А судьи кто?

А судьи кто?

Комментарий к статье Федора Дзержинского "Банк, его аутсорсер, их работники и разработка банковского ПО"

Автор предложил интересный подход к передаче на аутсорсинг разработки программного обеспечения, при котором возможна минимизация рисков информационной безопасности при передаче некоторой защищаемой в банке информации.

Предложенный подход не отражает еще одну существенную проблему – обеспечение доверия банка к организации-аутсорсеру, в первую очередь, к компетенции этой организации в вопросах обеспечения защиты информации, что является неотъемлемым требованием СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге". С точки зрения стандарта подтверждением компетенции является наличие лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации.

Можно подробно рассматривать конкретные пункты лицензии и что стоит за ними. Хочу остановиться только на общих для всех пунктах – требованиях к подготовке сотрудников организации-лицензиата.

Основные требования к ним сфокусированы на направлениях защиты:

Информация  
Технические средства 
Программное обеспечение
Информационные технологии
Средства защиты информации

Казалось бы, исчерпывающий список направлений, однако идем дальше. От чего будем их защищать? Смотрим требования:

Защита от утечки информации по техническим каналам
Защита от несанкционированного доступа (НСД) к информации
Защита от воздействия без использования криптографической защиты

Здорово! А теперь начинаем смотреть, на что больше уделяется внимания в типовых учебных курсах по ТЗКИ (500 с лишним часов)? А там эти самые технические каналы – акустика, виброакустика, ПЭМИН, электроакустика – занимают львиную долю учебного времени. И это при том, что специфика банковского бизнеса в 99% случаев признает эти каналы утечки для банков неактуальными.

Ну, хорошо, знания лишним не бывают. И тут неувязочка. Особенности технологических и информационных банковских процессов и систем в рамках этих курсов не изучаются. Особенности построения моделей угроз банковских процессов, да и вся банковская специфика (!), отсутствуют. Нет требований к организации-аутсорсеру соответствовать требованиям, например, Положения Банка России №382-П или требованиям СТО БР ИББС-1.0-2014. Хотя примеры такой практики есть в серии стандартов PCI DSS, где разработчики должны выполнять требования по безопасности в рамках своего специального стандарта.

Сейчас специализированные учебные центры, а таких уже довольно много, разработали и успешно читают программы по обучению вопросам обеспечения безопасности в соответствии с требованиями Положения Банка России №382-П. Если бы банки при заключении аутсорсинговых договоров требовали от своих партнеров не только лицензии ФСТЭК по ТЗКИ, но и свидетельства о подготовке их специалистов по таким программам, то уровень доверия к ним был бы значительно выше.