BIS Journal №4(31)/2018

14 декабря, 2018

А судьи кто?

Комментарий к статье Федора Дзержинского "Банк, его аутсорсер, их работники и разработка банковского ПО"

Автор предложил интересный подход к передаче на аутсорсинг разработки программного обеспечения, при котором возможна минимизация рисков информационной безопасности при передаче некоторой защищаемой в банке информации.

Предложенный подход не отражает еще одну существенную проблему – обеспечение доверия банка к организации-аутсорсеру, в первую очередь, к компетенции этой организации в вопросах обеспечения защиты информации, что является неотъемлемым требованием СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге". С точки зрения стандарта подтверждением компетенции является наличие лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации.

Можно подробно рассматривать конкретные пункты лицензии и что стоит за ними. Хочу остановиться только на общих для всех пунктах – требованиях к подготовке сотрудников организации-лицензиата.

Основные требования к ним сфокусированы на направлениях защиты:

Информация  
Технические средства 
Программное обеспечение
Информационные технологии
Средства защиты информации

Казалось бы, исчерпывающий список направлений, однако идем дальше. От чего будем их защищать? Смотрим требования:

Защита от утечки информации по техническим каналам
Защита от несанкционированного доступа (НСД) к информации
Защита от воздействия без использования криптографической защиты

Здорово! А теперь начинаем смотреть, на что больше уделяется внимания в типовых учебных курсах по ТЗКИ (500 с лишним часов)? А там эти самые технические каналы – акустика, виброакустика, ПЭМИН, электроакустика – занимают львиную долю учебного времени. И это при том, что специфика банковского бизнеса в 99% случаев признает эти каналы утечки для банков неактуальными.

Ну, хорошо, знания лишним не бывают. И тут неувязочка. Особенности технологических и информационных банковских процессов и систем в рамках этих курсов не изучаются. Особенности построения моделей угроз банковских процессов, да и вся банковская специфика (!), отсутствуют. Нет требований к организации-аутсорсеру соответствовать требованиям, например, Положения Банка России №382-П или требованиям СТО БР ИББС-1.0-2014. Хотя примеры такой практики есть в серии стандартов PCI DSS, где разработчики должны выполнять требования по безопасности в рамках своего специального стандарта.

Сейчас специализированные учебные центры, а таких уже довольно много, разработали и успешно читают программы по обучению вопросам обеспечения безопасности в соответствии с требованиями Положения Банка России №382-П. Если бы банки при заключении аутсорсинговых договоров требовали от своих партнеров не только лицензии ФСТЭК по ТЗКИ, но и свидетельства о подготовке их специалистов по таким программам, то уровень доверия к ним был бы значительно выше.

 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных