Финансовая сфера

Банковское обозрение


  • О дуализме Центробанка в контексте банковской безопасности
07.03.2013

О дуализме Центробанка в контексте банковской безопасности

ЦБ загружает банки отчетностью, но, с другой стороны, дает явные показатели ценности информационной безопасности


С одной стороны ЦБ нередко «закручивает гайки» в части установления требований по ИБ. «Хорошим» примером этого является п. 2.13.1 положения 382-П Банка России, согласно которому кредитная организация обязана ежемесячно направлять оператору платежной системы информацию об инцидентах ИБ. Казалось бы, в чем проблема? А в том, что кредитная организация должна слать такие отчеты ежемесячному каждому оператору платежной системы, агентом которой она является. Не очень-то удобно. Особенно в условиях нехватки персонала. Получается, что все усилия и так немногочисленных сотрудников службы ИБ будут сосредоточены на подготовке и отправке ежемесячной отчетности, а не на обеспечении реальной безопасности банковских систем. Но это одна сторона медали. Есть и другая.

На что часто жалуются банковские службы ИБ (да и не только они)? На нехватку ресурсов на обеспечение ИБ. А почему их не хватает? Не дают. А почему не дают? Потому что безопасники не могут показать деньги. Некоторые говорят, что оценить ущерб в деньгах невозможно и что этого никто не делает, и т. д. И вот появляется новая форма отчетности 0409258 об инцидентах с платежными картами, где в явной форме надо ежемесячно указывать количество и сумму несанкционированных операций по картам; причем по разным срезам. По 203-й форме ЦБ также планирует, о чем говорилось на конференции в Магнитогорске, ввести графу по похищенным или намеченных к хищению денежных средств.

Что нам дают эти нововведения? То, чего так ждут службы ИБ, до конца и не подозревая об этом. Показ денег! Вот он ущерб от деятельности мошенников, хакеров и иных криминальных личностей! Причем по разным срезам и помесячно. И тут же информация по инцидентам, которая так нужна для оценки вероятности нанесения ущерба. Опять же вероятность для каждого инцидента своя с распределением по времени года. И ведь все эти данные не притянуты за уши, и не взяты с потолка, и никто их не копировал их из статистических отчетов консультантов. Реальные цифры по конкретному банку. Одним выстрелом сразу двух зайцев.

Вот и получается, что с одной стороны ЦБ навязывает новые формы отчетности, сильно бюрократизируя ИБ, а с другой это позволяет сделать то, что так нужно банковским безопасникам. Нужно, конечно, не только им, но в других отраслях нет такого регулятора. Дуализм, однако. И не знаешь, хорошо это или плохо... Каждый выбирает для себя.






Новости Релизы