Однако трендом последних нескольких лет, особенно начиная с весны 2022 года, стало сближение финансового ИБ-сообщества в лице банков, НКО, аудиторов, вендоров, с одной стороны, и Банка России — с другой. И все они, кроме того, ищут способы гармонизации регулирования с другими отраслями экономики, например сферой телекоммуникаций, ретейлом, энергетикой и т.д.

Важные причины этой трансформации — вал кибератак практически на все учреждения, поднадзорные ЦБ, подписание Указа Президента от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ», появление законодательства о критической информационной инфраструктуре (КИИ), а также поэтапное развитие и внедрение серии ГОСТ Р 57580.хх — национальных стандартов безопасности банковских и финансовых операций. Первый стандарт в серии был введен в действие 1 января 2018 года и стал обязательным для всех кредитных и некредитных финансовых организаций. В этот же список нормативных документов необходимо внести Положение Банка России № 716-П.

Эксперты рынка отмечают, что методологическая сложность документов, а также необходимость смены фокуса мышления топ-менеджмента с обеспечения «бумажной безопасности» в сторону реальной защищенности IT-инфраструктуры требуют независимых рыночных структур, которые объединяли бы вокруг профессионального экспертного ядра широкий круг профильных специалистов. Это необходимо для квалифицированной помощи регуляторам в выработки актуальных в текущей ситуации предложений.

Сейчас нет времени на создание стратегий step-by-step-разработки, внедрения, оценки и коррекции нормативных документов, гораздо эффективнее усилиями сообщества изначально выстраивать такую логику документов, которая бы не вызывала отторжения у рынка. Это касается проблематики защиты КИИ, управления операционной надежностью и рисками информационных угроз, а также принципов безопасной разработки ПО.

Практически все участники рынка сходятся во мнении, что стандарты, устанавливая требования к программным продуктам в условиях импортозамещения, ставят перед разработчиками четкие ориентиры как по функциональности, так и по рыночным перспективам. Опыт сектора криптографии — яркое тому подтверждение.

«Переход к парадигме риск-ориентированного регулирования ИБ в финансовом секторе страны, когда и рисковики, и специалисты в области IT и ИБ начинают работать сообща, еще год назад, на первой конференции АБИСС, вызвал жаркие дискуссии. Прошел год, и на второй нашей конференции уже никто не спорит, все пытаются изучить лучшие практики первопроходцев: как эффективно выстроить процессы с учетом их кросс-функциональной специфики», — поделилась своими наблюдениями Анастасия Харыбина, председатель АБИСС (Ассоциации пользователей стандартов по информационной безопасности).

Резкое увеличение круга экспертов, собравшихся вокруг Ассоциации, по мнению ее основателей, объясняется еще и тем, что возникают новые вызовы, откладывать решение о регулировании которых абсолютно невозможно. Речь идет об аутсорсинге, облачных вычислениях, ИИ, квантовой и постквантовой криптографии. Не хватает лишь одного — людей.