15 августа, 2013, BIS Journal №3(10)/2013

Разрешимый парадокс


Шипилов Валерий

Исполнительный директор (Ассоциация российских банков)

Ульянов Владимир

руководитель аналитического центра (Компания Zecurion )

Тяготясь государственным регулированием, российские банки далеко не всегда способны самостоятельно обеспечивать должную информационную безопасность

Исследование, проведённое Ассоциацией российских банков и компанией Zecurion, было призвано выяснить реальное положение дел в сфере информационной безопасности банков России, понять, какие трудности возникают при защите информации. Особую ценность представляет собранная в рамках проекта статистическая база. В данной публикации приводятся основные результаты исследования. С его полной версией и комментариями экспертов можно ознакомиться на сайтах организаций, проводивших исследование.

 

КАК ПРОВОДИЛОСЬ ИССЛЕДОВАНИЕ

Исследование проводилось путём опроса сотрудников кредитных организаций – членов Ассоциации российских банков (АРБ) в декабре 2012 года. Персонифицированные приглашения к участию в исследовании и URL-анкеты рассылались руководителям банков традиционной почтой. Ответы респондентов фиксировались на сайте АРБ. Настроенный фильтр IP-адресов применялся для предотвращения многократного ответа на вопросы анкеты сотрудниками одного банка.

Использованные меры исключения случайных респондентов и повторных голосований позволяют считать полученные ответы уникальными для каждого банка. При этом анкетирование являлось анонимным, респонденты не указывали своих имён и названий банков, что обеспечивает высокий уровень доверия к собранной статистике.

На вопросы анкеты отвечали преимущественно руководители (47,8%) и специалисты (35,1%) подразделений информационной безопасности. Всего в исследовании приняло участие 134 банка – порядка 15% общего количества банков в России. Широко представлены региональные банки – 38,8% респондентов.

ОРГАНИЗАЦИОННЫЕ ПРОБЛЕМЫ

Ни для кого не секрет, что состояние информационной безопасности в организации зависит прежде всего от людей – сотрудников. Исходя из лучших мировых практик, важно, чтобы безопасность обеспечивали сотрудники специального подразделения информационной безопасности. Но, как выяснилось в ходе исследования, только в 63,8% российских банков есть подобные отделы (Диаграмма 1). В других случаях вопросами безопасности ведают специалисты службы информационных технологий, подразделения экономической безопасности или службы общей безопасности.

ДИАГРАММА 1. Кто в банках занимается вопросами информационной безопасности.

Как оценить существующий расклад, – много это или мало? С одной стороны, доля в 63,8% заметно выше, чем в среднем по рынку. Согласно исследованию «Защита данных в российских компаниях», проведённому рекрутинговым порталом HeadHunter и компанией Zecurion в 2012 году, только 51% организаций имеют специализированное подразделение информационной безопасности. С другой стороны, доля банков без таких профильных специализированных структур всё ещё недопустимо высока.

Вопрос о выделении финансов на защиту информации ещё сильнее подчёркивает недостатки российских банков при организации службы информационной безопасности. Лишь 31,3% организаций планируют расходы на эти цели и выделяют службе безопасности соответствующий бюджет. Между тем, согласно отраслевому стандарту информационной безопасности Банка России – СТО БР ИББС (вопросы соответствия ему будут рассмотрены ниже), службы информационной безопасности должны располагать собственным бюджетом.

Широко распространено смешение бюджетов подразделений информационных технологий и информационной безопасности – 23,1%. И если такая ситуация ещё как-то оправдана для банков, где безопасностью занимается IT-подразделение, то для банков с выделенными службами информационной безопасности подобный подход категорически неприемлем. Обе службы вообще должны быть максимально разведены и функционировать самостоятельно. Что невозможно сделать в условиях общего бюджета: их интересы в любом случае будут пересекаться.

