BIS Journal №4(31)/2018

14 декабря, 2018

А судьи кто?

Комментарий к статье Федора Дзержинского "Банк, его аутсорсер, их работники и разработка банковского ПО"

Автор предложил интересный подход к передаче на аутсорсинг разработки программного обеспечения, при котором возможна минимизация рисков информационной безопасности при передаче некоторой защищаемой в банке информации.

Предложенный подход не отражает еще одну существенную проблему – обеспечение доверия банка к организации-аутсорсеру, в первую очередь, к компетенции этой организации в вопросах обеспечения защиты информации, что является неотъемлемым требованием СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге". С точки зрения стандарта подтверждением компетенции является наличие лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации.

Можно подробно рассматривать конкретные пункты лицензии и что стоит за ними. Хочу остановиться только на общих для всех пунктах – требованиях к подготовке сотрудников организации-лицензиата.

Основные требования к ним сфокусированы на направлениях защиты:

Информация  
Технические средства 
Программное обеспечение
Информационные технологии
Средства защиты информации

Казалось бы, исчерпывающий список направлений, однако идем дальше. От чего будем их защищать? Смотрим требования:

Защита от утечки информации по техническим каналам
Защита от несанкционированного доступа (НСД) к информации
Защита от воздействия без использования криптографической защиты

Здорово! А теперь начинаем смотреть, на что больше уделяется внимания в типовых учебных курсах по ТЗКИ (500 с лишним часов)? А там эти самые технические каналы – акустика, виброакустика, ПЭМИН, электроакустика – занимают львиную долю учебного времени. И это при том, что специфика банковского бизнеса в 99% случаев признает эти каналы утечки для банков неактуальными.

Ну, хорошо, знания лишним не бывают. И тут неувязочка. Особенности технологических и информационных банковских процессов и систем в рамках этих курсов не изучаются. Особенности построения моделей угроз банковских процессов, да и вся банковская специфика (!), отсутствуют. Нет требований к организации-аутсорсеру соответствовать требованиям, например, Положения Банка России №382-П или требованиям СТО БР ИББС-1.0-2014. Хотя примеры такой практики есть в серии стандартов PCI DSS, где разработчики должны выполнять требования по безопасности в рамках своего специального стандарта.

Сейчас специализированные учебные центры, а таких уже довольно много, разработали и успешно читают программы по обучению вопросам обеспечения безопасности в соответствии с требованиями Положения Банка России №382-П. Если бы банки при заключении аутсорсинговых договоров требовали от своих партнеров не только лицензии ФСТЭК по ТЗКИ, но и свидетельства о подготовке их специалистов по таким программам, то уровень доверия к ним был бы значительно выше.

 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
09.10.2024
«Необходимо внедрить архитектурный подход к производству ПО»
09.10.2024
Две недели до XI Форума ВБА-2024 «Вся банковская автоматизация»
09.10.2024
Легенды не врали: Роскомнадзор таки заблокировал Discord
09.10.2024
«Ты делаешь запрос, но делаешь его без уважения». «Нобелевку» по физике забрал «крёстный отец ИИ»
09.10.2024
BREAKING NEWS: ИИ-мошенники действуют под прикрытием ураганов
08.10.2024
Операторы связи начнут валидировать коммерческие спам-обзвоны
08.10.2024
YouTube не отдаёт свой контент потенциальным скрейперам
08.10.2024
ВТБ — о клиентском пути, «который изменит платёжный рынок страны»
08.10.2024
Консорциум исследователей ИИ расширяет состав участников

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных