BIS Journal №3(30)/2018

24 июля, 2018

Защита премиум-класса

Финансовая сфера многолика и разнообразна, и информационная безопасность (ИБ) ее подотраслей также неоднородна, часто значительно. BIS Journal решил разобраться в специфике направлений банковской ИБ, для чего и открывает рубрику, которая так и называется: «Специфика ИБ».   Для начала наш эксперт, обозреватель и ведущий новой рубрики Александр Бодрик встретился с директором по информационной безопасности AO “ВТБ Капитал” Андреем Бажиным. Это и понятно: инвестиционный бизнес - элитарный, а значит, его ИБ уж точно отличается от среднестатистической. 

Андрей, какова структура бизнеса инвестиционного банка с точки зрения службы ИБ?

- Исторически инвестбанковский бизнес (CIB - corporate investment business) обслуживает в первую очередь так называемых институциональных клиентов, а также крупные корпорации и финансовые институты - участники финансовых рынков. Инвестиционные банки помогают привлекать деньги, структурировать сделки при покупке и продаже бизнеса, обеспечивать крупные операции при торговле ценными бумагами и производными финансовыми инструментами.

Клиентский менеджмент и процессы продаж продуктов коммерческого и инвестиционного банка в целом похожи в силу своей природы, основное отличие – в меньшем круге потенциальных клиентов у инвестбанка. Поэтому для инвестбизнеса гораздо более высока критичность репутации, утверждение «Банкир – это прежде всего репутация» является законом. Из-за того, что круг клиентов ограничен, самих инвестбанков на рынке не так много, и для каждого из них связка «инвестиции–доброе имя–доверие» всегда актуальна.

Реноме зарабатывается стабильно высоким уровнем сервиса и надежностью процессов при оказании услуг. Соответственно, требования к операционным процессам и к информационной безопасности как их неотъемлемой части высокие. Одновременно используются классические организационные и технические контроли – как в традиционном банке, но опять же на более высоком уровне.

Какие основные цели и задачи ставит перед собой служба информационной безопасности инвестиционного банка?

- Тут два магистральных направления: обеспечение информационной безопасности, включая кибер-безопасность, и соответствие требованиям регуляторов.

В части обеспечения информационной безопасности – это, во-первых, гарантия конфиденциальности для поддержания доверия клиентов. Об операциях никому не должно быть известно. В том числе, кстати, и для того, чтобы противодействовать манипулированию рынком. Во-вторых, обеспечение доступности и целостности как компонента доступности: сервисы должны работать, как часы, в том числе  быть устойчивыми к внутренним и внешним воздействиям - как просто ошибкам, так и умышленным действиям.

В части соответствия требованиям регуляторов – это соответствие как локальным нормативным актам стран присутствия, так и требованиям основных торговых площадок, бирж, через которые инвестбанки осуществляют часть своих операций.

Какие процессы и активы инвестиционно-банковский бизнес обычно просит обеспечить целевым уровнем защиты?

- Клиентские данные, внутренние ноу-хау, которые обеспечивают конкурентное преимущество инвестиционного банка, в том числе и понимание специфики того или иного финансового рынка, специфики законодательства и определенных аспектов конкретных сделок. Также важна безопасность крупных операционных платформ, которые обеспечивают операционную деятельность инвестбанка, – их доступность, по сути дела, определяет доступность бизнеса.

Сейчас набирает популярность тренд использования на финансовых рынках различных ботов и стратегий автоматизированных торгов. Каковы риски и контроли для таких технологий?

- Если бизнес-логика бота понятна, если обработка данных ботом соответствует законодательству, если определен владелец бота, реализована ролевая модель управления правами доступа, в том числе и то, кто может его настроить и через какие интерфейсы он управляется, то в целом с точки зрения ИБ с ним все хорошо. По сути, это элемент искусственного интеллекта, который будет развиваться и дальше. При этом основной плюс бота – у него нет эмоций, основной минус – нет и интуиции.

Каковы общие особенности обеспечения информационной безопасности инвестиционного бизнеса в целом и классических бизнес-единиц (например, global markets, брокерский бизнес, работа с валютой и долговыми обязательствами) в частности?

- На первый взгляд, специфика небольшая: малый time-to-market, сервис-ориентированная культура внутри организации. Служба ИБ понимает, что она - обеспечивающее подразделение. Также часто нужно уметь находить компромиссные решения: в инвестбанке много участников сделок и бизнес-процессов, и баланс интересов крайне важен.

Существует и довольно много локальных нормативных требований, причем каждая торговая площадка при подключении часто выдвигает свои.

Отдельная тема – это обеспечение информационной безопасности M&A, в частности применение data room для реализации управляемого множественного доступа участников и консультантов по сделке к большому объему информации от разных стран и юрисдикций.

Какова типовая структура службы ИБ инвестиционного банка и особенности ее взаимодействия со смежными подразделениями?

- Типовой структуры службы ИБ в инвестиционном банкинге, пожалуй, нет, но стоит заметить, что именно инвестбанки одними из первых стали выделять ИБ в отдельное подразделение.

Есть специфика внутреннего взаимодействия. Бизнес - быстрый, оперативный, и тут важны горизонтальные связи, проактивный подход и совместное достижение низкого time-to-market. Бюрократии в инвестбанках минимум – фокус на результат. Учитывая скорость бизнес-процессов в инвестбанках, важно предугадывать потребности бизнеса. Потом времени может и не оказаться.

Большинство моделей ИБ в инвестбанках все-таки строится на ISO 27к. На базе гибкой и стандартизированной системы достаточно легко учесть требования регуляторов и контрагентов.

Кто основной заказчик/куратор/внутренний заказчик процессов и внутренних сервисов службы ИБ?

- Основной заказчик – руководство компании, но бывает и по-другому, так как многое зависит от истории вопроса ИБ в банке и опыта руководителей. Бывают запросы от руководителей бизнес-линий - кто за какие данные отвечает (data governance). Клиентские подразделения озабочены защитой клиентских данных, в том числе персональных. Линия Corporate Finance требует обеспечения безопасности документов в рамках подготовки сделок. Корпоративное ИТ просит помощи по специфическим вопросам технологий ИБ.

Наконец, работает и проактивный подход. Служба ИБ часто сама предлагает новые процессы, решения.

Какие подразделения инвестбанка участвуют в реализации процессов ИБ?

- Ключевой участник процессов ИБ – менеджмент для определения риск-аппетита при принятии решений в сфере ИБ, лояльный и обученный персонал и, безусловно, ИТ.

Какие внутренние сервисы ИБ наиболее востребованы?

- Все классические контроли актуальны для инвестбизнеса, но есть повышенные требования к обеспечению конфиденциальности, а значит, усилено управление доступом, в том числе на основе ролевой модели, а также закладывается дополнительный запас прочности во все контроли ИБ на внутренних сервисах.

Какие специалисты востребованы службой ИБ инвестбанка?

- У специалистов мы, прежде всего, хотим видеть наличие международных сертификатов  в сфере информационной безопасности и смежных областях (CISA, CISM, CISSP), знание английского языка. Также для нас крайне важны soft skills – умение мягко, ненавязчиво, но терпеливо и убедительно отстаивать интересы функции ИБ внутри и вне компании. Фактически это все качества внутреннего консультанта.

Нужно понимать, что люди в этом бизнесе - успешные и динамичные. Они требовательны и к себе, и к другим, в том числе и к специалистам по ИБ. Многие учились за рубежом, понимают лучшие мировые практики и требуют понимания специфики бизнес-процессов. Например, нельзя отвлекать трейдеров во время торгов, и в общем есть повышенные требования к культуре общения.

Как изменилось регулирование для инвестбанков за последние три года?

- Самое важное изменение - Центробанк стал мегарегулятором, и его требования распространяются на финансовые рынки. Объединения участников фондового рынка тоже ведут работу в этом направлении, пусть и не столь заметную. Актуален ряд зарубежных требований, ведь инвестбанк строит бизнес в соответствии с международной финансовой системой.

Изменился ландшафт угроз в инвестбанкинге?

- Ландшафт угроз для инвестбанка сходен с ландшафтом угроз финансовой организации, разве что нет такого фокуса на физических лиц, как у розничного банка. В частности, приходится по-прежнему заниматься так называемой «наложенной ИБ», ведь рынок использует системные платформы и протоколы, такие как Windows и TCP/IP. При их проектировании разработчиком вопросы интероперабельности были поставлены на первое место, а вопросы ИБ решаются, на мой взгляд, посредством управления рисками и в большей степени - наложенными средствами защиты и процессами.

Каковы основные направления развития службы ИБ инвестбанков на 3 года вперед?

- Во-первых, повышение внимания к data managementdata governance. Бизнесу все интереснее, кто, что и с какими данными делает.

Второе – это постепенная интеграция процесса управления  рисками ИБ в рамках управления рисками организации в целом, с использованием инструментария операционных рисков. В частности, с помощью накопления и использования статистики инцидентов ИБ, самооценки, а также анализа ключевых индикаторов риска (KRI, Key Risk Indicators) в контексте информационной безопасности.

И третье – выполнение требований регуляторов: ЦБ РФ, международных требований (например, GDPR), которое требует постоянного тюнинга контролей в части поддержания соответствия.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных