Компаниям надо действовать до того, как случится инцидент или проверка

Компаниям надо действовать до того, как случится инцидент или проверка

Вчера, 20 мая, компания «ДиалогНаука» совместно с Ассоциацией российских банков (при информационной поддержке BIS Journal) провела в Москве конференцию «Информационная безопасность финансовых организаций: актуальные вопросы и новые вызовы». На мероприятие были приглашены руководители ИБ-подразделений кредитных и некредитных учреждений, чтобы рассмотреть актуальные вопросы в сфере регуляторики и последние изменения в законодательстве и обсудить с экспертами интересующие их темы.

В своем вступительном слове президент АО «ДиалогНаука» Виктор Сердюк поприветствовал партнеров и участников, пригласив их к активной дискуссии по тематике комплаенса. Руководитель компании также сделал акцент на ожидаемом выступлении представителя Банка России как основного регулятора отрасли, который традиционно вводит в курс главных новостей, тенденций, текущих требований и планов на будущее.

«От себя могу сказать, что все, о чем мы будем рассказывать, — это результат в том числе и нашего практического опыта, — добавил Сердюк. — Мы работаем с огромным количеством кредитно-финансовых организаций и по всем темам, которые мы освещаем, имеем уже большое количество наработок. Таким образом, мои коллеги будут делиться не только теоретической стороной вопроса, но и теми проблемами, с которыми мы сталкиваемся в процессе реализации тех или иных проектов».

Представитель Ассоциации российских банков Валерий Шипилов напомнил присутствующим, что речь идет уже о пятой конференции — первая прошла в 2019 году, перед пандемией, а затем был перерыв по объективным причинам. Директор по консалтингу АО «ДиалогНаука» Антон Свинцицкий выразил сожаление по поводу того, что «ГОСТы не прошли пока все круги бюрократического согласования Российской Федерации — ЦБ, Минюст, Росстандарт и так далее», хотя и сейчас несложно себе составить примерное представление об их окончательных очертаниях.

Регуляторика ясна, но есть нюансы

Обзор изменений в подходе к категорированию объектов критической инфраструктуры представил участникам руководитель направления отдела консалтинга АО «ДиалогНаука» Игорь Тарви. Как пояснил эксперт, в последние годы были внесены существенные изменения в 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», которые затронули непосредственно сам подход к категорированию. Сюда относятся, в частности, определение объектов КИИ с использованием процессного подхода (то есть с выявлением критических процессов), а также тот факт, что была упразднена необходимость направления перечня объектов КИИ, подлежащих категорированию.

Кроме того, в дополнение к изменениям в законе были выпущены постановления правительства, в том числе №360-р и №92. Тарви отметил, что категорированию подлежат объекты КИИ, соответствующие указанным типам систем и признакам значимости. При этом для них необходимо совпадение всех трех признаков: наименование, типовые процессы и виды деятельности.

Нюансы нормативно-правовых актов вызвали живой интерес у аудитории, адресовавшей спикеру немало вопросов. Так, один из участников хотел понять процесс взаимодействия с ФСТЭК в случае, когда необходимо исключить объекты из ранее поданного перечня на том основании, что «они фактически важные, но не относятся к типовым». Со слов эксперта, официальный подход ФСТЭК заключается в следующем: для того, чтобы исключить объект КИИ из соответствующего реестра, необходимо провести его вывод из эксплуатации документом. Однако можно еще порекомендовать подачу данных по новым объектам с таким же наименованием, что в принципе решает проблему.

Нам помогут харденинг и правило Парето

С большим вниманием отнеслись участники конференции к тем разъяснениям, с которыми выступил начальник отдела нормативного регулирования и стандартизации Управления методологии и стандартизации информационной безопасности и киберустойчивости ЦБ РФ Георгий Ерохин. Говоря о регуляторных полномочиях Банка России, спикер разделил их на два раздела: защиту информации (положения №851-П, 821-П, 757-П и другие) и операционную надежность (№850-П и 779-П).

К числу изменений относятся требования к защите информации при осуществлении переводов денежных средств с использованием биометрических персональных данных, право реализации процессов безопасного жизненного цикла разработки ПО, требования по реализации минимального уровня защиты информации для микрофинансовых организаций, сроки предоставления сведений об инцидентах и так далее. Представитель Центробанка также рассказал о планируемых изменениях в некоторых положениях регулятора и Национальных стандартах РФ — ГОСТ Р 57580.1 – 2017 и 57580.2 – 2017.

Свои доклады представили также эксперты компании «ДиалогНаука»: руководитель группы отдела консалтинга Сергей Канивец («Реализация процессов разработки безопасного программного обеспечения в соответствии с требованиями Национального стандарта ГОСТ Р 56939-2024»), руководитель отдела консалтинга Илья Романов («Аттестация для доступа к СМЭВ: требования, ошибки, практика»), технический директор Роман Ванерке («Технический аудит информационной инфраструктуры компании: когда для повышения защищенности надо "копнуть" глубже») и директор по консалтингу Антон Свинцицкий («Оценка соответствия: цифры и только цифры»).

В вопросах разработки безопасного софта оптимальным будет следование известному принципу Парето — 80 на 20, считает Сергей Канивец. Здесь сложно выделить какой-то отдельный элемент как наиболее важный, однако, с точки зрения инструментария имеет смысл начинать с таких систем, как статический анализ кода и композиционный анализ. Банк России и ФСТЭК активно продвигают идею разработки безопасного ПО в своих нормативных документах. Так, служба представила 1 марта содержание мер защиты информации, которые относятся не только к приказу №117, но и к ряду других приказов.

Роман Ванерке разделил в своем докладе понятия комплаенс и техника: если один отвечает на вопрос «что у нас есть», то второй — «как оно реально настроено». Рекомендуемая методология предполагает шесть шагов вниз по стеку: обследование, состав СЗИ, архитектура, настройки, достаточность и рекомендации (приоритизированный план плюс дорожная карта). Если выявлены пробелы, то, по мнению эксперта, не нужно заниматься точечным затыканием — нужен эталон конфигурации под каждый класс. Правильно настроенные системы на основе процесса харденинга дают бизнесу немало преимуществ, включая снижение поверхности атаки, готовность к проверкам и реальную картину защищенности. И лучше действовать сейчас, а не ждать, пока случится серьезный инцидент или будут наложены чувствительные санкции со стороны надзорных органов.