Контакты
Подписка
МЕНЮ
Контакты
Подписка

Банк России: слово регулятора

Банк России: слово регулятора

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Банк России: слово регулятора

В эксклюзивном интервью Артем Михайлович Сычев, заместитель начальника ГУБиЗИ Банка России, рассказал редакции о планах Центрального Банка России на 2013 г. по обеспечению информационной безопасности.
Артем Сычев
заместитель начальника ГУБиЗИ Банка России

- Артем Михайлович, недавно вы перешли в Банк России на должность заместителя начальника ГУБиЗИ. Каковы на сегодняшний день основные задачи Центробанка в области информационной безопасности?
- Действительно, не так давно в ГУБиЗИ ЦБ РФ произошли организационно-штатные изменения. Андрей Петрович Курило, ранее занимавший эту должность, перешел в Департамент регулирования расчетов (ДРР) Банка России на другой участок работы. Тем не менее Банк России всегда уделял и будет уделять серьезное внимание вопросам обеспечения ИБ своих ресурсов и технологий. Однако информационные технологии не стоят на месте, а это приводит к возникновению новых рисков и угроз. Поэтому первая задача - обеспечение информационной безопасности в условиях постоянного развития и совершенствования информационных технологий. Вторая задача - это, традиционно, работа над Стандартом Банка России.

- В предыдущем интервью (Information Security № 5/2011, с. 14) мы с вами говорили о том, почему   следственным   органам сложно  доказать  факт  мошенничества в системах дистанционного банковского обслуживания (ДБО), а банку - свою непричастность. Необходимо сформировать единый механизм моментальной блокировки похищенных денег и их   возврата. Банковское сообщество ждет от Банка России принятия соответствующих нормативных документов. Ведется ли работа в этом направлении?
- Эта работа, безусловно, ведется, и находится она в зоне ответственности ДРР Банка России. При этом ГУБиЗИ принимает  в этом  непосредственное участие.

Сегодня одна из основных проблем ДБО при проведении доследственных и следственных мероприятий - это либо отсутствие, либо неполное документирование действий клиентов в системе ДБО. Иными словами, не все кредитные организации ведут лог-файлы, либо ведут, но хранят их крайне недолго или в формате, бесполезном для проведения следственных действий. Равно как и бесполезном для внутренних процедур реагирования на инциденты в системах ДБО. На сегодняшний день ЦБ, имея возможность устанавливать требования ИБ в рамках 161-ФЗ "О национальной платежной системе", готовит определенные изменения в Положение № 382-П. Это первый шаг на пути к совместной серьезной работе с правоохранительными органами. И важный шаг к стандартизации подходов к расследованию инцидентов, в том числе с учетом различных систем ДБО.

- Взаимодействовали ли вы при разработке данного документа с Ассоциацией российских банков (АРБ) и с другими организациями?
- Да, мы взаимодействовали с АРБ и с Национальным платежным советом. Обсуждение проходило с их участием, и даже те формулировки, которые войдут в окончательный документ, с ними обсуждались. Таким образом, в подготовке этих изменений участвовали все заинтересованные стороны.

- Давайте подведем итоги по задачам 2013 г.
- Задач на 2013 г. довольно много. Прежде всего продолжение работ по развитию и сопровождению Стандарта Банка России. Это прежде всего документ, определяющий методологию обеспечения информационной безопасности Банка России. Статус документов Комплекса в соответствии с законодательством Российской Федерации о техническом регулировании - рекомендательные документы. Решение об использовании документов Комплекса принимается кредитной организацией самостоятельно. В то же время принятие кредитной организацией решения об использовании указанных документов показывает, по нашему мнению, определенный уровень зрелости кредитной организацией в вопросах обеспечения информационной безопасности и повышает доверие к ее деятельности со стороны Банка России.

В современных условиях обеспечение должного уровня информационной безопасности в организациях банковской системы Российской Федерации невозможно реализовать без использования актуальной методологической базы. В этой связи Банком России реализуется работа, направленная на совершенствование комплекса документов Стандарта. Кроме уже названных, к основным направлениям данной работы относится совершенствование документов Стандарта в части реализации требований законодательства Российской Федерации по вопросам обеспечения защиты персональных данных. Политика, связанная с предоставлением возможности организациям банковской системы Российской Федерации использования требований Стандарта для исполнения законодательства Российской Федерации в области защиты персональных данных, будет продолжена, для чего предполагается проведение следующих мероприятий:

  • используя полномочия Банка России, установленные в ч. 5 ст. 19 Федерального закона "О персональных данных", определить отраслевую модель актуальных угроз безопасности персональных данных для организаций банковской системы Российской Федерации. Для этого планируется организовать работу с банковским экспертным сообществом, провести согласование модели угроз с ФСТЭК России и ФСБ России и ввести модель в действие в виде нормативного акта Банка России;
  • после ввода в действие документов регуляторов в области обеспечения безопасности персональных данных, предусмотренных ч. 4 ст. 19 Федерального закона "О персональных данных" (в первую очередь обновленной редакции Приказа ФСТЭК России № 58) провести актуализацию рекомендаций в области стандартизации "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации", включенных в состав Комплекса;
  • провести работы по переподписанию Письма-обращения в кредитные организации о возможности использования Комплекса для выполнения в организациях банковской системы Российской Федерации законодательства в области персональных данных (переподписания письма шестерых), с целью обеспечения легитимности использования документов Комплекса.

В 2013 г. планируется продолжение других работ в части Стандарта. Необходимость их проведения определяется наличием ряда чрезвычайно актуальных для Банка России и для организаций банковской системы Российской Федерации направлений деятельности по обеспечению информационной безопасности, требования и рекомендации к которым практически полностью отсутствуют в отечественной нормативно-методической базе. К указанным актуальным направлениям, среди прочего, относятся:

  • менеджмент инцидентов информационной безопасности, в том числе инцидентов информационной безопасности, возникающих в системах дистанционного банковского обслуживания;
  • ресурсное обеспечение деятельности по обеспечению информационной безопасности.
Задач на 2013 г. довольно много. Прежде всего продолжение работ по развитию и сопровождению Стандарта Банка России. Это прежде всего документ, определяющий методологию обеспечения информационной безопасности Банка России. Статус документов Комплекса в соответствии с законодательством Российской Федерации о техническом регулировании - рекомендательные документы. Решение об использовании документов Комплекса принимается кредитной организацией самостоятельно. В то же время, принятие кредитной организации решения об использовании указанных документов показывает, по нашему мнению, определенный уровень зрелости кредитной организацией в вопросах обеспечения информационной безопасности и повышает доверие к ее деятельности со стороны Банка России.

Для каждого из этих направлений планируется разработка отдельного документа в составе Стандарта.

Кроме того, будем работать над созданием рекомендаций в части требований к обеспечению ИБ на всех этапах жизненного цикла банковских систем. Включая требования к разработчикам банковских систем. Планируем, что подобные рекомендации будут гармонизированы с Положением 382-П, что должно способствовать тому, что коммерческие банки начнут требовать с разработчиков более серьезного внимания к сервисам обеспечения ИБ. Тогда схема взаимодействия "кредитная организация потребитель услуг - кредитная организация - разработчик систем ДБО" выйдет на иной уровень эффективности с точки зрения обеспечения ИБ.

- Как уже было замечено, есть банки покрупнее, есть поменьше. Ресурсы и возможности разнятся. Возможно ли создать единые требования и рекомендации для всех банков?
- У разных банков разный уровень рисков. Понятно, что разные риски требуют разного реагирования. Но просчитать-то их все равно надо, правильно? Например, задача защиты от утечек информации, составляющей коммерческую или банковскую тайну, должна решаться в любом банке вне зависимости от того, большой он или маленький. Однако количество каналов возможной утечки разное. Соответственно подход к расчету может быть один, а результаты - разные. Такие расчеты масштабируемы, как и Стандарт Банка России. Идеология Стандарта дает вариативность с точки зрения выбора возможности реагирования на те или иные риски. Аналогичны и рекомендации по реагированию на инциденты - здесь мы видим ту же вариативность. Большой бизнес - большие риски. Требуются соответствующие затраты на обеспечение безопасности. Маленькому бизнесу достаточно меньшего ресурса для решения большей части задач обеспечения ИБ.

- По вашим оценкам, сколько процентов банков в России могут соответствовать тем положениям и тем рекомендациям, которые вы хотели бы ввести в следующем году?
- Рекомендации - это методология, следуя которой можно избежать многих проблем. Если же кредитная организация отказывается ей следовать, это ее право, мы не навязываем. Но мы предлагаем набор хороших практик, требований, которые позволяют решать целую группу задач обеспечения ИБ организации в целом. Еще раз хотел обратить внимание, что делать Стандарт обязательным Банк России не собираться. И рекомендации Банк России создает не для того, чтобы они стали обязательными, а для того, чтобы предложить коллегам, озаботившимся проблемой и ищущим пути ее решения, методологию, которую можно творчески применить.

Наша задача в части стандартизации ИБ - разработать рекомендации прежде всего для себя и для банковского сообщества в целом, исходя из существующих рисков, практик, возможностей.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2012

Приобрести этот номер или подписаться

Статьи про теме