BIS Journal №2(33)/2019

9 июля, 2019

Пасынки системы

О том, какая славная информационная безопасность в «большой пятерке» мы слышим часто и практически отовсюду. Но мы живем в мире, где кроме «большой пятерки» есть еще около 300 банков, существующих в других реалиях.

 

ЦИТАТА ИЗ ГОСТА И ДВА ПРОЦЕССА

Начнем с цитаты из ГОСТ Р 57580.1-2017: «…для финансовых организаций угрозы безопасности информации представляют существенную опасность, а обеспечение защиты информации является для финансовых организаций одним из основополагающих аспектов их деятельности».

Что происходит в реальности в «малых и средних» банках? Как бизнес воспринимает фразу «обеспечение защиты информации является для финансовых организаций одним из основополагающих аспектов их деятельности»? Чтобы понять, рассмотрим всего пару процессов – мониторинга фродовых операций и проведение внешнего аудита по 382-П.

 

МОНИТОРИНГ ФРОДА

Мониторинг фрода - одно из направлений информационной безопасности, с необходимостью которого бизнес соглашается, но при этом совершенно не понимает, зачем нужна автоматизация процесса, если все можно сделать «руками». И финансировать внедрение Анти-фрод системы бизнес не спешит.

Пока Анти-фрод «семимильными шагами проносится по просторам банковского сообщества», усиливая свои позиции изменениями в законодательстве (167-ФЗ от 27.06.2018), подразделения ИБ продолжают «околачивать» пороги бизнеса, в очередной раз объясняя необходимость внедрения Анти-фрод системы. Как правило, в «малых и средних» банках, ответственность за обеспечение ИБ (в полном объеме) возлагается всего на одного-двух сотрудников. Так происходит потому, что владельцы «малых и средних» банков оплачивают содержание подразделения ИБ из собственного кармана, а не за счет государственной поддержки, и согласование бюджета на дополнительного сотрудника – это боль. Следовательно, ни о каком усилении служб ИБ квалифицированными специалистами речи не идет. Да и на повышение квалификации имеющихся сотрудников за счет банка рассчитывать не приходится. По этой причине теми же сотрудниками осуществляется и выполнение требований в части противодействия хищению денежных средств «подручными» средствами.

Банковский антифрод – молодая профессия, которая не преподается в вузах даже минимально. И основные инструменты для этих Анти-фрод систем мы обычно берем из трех «источников»:

  • аудит – дает нам различные инструменты ревизий, сплошных и выборочных проверок, инспектирований и т.д.;
  • криминалистика – содержит богатый инструментарий для выявления мошенничества;
  • аналитика – позволяет использовать математический аппарат для разработки антифрод-инструментов и оценки их эффективности.

Банковский «средний и малый» бизнес идет другим путем, формируя менеджмент ИБ из одного-двух человек, и, как правило,ожидает, что эти «полтора» специалиста закроют ВСЕ дыры в рисках информационной безопасности бизнеса. И что получается?

Из года в год со стороны Регулятора идет ужесточение требований к информационной безопасности. Безусловно, это не прихоть - таковы реалии современного мира. Государству приходится повышать защищенность банков, так как банковский сектор – это кровеносная система страны, и ее нужно защищать и содержать в оптимальном состоянии.

Но вот вопрос: правильно ли выбрана методика наведения порядка? Да, она вполне подходит банкам с господдержкой, которым набрать штат для службы ИБ, обучить сотрудников, выделить дополнительное финансирование, утвердить бюджет на защиту инфраструктуры намного проще, чем их «малым и средним» братьям. А что делать этим самым «малым и средним»? Так и хочется назвать их пасынками финансовой сферы!

Все чаще и чаще слышу от менеджеров ИБ «малых и средних» банков, что регулятор не торопится работать с бизнесом, что безопасники постоянно сталкиваются с непониманием, доказывая руководству необходимость той или иной системы, риски от невнедрения которой очень высоки. 

 

ПРО 382-П

Теперь про внешний аудит по 382-П. Сама идея независимого аудита, безусловно, полезна, такой аудит объективно показывает уязвимости внутри инфраструктуры, которые штатные безопасники порой заметить не могут. Но вот вопрос регулятору: кто несет ответственность за этот внешний аудит или за тот же пен-тест? И другой вопрос, который хочется дважды подчеркнуть: почему нет аккредитации организаций на проведение данного вида работ?

Получается, раз вышли изменения в законодательстве, и оценка ИБ поменяла вектор в правильном направлении, то теперь бизнесу выгоднее нанять для определенного вида работ компанию, компетентность которой подтверждена лицензией. И это хорошо. Но вот парадокс: таких подрядчиков становится все больше и больше, а вот их компетентность и профессионализм ничем не подтверждаются.

В итоге менеджмент ИБ постоянно борется с ветряными мельницами, доказывая бизнесу и свою состоятельность, и адекватность требований тех же регуляторов. А хотелось бы, чтобы бизнес выступал в роли заказчика по отношению к менеджменту информационной безопасности.

И тут возникает следующий вопрос: как быть в такой ситуации менеджменту ИБ «малых и средних» банков? Тут, как мне кажется, нужна как раз помощь со стороны регуляторов. Необходимо их активное участие по взаимодействию с бизнесом. Это могут быть ежегодные форумы, конференции на площадках регуляторов и т.д.


Такие форумы и конференции в формате «Бизнес–Регулятор» позволят упростить взаимодействие между бизнесом и подразделениями ИБ и, соответственно, сократить временные и другие издержки при принятии решений в сфере ИБ.

Автор: Денис Антонов, эксперт

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных