в отчётность и представлять публично? Означает ли заключение договора на аутсорсинг и договора SLA перенос ответственности на аутсорсера? Тут нет ответа. И вряд ли он будет положительным, если только аутсорсер вдруг не захочет сам себя закопать возникающими у подконтрольных организаций инцидентами.

Тогда такой вопрос: а что сейчас нас не устраивает в сложившейся конфигурации? Ведь практически все возможные сервисы предлагаются и сейчас. Аутсорсинг есть по любому направлению, только выстраивается он индивидуально в каждом конкретном случае. Кстати, на основе прекрасного документа ЦБ СТО БР ИББС‑1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление рисками нарушения информационной безопасности при аутсорсинге». Может быть, в этом направлении пойти, придав обязательный статус этому документу?

 

Каждый должен заниматься своим делом. BIS-комментарий от эксперта по информационной безопасности, кандидата технических наук Василия Окулесского.

Поддерживаю саму идею создания такого централизованного органа (ЦПК), но предвижу ряд законодательных проблем при той реализации, о которой говорит Артём Калашников.

Если попробовать подойти к проблеме с учётом сегодняшних реалий, то вижу решение в углублении и повышении оперативности во взаимодействии МВД, Банка России, самих банков, операторов связи и платёжных систем. Каждый должен заниматься своим делом.

Тем более что сейчас в МВД есть соответствующие подразделения, а в нихчасто очень адекватные сотрудники.

Опыт выявления признаков мошеннических операций в банках огромный. Не надо изобретать велосипед, надо как следует научить ездить на том, что есть.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.06.2024
Технологический суверенитет: инновации, импортозамещение, кадры
19.06.2024
Мнение: Контроль чужих данных до их безопасной передачи подрывает саму суть шифрования
19.06.2024
Мошенники могут получать ПДн россиян из слитых медицинских баз
18.06.2024
ИИ в «Авроре»? Либо внутри устройства, либо в отечественном «облаке»
18.06.2024
ФНС автоматизирует присвоение налогового резидентства
18.06.2024
Сразу два приложения «Сбера» появилось в App Store. Выбирай мудро
18.06.2024
«При отсутствии просрочек по кредиту человек может ещё и потерять
17.06.2024
Скамерские новинки: «таможенный сбор» и «расследование мошенничества»
17.06.2024
Минэк — о порядке раскрытия данных госведомств для обучения нейросетей
17.06.2024
Релокация не спасает. Slack блокирует даже тех, кто «связан с Россией»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных