Финансовая сфера

Банковское обозрение


  • Цена безопасности
17.10.2023 FinRegulationFinSecurityFinTechАналитика

Цена безопасности

Риск-ориентированный подход в ИБ необходим для понимания того, как именно IT-система защищается в то или иное время. Вторая межотраслевая конференция АБИСС по регуляторике в сфере ИБ доказала этот факт


В ходе пленарной сессии «Регуляторика как эффективный инструмент взаимодействия» в рамках Второй межотраслевой конференции по регуляторике в сфере ИБ, организованной АБИСС (Ассоциацией пользователей стандартов по информационной безопасности), прозвучало несколько ответов на волнующие финансистов темы. Модератором сессии выступила Анастасия Харыбина, председатель АБИСС.

Анастасия Харыбина (АБИСС). Фото: АБИСС

В частности, значительному количеству руководителей компаний и организаций до сих пор непонятно, для чего проводится трансформация принципов обеспечения ИБ от «бумажной безопасности» к риск-ориентированному подходу, связанная со значительными финансовыми, организационными, кадровыми и прочими затратами бизнеса. И главное: на этом можно поставить точку в выстраивании ИБ или потребуется что-то еще?

Оцифровка риска

По словам Евгения Хасина, заместителя директора департамента обеспечения кибербезопасности Минцифры, риск-ориентированного подхода как единственной парадигмы для обеспечения всеобъемлющей безопасности, конечно же, недостаточно. Этот подход дает понимание того, от чего конкретно организация защищается и что должно быть в первую очередь защищено. Но это совершенно не означает, что другие вещи защищать не требуется. На самом деле безопасность должна быть комплексной и быть организованной на всех этапах, с момента проектирования IT-системы и ее внедрения до доработки и вывода из эксплуатации, в зависимости от того, какие данные в ней обрабатывались.

Евгений Хасин (Минцифры). Фото: АБИСС

«При этом риск-ориентированный подход “в моменте” необходим для понимания того, как именно система защищается. Некоторые решения из разряда легаси защищаются, непонятно как и зачем, поскольку документации на них нет, а разработчики давно уволились. Все это проявляется после проведения анализа защищенности и получения ответа на вопрос, задаваемый руководством организации к ИБ: “Зачем обеспечивается безопасность, какие существуют остаточные риски и почему в статье расходов компании есть пункт на эти цели?”» — отметил Евгений Хасин.

Конечно же, встает вопрос о возможности оцифровать риск. Причем необходимо не только сделать это в разрезе «большой — малый», но и получить грейды как в диапазоне от нуля до 100%, так и в деньгах. Как в этих же показателях оценить качество самого регулирования? «Возможно ли это?» — в рамках дискуссии задал вопрос Александр Баранов, академик Академии криптографии РФ.

Александр Баранов (Академия криптографии РФ). Фото: АБИСС

Андрей Выборнов, заместитель директора департамента информационной безопасности Банка России, ответил на этот вопрос: «Методология оценки операционных рисков в финансовой сфере довольно неплохо развита и исходит из двоякой природы риска: связанного со среднестатистическими регулярными потерями банков за какие-то промежутки времени, а также с потерями, возможными в стрессовых сценариях, которые происходят относительно редко. Но и их на основании оценки защищенности и эффективности мер реагирования на те или иные инциденты можно оценить в деньгах. Итоговые показатели закладывают в объем операционного риска и учитывают в общих резервах в объеме капитала, выделенного на покрытие этих рисков».

Андрей Выборнов (Банк России). Фото: АБИСС

В качестве вывода по этой части пленарной сессии ее участники сошлись в том, что финансисты, изначально имеющие возможность оценить риск ущерба от киберинцидентов в рублях, оказались успешными первопроходцами, добившимися существенных успехов в масштабировании риск-ориентированного подхода на целую отрасль.

Теперь такую же работу предстоит проделать и остальным. Цель этой деятельности — добиться у руководителей компаний четкого понимания: зачем им ИБ, сколько стоит безопасность и что необходимо защищать в первую очередь?

Напомню, что от ответа на эти вопросы зависит степень персональной ответственности высокопоставленных должностных лиц в свете Указа Президента от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ».

Что делать?

Цели понятны, осталось определиться с тем, как следует проводить «тонкую настройку» регуляторики в финансах и гармонизировать ее с регулированием в других отраслях экономики.

В качестве примера необходимости данной деятельности была выбрано развитие IT-аутсорсинга и облачных вычислений, что остро необходимо малым и средним представителям всего финансового сектора. До сих пор эта деятельность происходит в рамках Стандарта Банка России «Управление риском нарушения информационной безопасности при аутсорсинге». На сегодняшний день Законопроект № 404786-8 «О внесении изменений в отдельные законодательные акты РФ “О совершенствовании правовых основ для аутсорсинга IT и использования облачных услуг финансовыми организациями”» подготовлен регулятором и внесен в Государственную думу.

В чем сложности? Помимо всего прочего — в распределении ответственности между поднадзорными Банку России и Минцифры организациями. Финансовый регулятор рассматривает Законопроект как возможность передачи части некритичных бизнес-функций на аутсорсинг, а также передачи ответственности за сохранность персональных данных и банковской тайны третьей стороне. Евгений Хасин, в свою очередь, анонсировал скорое внесение изменений в ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в части регулирования области облачных вычислений.

Но это далеко не все. В частности, в ходе сессии «Аутсорсинг IT в банковском секторе: барьеры и возможности» в рамках XX Международного банковского форума, прозвучало предложение СберБанка об обязательной сертификации качества услуг сервис-провайдеров, которое, хоть и нашло понимание регулятора, уперлось в выбор компетентного надзорного органа. Не нашли тогда и ответственное ведомство в части сертификации качества самих сервисов по аналогии с сертифицированием во ФСТЭК части ПО. Много лет не решается и проблема страхования киберрисков.

А на повестке в очереди на разработку всеобъемлющего регулирования в областях находятся ИИ, квантовая и постквантовая криптография, Open API, безопасность обработки данных разных банков в едином центре и т.д. Алексей Петухов, руководитель Центра компетенций «Кибербезопасность» НТИ «Энерджинет», отметил, что представители отрасли могли бы играть гораздо большую роль при выработке требований регуляторов на всех этапах жизненного цикла регуляторных документов. Александр Товстолип, руководитель Управления ИБ Ассоциации ФинТех, поддержал коллегу. Если говорить о правовой форме этой деятельности, то опыт удачного саморегулирования для микрофинансовых организаций намекает на СРО.

Александр Товстолип (Ассоциации ФинТех). Фото: АБИСС

«СРО можно организовать для тех, кто поставляет ИБ-услуги и решения. Для субъектов КИИ говорить о СРО достаточно сложно, вопрос в целом находится в зачаточном состоянии и требует детальной проработки при участии ФСТЭК», — высказал свое мнение Евгений Хасин.

По мнению Анастасии Харыбиной, модератора сессии, которое она озвучила в самом начале дискуссии, ни в коем случае ситуация с изменениями в регулировании не должна привести к тому, что коммерческим организациям придется «вытягивать самим все тяготы и лишения» внедрения в жизнь крайне сложных в имплементации стандартов и ГОСТов. А еще хуже работать в серой зоне вообще без регулирования. Поэтому она призвала представителей финансового ИБ-сообщества в лице банков, НКО, аудиторов, вендоров активно включаться в коллективную деятельность по трансформации процесса выработки и коррекции нормативного регулирования.

Фото: АБИСС






Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