Наконец, почти треть банков – 31,3% вообще не планирует расходы на информационную безопасность. Не удивительно, что при таком раскладе сотрудникам службы безопасности чаще приходится выступать в роли «пожарных» и, в меру собственных возможностей, устранять наиболее острые, но всё же локальные проблемы.

Какие ещё проблемы, помимо организационных, мешают проводить мероприятия по защите информации? Посмотрим на ответы респондентов (Диаграмма 2). Придётся отметить исключительно высокую долю «жалоб» на государственных регуляторов: «чрезмерное количество нормативных требований» называют в числе главных проблем 76,9% банков.

ДИАГРАММА 2. Сложности при ведении проектов информационной безопасности.

Неудивительно, ведь банковские специалисты по безопасности должны учитывать требования 5 (!) различных регуляторов. Каждый государственный орган ведёт работу, в том числе контрольно-надзорную, в пределах своих компетенций и собственного видения проблем. Но для исполнителей на местах большое количество регуляторов и нормативных актов, не всегда хорошо согласованных друг с другом, представляет существенную трудность.

Другие варианты ответа, на первый взгляд, набрали примерно равное количество голосов. Однако при ближайшем рассмотрении оказывается, что исключительную роль играет кадровый вопрос. Действительно, наряду с недостатком квалифицированного персонала – специалистов в информационной безопасности (38,1% банков) многие респонденты отметили слабую подготовку по этому предмету сотрудников основных бизнес-подразделений – 40% банков.

Человеческий фактор по-прежнему является одной из главных проблем защиты информации. К этому пресловутому фактору можно отнести и отсутствие поддержки обеспечения информационной безопасности топ-менеджментом – в 25,4% банков. В условиях, когда сами руководители бизнеса до конца не осознают важность защиты информационных ресурсов, сложно рассчитывать на удовлетворение потребностей информационной безопасности и эффективность предпринимаемых мер.

КАДРЫ РЕШАЮТ ВСЁ

Итак, нехватка квалифицированных кадров – одна из основных проблем банков в обеспечении информационной безопасности. Ситуацию усугубляет недостаточная грамотность в вопросах информационной безопасности сотрудников бизнес-подразделений. По разным причинам нехваткой персонала обеспокоено большинство банков (Диаграмма 3). Поэтому кадровый аспект заслуживает самого пристального рассмотрения.

ДИАГРАММА 3. Дефицит специалистов по информационной безопасности.

Больше всего респондентов – 29,1% жалуются на недостаток или даже отсутствие на рынке труда свободных специалистов по информационной безопасности. В общей сложности 62,7% банков признали проблему кадрового обеспечения защиты информации. Ещё 11,2% банков решают эти проблемы переводом сотрудников из смежных структур, прежде всего из IT-подразделений.

Такой подход, безусловно, имеет право на существование, тем более что нехватка IT-специалистов ощущается не так остро. Но будет ли достаточно эффективен на новой должности специалист более общего профиля, без должной специальной подготовки и опыта? По мнению авторов отчёта, необходимо стремиться к тому, чтобы каждый специалист решал задачи, профильные его профессиональной компетенции.

Может быть, трудности поиска квалифицированных сотрудников в подразделения информационной безопасности банков обусловлены слишком строгими критериями их отбора? Попробуем разобраться, какие требования наиболее важны при приёме на работу специалистов по информационной безопасности. Очевидно, нет лучшей рекомендации для специалиста, чем опыт профильной работы. Этот фактор отметили 80,6% респондентов (Диаграмма 4).

ДИАГРАММА 4. Определяющие критерии при подборе специалистов по информационной безопасности.

Впрочем, большая доля участников исследования (53,7%) говорит и о важности профильного образования в области ИБ. Таким образом, работодатели отдают приоритет готовым специалистам с высоким уровнем подготовки, которые могут достаточно быстро влиться в работу. Примечательно, что размер заработной платы при найме специалистов в информационной безопасности играет далеко не главную роль.

В банках очень ценятся универсальные специалисты, способные, а главное – готовые в разумные сроки освоить новые направления. Тому есть две основные, причины. Во-первых, готовых специалистов, на 100% удовлетворяющих параметрам вакансии, найти чрезвычайно сложно, и не только в области информационной безопасности, но и на рынке труда в целом.

Во-вторых, необходимо учитывать специфику собственно банковской работы и особенности бизнес-процессов конкретной кредитной организации. Вполне может оказаться, что новому специалисту придётся поддерживать и, соответственно, обеспечивать безопасность информации, обрабатываемой и передаваемой нетиповыми (в том числе самописными) программными продуктами.

ПРАКТИКА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Следующая группа вопросов позволила понять, на решение каких задач направлены усилия специалистов по информационной безопасности, как определяется приоритетность направлений работы, насколько могут быть успешны реализуемые мероприятия, оценивается ли степень защищённости информации внутри самих банков.

Говоря о целях мероприятий по обеспечению информационной безопасности, мы снова затронем вопросы о требованиях, предъявляемых государственными регуляторами и их контрольно-надзорной деятельностью. В ответах на вопрос о целях своей работы респонденты были практически единодушны: 91,2% банков ведут работу по обеспечению информационной безопасности в первую очередь для того, чтобы отчитаться перед государственными регуляторами (Диаграмма 5)... Но 78,4% озабочены и снижением информационных рисков.

ДИАГРАММА 5. Цели деятельности банков по обеспечению информационной безопасности.

Это неправильно, но только в 1/3 банков обеспечение информационной безопасности рассматривают с точки зрения не только затрат, но и повышения качества бизнеса и конкурентоспособности, улучшения, в конечном счёте, финансовых показателей кредитной организации.

Как видим, снижение информационных рисков, по мнению участников исследования, является одной из приоритетных задач обеспечения информационной безопасности. Можно также отметить, что оценка и управление рисками лежат в основе системы менеджмента информационной безопасности. Однако на практике с оценкой рисков, по крайней мере в этой сфере, в российских банках не всё так хорошо (Диаграмма 6). Только в каждом четвертом банке (26,1%) управление рисками поставлено на регулярную основу.

ДИАГРАММА 6. Оценка банками рисков информационной безопасности.

Ещё около 1/4 банковских организаций (26,9%) некоторое время не актуализировали данные о рисках, что можно расценивать двояко. С одной стороны, хорошо, что оценку проводили: представляют, как это делать и зачем. Но, с другой стороны, нерегулярная оценка рисков – без выработки решений их минимизации и проверки предпринятых шагов – лишает предпринятые усилия значительной доли смысла.

ОТНОШЕНИЕ К ОТРАСЛЕВОМУ СТАНДАРТУ

Последний вопрос исследования выявлял отношение кредитных организаций к отраслевому стандарту информационной безопасности (СТО БР ИББС) Банка России. Несмотря на рекомендательный, а не обязательный статус его требований, большинство российских банков уже добровольно присоединились к стандарту. Только 7,5% респондентов отметили, что ориентируются исключительно на требования и рекомендации других нормативных актов (Диаграмма 7).

ДИАГРАММА 7. Отношение банков к отраслевому стандарту информационной безопасности.

Данная цифра соотносится с результатами исследования «Практика применения Комплекса документов Банка России по обеспечению информационной безопасности», проведённого в конце 2011 года НП «АБИСС». На конец 2011 года присоединившихся банков было 80%, и ещё 10% планировали принять стандарт в течение ближайших двух лет.

При этом надо учитывать, что сам стандарт является, скорее, сборником лучших практик, нежели нормативным документом. Соответствие его требованиям способствует повышению качества бизнеса в целом. Но в надзорной деятельности нормы отраслевого стандарта напрямую не могут быть использованы.

Вместе с тем, нельзя сказать, что банки, решившие принять стандарт, уже сейчас удовлетворяют подавляющему большинству его требований. Таких банков всего 16,4%. Большая же часть кредитных организаций – 56,7% сообщает о частичном соответствии. Позицию ещё части банков – 18,7% можно назвать «осторожной»: их специалисты учитывают рекомендации СТО БР ИББС, но пока не проводили оценку соответствия. Среди этих банков, наверняка, есть те, которые ещё даже формально не принимали решения о принятии отраслевого стандарта информационной безопасности.

В целом, влияние стандарта на банковскую отрасль можно считать самым положительным. Объединяя лучшие практики обеспечения информационной безопасности и требования различных нормативных актов, стандарт является универсальным методическим документом для банковских специалистов.

На полезность Комплекса БР ИББС указывает также статистика добровольного присоединения к стандарту.

При таком уровне поддержки перевод норм стандарта из рекомендательных в обязательные не выглядит удивительным. Такие шаги обеспечивают большую поддержку обеспечения информационной безопасности со стороны топ-менеджмента банков.

КЛЮЧЕВЫЕ ВЫВОДЫ

  • Уровень зрелости российских банков в области ИБ относительно невысок, лишь две трети (63,5%) имеют выделенные подразделения по ИБ, а собственный бюджет на ИБ и вовсе 31,3%.
  • Регулярную оценку рисков ИБ проводит только четверть (26,1%) кредитных организаций.
  • Суровый нормативный прессинг оказывается главной сложностью в области защиты информации для 76,9% банков. Среди других препятствий участники исследования чаще всего отмечали низкую грамотность сотрудников бизнес-подразделений в вопросах ИБ (40%), недостаток финансирования (38,8%), нехватку квалифицированного ИБ-персонала (38,1%).
  • Соответствие требованиям регулятора при реализации проектов по ИБ является целью 91,2% банков, при этом о повышении конкурентоспособности задумывается лишь 33,6% кредитных организаций.
  • Почти две трети (62,7%) российских банков терпят кадровый голод в области ИБ. Основные причины: недостаток или слабая квалификация специалистов по ИБ, а также завышенные зарплатные требования.

ЗАКЛЮЧЕНИЕ

Банковская сфера – одна из самых регулируемых государством отраслей, и участники исследования прямо говорят о силе «нормативного прессинга» на обеспечение информационной безопасности. Но повысился бы уровень безопасности, если представить, что все обязательные требования вдруг были бы отменены? Вряд ли.

В среднем, только один из трёх банков, занимаясь защитой информации, думает о повышении конкурентоспособности. При таком подходе, в отсутствие жёстких требований регулятора, нет оснований полагать, что банки быстро изменят приоритеты и станут больше внимания уделять защищённости информации. Что, в свою очередь, неминуемо приведёт к урезанию бюджетов, штата специалистов и дальнейшему ухудшению ситуации с информационной безопасностью.

Каким может быть выход в данном случае? Теоретически можно облегчить выполнение обязательных требований, ужесточив ответственность за инциденты информационной безопасности. Такой подход поможет сохранить заинтересованность банков в защите данных, но сместить акценты с «бумажной» на практическую безопасность.

Правда, пока такой сценарий кажется малореалистичным. Во-первых, кардинально изменить подход будет сложно главному государственному регулятору – Банку России. Во-вторых, сохраняется шанс, что при отмене обязательности ряда требований банки могут понадеяться на авось и начать сворачивать «лишние» направления обеспечения информационной безопасности.

В целом, развитие деятельности по обеспечению информационной безопасности в банках авторы исследования видят в изменении приоритетов и целей проектов защиты информации. До тех пор, пока специалисты основной своей целью ставят выполнение требований государственных регуляторов и основные усилия сосредотачивают на красивой отчётности, реальная безопасность будет страдать.

В отличие от средств и мер защиты, практические угрозы, с которыми приходится сталкиваться банкам, не являются столь же стандартизированными и зарегулированными. Потому, противодействуя им, следует использовать более гибкие подходы.

 

 

Смотрите также

Подпишись на новости!
Подписаться