Михаил Левашов: «В России фактически появились обязательные требования для практически всех организаций в части ИБ только после издания ФЗ «О персональных данных»

- Какая, на ваш взгляд, сложилась ситуация в сфере регулирования и стандартизации процессов ИБ в банковской сфере в настоящее время?

- В середине 2000-х годов Банк России выступил инициатором создания фактически первого полноценного отраслевого стандарта ИБ банковской системы РФ. В нем регулятор на основе лучших мировых практик сформулировал требования и процедуры, которыми могут руководствоваться банки для обеспечения необходимого уровня ИБ, а также для выполнения требований законодательства. В результате появился комплекс стандартов по информационной безопасности банковской системы РФ -СТО БР ИББС. Он состоит из ряда отдельных стандартов и рекомендаций, которые освещают общие вопросы обеспечения ИБ, а также некоторые важнейшие задачи, связанные с ним. Это, в частности, методические рекомендации по оценке соответствия ИБ требованиям СТО БР ИББС, методика оценки рисков нарушения ИБ, руководство по самооценке соответствия, аудит ИБ, методические рекомендации по документированию.

Со временем отдельные документы комплекса СТО БР ИББС актуализировались. С появлением нормативных актов в области защиты персональных данных (ПДн) комплекс пополнился отраслевой моделью угроз ПДн, требованиями по обеспечению безопасности ПДн, а также методическими рекомендациями по выполнению требований законодательства в области ПДн.

Ценность СТО БР ИББС заключается в том, что банкам предложен единый комплексный подход к обеспечению защиты информации и информационных технологий, позволяющий одновременно выполнять требования законодательства. При этом каждый банк может самостоятельно или с использованием внешнего аудитора провести оценку степени выполнения у себя требований СТО БР ИББС и получить ее численное значение. Полученные показатели дают возможность понять, насколько банк продвинулся в направлении защиты ИБ.

Как и любой стандарт, рассматриваемый комплекс не обязателен для выполнения в банках. Он предоставляет банкам лучшие практики.

- Как активно банки включились в процессы реализации этого стандарта?

- Если рассматривать в исторической ретроспективе, то особой активности, конечно, не было. Почему все так сложилось, понятно. Банки не проявляли особого рвения, потому что не было жестких законодательных требований, обязывающих это делать. Соблюдение требований ИБ - это не основная деятельность банка. В банковской лицензии не указано, что организация создана для того, чтобы следить за всеми аспектами ИБ как за зеницей ока, у банков вообще-то другие задачи. Можно обозначить требования ИБ как некие дополнительные, сопутствующие основной деятельности. При этом, конечно, банки всегда, то есть еще до появления стандарта, уделяли внимание защите платежной системе и сопутствующим ей системам.

Кредитно-финансовым организациям пришлось обратить пристальное внимание на требования ИБ после появления ряда законодательных актов по частному, но важному аспекту ИБ, касающемуся защиты персональных данных. Общеизвестно, что в России фактически для всех организаций появились обязательные требования в части ИБ, только после того как начал работать ФЗ «О персональных данных» и все последующие документы: его редакции, подзаконные акты и т.д. Об обеспечении ИБ после этого задумались не только банки, но и все многочисленные операторы персональных данных.

Можно сказать, что Закон «О персональных данных» стал переломным событием в развитии отрасли обеспечения ИБ. Компании стали интересоваться как обеспечить ИБ и соблюсти требования законодательства с наименьшими затратами и в разумные сроки.

В комплексе СТО БР ИББС также появились новые документы, связанные с защитой ПДн, о чем уже говорилось выше.

- Какие шаги предпринимались, чтобы приобщить банки к выполнению требований ИБ?

- Прежде всего, это «письмо шести» 2010 года, согласованное Банком России, Ассоциацией российских банков, Ассоциацией региональных банков «Россия», ФСБ, ФСТЭК и Роскомнадзором. В этом «письме» банкам рекомендуется ввести комплекс СТО БР ИББС в организации и выполнять его.

Еще задолго до этого была создана неформальная организация Association for Banking Information Security Standards (АБИСС) - сообщество пользователей банковских стандартов по информационной безопасности. В 2011 году АБИСС преобразовалась в некоммерческое партнерство, предметом деятельности которого стало содействие в разработке и реализации стандартов и правил предпринимательской деятельности в области обеспечения информационной безопасности в кредитно-финансовых и других организациях - участниках национальной платежной системы Российской Федерации.

Партнерство призвано помогать банкам реализовывать требования стандарта Банка России, создавать условия для появления квалифицированных аудиторов и консультантов по ИБ. Участниками АБИСС являются кредитно-финансовые учреждения, компании-консультанты и компании-аудиторы ИБ, а также образовательные учреждения, готовящие таких консультантов и аудиторов.

Определенные преимущества, которые получают присоединившиеся к стандарту банки, заключаются в том, что, выполняя требования комплекса СТО БР ИББС, банки одновременно выполняют требования всех регуляторов и контролеров в области ИБ. При этом в соответствии со стандартом некоторые требования регуляторов могут быть заменены на другие (компенсационные) требования, которые можно реализовать более приемлемыми для бизнеса методами. Кроме того, результаты аудита ИБ, проведенного имеющими соответствующие компетенции (сертификаты) аудиторами, принимаются Банком России.

