BIS Journal №4(31)/2018

14 декабря, 2018

А судьи кто?

Комментарий к статье Федора Дзержинского "Банк, его аутсорсер, их работники и разработка банковского ПО"

Автор предложил интересный подход к передаче на аутсорсинг разработки программного обеспечения, при котором возможна минимизация рисков информационной безопасности при передаче некоторой защищаемой в банке информации.

Предложенный подход не отражает еще одну существенную проблему – обеспечение доверия банка к организации-аутсорсеру, в первую очередь, к компетенции этой организации в вопросах обеспечения защиты информации, что является неотъемлемым требованием СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге". С точки зрения стандарта подтверждением компетенции является наличие лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации.

Можно подробно рассматривать конкретные пункты лицензии и что стоит за ними. Хочу остановиться только на общих для всех пунктах – требованиях к подготовке сотрудников организации-лицензиата.

Основные требования к ним сфокусированы на направлениях защиты:

Информация  
Технические средства 
Программное обеспечение
Информационные технологии
Средства защиты информации

Казалось бы, исчерпывающий список направлений, однако идем дальше. От чего будем их защищать? Смотрим требования:

Защита от утечки информации по техническим каналам
Защита от несанкционированного доступа (НСД) к информации
Защита от воздействия без использования криптографической защиты

Здорово! А теперь начинаем смотреть, на что больше уделяется внимания в типовых учебных курсах по ТЗКИ (500 с лишним часов)? А там эти самые технические каналы – акустика, виброакустика, ПЭМИН, электроакустика – занимают львиную долю учебного времени. И это при том, что специфика банковского бизнеса в 99% случаев признает эти каналы утечки для банков неактуальными.

Ну, хорошо, знания лишним не бывают. И тут неувязочка. Особенности технологических и информационных банковских процессов и систем в рамках этих курсов не изучаются. Особенности построения моделей угроз банковских процессов, да и вся банковская специфика (!), отсутствуют. Нет требований к организации-аутсорсеру соответствовать требованиям, например, Положения Банка России №382-П или требованиям СТО БР ИББС-1.0-2014. Хотя примеры такой практики есть в серии стандартов PCI DSS, где разработчики должны выполнять требования по безопасности в рамках своего специального стандарта.

Сейчас специализированные учебные центры, а таких уже довольно много, разработали и успешно читают программы по обучению вопросам обеспечения безопасности в соответствии с требованиями Положения Банка России №382-П. Если бы банки при заключении аутсорсинговых договоров требовали от своих партнеров не только лицензии ФСТЭК по ТЗКИ, но и свидетельства о подготовке их специалистов по таким программам, то уровень доверия к ним был бы значительно выше.

 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.03.2024
Сколько денег тратят на маркетинг лидеры российского рынка инфобеза
18.03.2024
Microsoft закроет доступ к облачным сервисам для российских компаний
18.03.2024
От операторов связи потребовали ограничить продажу «симок»
18.03.2024
Жертва социнженеров пыталась поджечь отделение «Сбера»
18.03.2024
Системы МВФ были взломаны впервые за 13 лет
15.03.2024
ИИ поможет бизнесу выявлять брак и маркировать продукцию
15.03.2024
Минцифры поручено и дальше цифровизировать всё вокруг
15.03.2024
Стоит с настороженностью относиться к сообщениям о перевыпуске SIM-карты
15.03.2024
IDC: Больше всех на «облака» в этом году потратит Польша
14.03.2024
Вендоры хотят ограничить госкомпании в закупках зарубежного харда

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных