Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Почему не обойтись без топ-менеджмента при управлении рисками информационных угроз и обеспечении операционной надежности
С 1 февраля 2023 года введены в действие два новых стандарта ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, которые детализируют ряд требований к основным процессам управления риском реализации информационных угроз (УР ИУ) и обеспечения операционной надежности (ОН) финансовых организаций, закрепленных в положениях Банка России, в виде базового состава мер в табличной форме.
Рассмотрим ключевую проблему — вовлечение руководства финансовых организаций в процессы УР ИУ и обеспечения ОН, ведь их участие устанавливается в положениях Банка России, Указе Президента Российской Федерации от 1 мая 2022 года № 250 (детализируется в Постановлении Правительства РФ от 15 июля 2022 года № 1272), а также закреплено в ряде мер новых стандартов:
Очевидно, что, согласно концепции регулятора, топ-менеджмент должен выступать внутренним заказчиком для внедрения процессов УР ИУ и ОН в финансовых организациях (ФО) для обеспечения их устойчивости. Но на деле зачастую данные процессы отдаются в лучшем случае на откуп линейным подразделениям ИБ, IТ и службы управления рисками, а в худшем — замыкаются только на ИБ.
2. Сложность коммуникации между ИБ и бизнесом. В большинстве организаций они находятся в разных плоскостях: службы ИБ смотрят в функциональной плоскости — риски, требования регулятора, новые уязвимости, новые техники и тактики проникновения в IТ-инфраструктуру и т.п., а бизнес мыслит процессами, такими категориями, как «совокупная стоимость владения», «окупаемость инвестиций», «амортизация», «стоимость обучения персонала» и «организация технической поддержки» и т.д.
3. Низкая осведомленность об актуальных информационных угрозах. Вследствие бурного развития IТ-технологий, даже имея профильное образование или пройдя профессиональную переподготовку, необходимо постоянно держать руку на пульсе, чтобы понимать последствия реализации тех или иных угроз для бизнеса и заблаговременно принимать меры.
4. Восприятие требований регулятора как «очередной комплаенс». К сожалению, в отношении комплаенса исторически сложилось мнение, что достаточно разработать комплект определенных регламентов, а фактически их исполнять необязательно.
Хотя бы одна из названных причин (если не все) актуальна для многих организаций. Чем грозит бездействие в решении проблемы невовлеченности руководства? Прежде всего возникновением реальных финансовых и репутационных потерь в случае реализации инцидента защиты информации или ОН. Причем пострадать могут партнеры и клиенты не только самой финансовой организации, но и «цепочки поставок» или экосистемы финансовых продуктов.
Нужен импульс изнутри, и по сложившейся практике он должен исходить именно от службы ИБ. Что может помочь?
Рассмотрим примеры процессов, в которых, согласно новым стандартам, требуется участие топ-менеджмента.
Требуемые процессы |
Рекомендуемые процессы |
Стратегический уровень |
|
Учет рисков информационных угроз в рамках общей стратегии ФО |
Включение ИБ в цикл стратегического планирования ФО |
Утверждение политики управления риском |
|
Тактический уровень |
|
Рассмотрение отчетности по управлению рисками |
Повышение осведомленности об ИУ |
Утверждение контрольных показателей уровня риска |
|
Операционный уровень |
|
Контроль процедур реагирования и восстановления |
Обеспечение ситуационного информирования |
Контроль результатов аудитов |
В таблице выделяется несколько условных уровней взаимодействия: стратегический — в перспективе трех — пяти лет и более, тактический — в пределах планового периода в один год, операционный — ежедневно в течение текущего года.
В левом столбце таблицы для каждого из уровней приведено по два примера процессов, в которых требуется обязательное участие топ-менеджмента. В правом столбце даны рекомендации, которые, по опыту, способствуют решению задачи вовлечения руководства в процессы УР ИУ и ОН.
Начнем с обязательных требований.
На стратегическом уровне — это учет рисков ИУ при разработке стратегии финансовой организации, а также при рассмотрении крупных инвестиционных проектов. Помимо этого к обязательным требованиям относится утверждение политики по управлению рисками реализации информационных угроз, распределяющих роли и обязанности в рамках концепции «трех линий защиты», описанных в ГОСТ.
На тактическом уровне — это прежде всего хорошо регламентированные и описанные процессы по утверждению контрольных показателей уровня риска, в том числе связанных с оценкой соответствия требованиям положений Банка России, их контрольных и сигнальных значений на плановый годовой период, а также рассмотрение отчетности по управлению рисками, подготовленной в рамках положений ЦБ.
На операционном уровне — это контроль хода реагирования на значительные инциденты или инциденты, связанные с ОН (в том числе компьютерные атаки), и контроль хода восстановительных работ. Контролю подлежат также результаты независимых внутренних и внешних аудитов ФО.
На стратегическом уровне мы рекомендуем включить ИБ в цикл стратегического планирования, производить экспресс-оценку драфта стратегии на явные стоп-факторы, затем готовить реестр рисков, разрабатывать несколько конфигураций мер митигации (компенсирующих мер), оформлять подраздел по ИБ, и уже на этапе реализация стратегии разрабатывать дорожную карту внедрения мер ИБ. Далее следует ее реализация, затем проводится плановый контроль, оформляется отчетность, а в случае изменения условий допускается внеплановый пересмотр стратегии. В результате получаем исправление ошибок на самых ранних этапах разработки стратегии, когда стоимость исправлений минимальна.
На тактическом уровне необходимо повышение осведомленности: разработка программ обучения для ключевых специалистов ФО и кураторов по направлению ИБ, отработка навыков и проверка знаний инженерно-технического персонала по проведению восстановительных работ, планирование и проведение киберучений. В результате получаем поддержание в высокой готовности навыков взаимодействия в кризисной ситуации.
На операционном уровне рекомендуем обеспечение ситуационного информирования куратора по направлению ИБ: оперативное оповещение об инцидентах и угрозах, подготовка ежемесячной сводной аналитики по трендам отраслевых инцидентов на основе реальных данных (по каналам ФинЦЕРТ/TI), информирование о значимых инцидентах у клиентов и партнеров из смежных отраслей. В результате получаем постепенное включение вопросов ИБ и ОН в повестку ответственного куратора наравне с операционной деятельностью.
Проблема недостаточного вовлечения топ-менеджмента в процессы решаема, но отказ от систематической работы с ней, обосновывая и разъясняя важность участия, не приведет к изменению ситуации. Лидерство в данном вопросе оптимально возложить на службу ИБ, но при этом подчеркивать, что итоговые решения по УР ИУ и по обеспечению ОН — задача менеджмента. Подводя итог всему сказанному, подчеркну, что комплаенс сегодня — это не только работа с документами, но и организация реально функционирующих процессов.
В 2023 году стали очевидны тенденции и перспективы развития финансового рынка, доступные «альтернативные пути», а главное — изменилось восприятие внешних процессов, клиенты успокоились, стали проще относиться к неизбежным ограничениям. Можно говорить о стабилизации рынка премиальных услуг
«СберСтрахование жизни» профинансировала приобретение современного оборудования для эргокомнат, которые помогают людям восстановиться после тяжелой болезни. Проект реализует фонд борьбы с инсультом ОРБИ