По неофициальным данным, к стандарту присоединились около 60-70% организаций банковской системы РФ. Формально банки не обязаны это делать. Они могут выполнять требования ИБ и другими методами.

- А термин «компенсационные меры» содержится в стандарте СТО БР ИББС?

- Такого термина в явном виде в комплексе нет (он имеется в других стандартах), однако смысл от этого не меняется. Ведь компенсационные меры - это меры защиты, которые применяются в случае невозможности реализации в полной мере того или иного требования. Причины такой невозможности могут быть техническими, финансовыми и т.д. Технические появляются, например, если недопустимо замедляется скорость работы системы либо средства защиты не совместимы с другим ПО. Финансовые причины - это уменьшение прибыли организации. Для таких случаев и существуют компенсационные меры, применяя которые банк придет к аналогичному результату только с помощью других методов.

Условно говоря, для охраны сейфа можно не применять замок с повышенной степенью секретности, а поставить человека. Результат тот же, но метод иной. Или другой пример, более близкий к реальной практике. Общеизвестно, что во всех информационных системах нужно использовать на рабочих станциях и серверах антивирусные средства. Но при этом в некоторых случаях скорость работы сильно замедлится. Это может привести, например, в торговых биржевых системах к существенным финансовым потерям. Антивирусные средства в этих случаях можно заменить сегментированием сети с установкой межсетевого экрана, настроенного только на пропуск определенного бизнесом трафика.

- Как на стандарт Банка России повлияло принятие Закона «О национальной платежной системе»?

- Принятие летом прошлого года этого Закона стало важнейшим событием не только в отрасли платежей, реализующей и обеспечивающей «кровеносную» систему всей хозяйственной деятельности, но и в области обеспечения ИБ. Последнее связано с появлением в текущем году ряда обязательных к исполнению требований ИБ, оформленных в виде указаний Банка России. Важнейший документ из них - это Положение «О требованиях (и о порядке контроля) к обеспечению защиты информации при осуществлении переводов денежных средств».

Этот документ основан на положениях комплекса СТО БР ИББС. На первый взгляд может показаться, что после появления новых документов этот комплекс устарел и его актуальность снизилась. Мне представляется, что это ошибочное мнение. И связано это с тем, что стандарт был и остается сборником лучших практик, из которых законодательные и регулирующие органы черпают идеи и положения новых законодательных и нормативных актов. При этом, конечно, комплекс требует модернизации и обновления. Действительно, появились новые (кроме банков) субъекты НПС. Практика нарушений ИБ подсказывает, что в будущей редакции стандарта нужно усиливать и конкретизировать подходы, связанные с анализом и управлением реальными рисками, которые диктует жизнь. Резко расширяются технологические возможности совершения платежей. Поэтому комплекс нужно актуализировать. Но роль его как базиса, на котором основаны все обязательные нормы и требования обеспечения ИБ, остается прежней.

Руководство страны неоднократно подчеркивало большую роль саморегулируемых организаций в процессах обеспечения деятельности органов управления. В этом контексте представляется, что роль АБИСС также возрастет. НП должно развивать и совершенствовать свои уставные функции, обеспечивая Банку России и другим регуляторам ИБ помощь в полноценном и всестороннем выполнении своих обязанностей.

- Как вы думаете, должен ли СТО БР ИББС оставаться добровольным к исполнению?

- Выполнение любого стандарта (в соответствии с ФЗ «О техническом регулировании») является добровольным. Поэтому те банки, которые хотят соблюдать нормы ИБ, должны вводить у себя комплекс. При этом противоположная точка зрения также имеет право на существование. Просто те, кто не считает их обязательными, будут по-другому оценивать свои риски. Возможно, той или иной организации проще заплатить штраф в 50 тыс рублей или в 100 тыс рублей за неисполнение каких-то требований, нежели потратить полмиллиона рублей, выполняя требования законодательства. Это проблема оценки рисков, и каждый банк решает ее самостоятельно.

- Если делать прогнозы, то какие, на ваш взгляд, процессы будут происходить на банковском рынке в сфере регулирования вопросов ИБ?

- Здесь все зависит от того, какую позицию займут государственные регуляторы. Постепенно идет смена поколений, приходят новые люди с новыми идеями. Создаются новые общественные некоммерческие объединения отраслевых предприятий и организаций, образуются СРО. В рассматриваемой нами отрасли это, например, НП «Национальный платежный совет», Ассоциация НПС и т.д. Они объединяют крупнейшие российские банки, локальные платежные системы и системы денежных переводов. В таких условиях необходимо время, чтобы понять, как эти новации лягут на то, что уже создано и работает.

На мой взгляд, имеющаяся и уже проверенная опытом и временем практика ИБ полезна и необходима даже при появлении нововведений. Рынок долго приспосабливался к сложившейся практике и, наконец, привык. Поэтому, конечно, дискуссии, выработка новых позиций необходимы, но допускать резкую ломку сложившейся системы, на мой взгляд, нельзя.

Одно из актуальных направлений развития - усиление подхода, связанного с управлением рисками с учетом резкого расширения многообразия технологий платежей и других финансовых операций. ИБ должна серьезно обосноваться на фондовом рынке, а также у всех новых субъектов НПС. Роль некоммерческих СРО должна существенно вырасти в направлениях консалтинга, аудита и подготовки квалификационных требований и квалифицированных кадров