Сегодня ИТ-безопасность в российских банках регулируется стандартом, введенным в действие Банком России в конце января 2006 года.

Сегодня ИТ-безопасность в российских банках регулируется стандартом, введенным в действие Банком России в конце января 2006 года. Отметим, что это уже вторая итерация стандарта ЦБ по ИТ-безопасности, тогда как первая версия была введена в действие еще в 2004-м. За это время Центробанк испытал положения стандарта на своих территориальных отделениях. Поставщики решений ИТ-безопасности и коммерческие банки также проявили инициативу. Например, фирма «Кристалл» участвовала во внедрении стандарта в Метробанке, а затем была проведена оценка соответствия ИБ банка данному стандарту. Аналогичная работа проделана фирмой «Линс-М» во Внешэкономбанке, а во Внешторгбанке и СДМ-Банке сейчас ведется активное внедрение стандарта с использованием решений компании InfoWatch. Очевидно, что бизнес уже не понаслышке знаком с нормативными требованиями Банка России к ИТ-безопасности.

Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0—2006) имеет добровольный характер и активно продвигается сообществом ABISS (Association for Banking Information Security Standards, www.abiss.ru), в состав которого входят компании, принимавшие участие в разработке стандарта («Андэк», ГНИИИ ПТЗИ ФСТЭК России, KPMG, «Линс-М», НПФ «Кристалл», Ernst&Young и др.). Текст опубликован в бюллетене «Вестник Банка России» (№ 6 (876) от 03.02.2006, см. также http://www.cbr.ru/vestnik/ves060203006.zip).

Основные положения стандарта

Стандарт Банка России по ИТ-безопасности состоит из двенадцати глав, наиболее важной из которых является пятая — «Исходная концептуальная схема (парадигма) обеспечения информационной безопасности». Во главу угла поставлена модель противоборства собственника и злоумышленника, причем авторы стандарта сразу же указывают (п. 5.4): «Наибольшими возможностями для нанесения ущерба [организации]… обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника (ов) внутри организации». Таким образом, с концептуальной точки зрения стандарт адекватно отражает реальные проблемы, с которыми банки имеют дело ежедневно.

Отдельное внимание стандарт Центробанка уделяет политике ИТ-безопасности. Положениям этого документа посвящена восьмая глава. В ней авторы стандарта в деталях разъясняют проблему безопасности всех сторон деятельности банка. Текст восьмой главы идеально подходит для создания наиболее общей (корневой) политики ИТ-безопасности в банке. Более того, отдельные разделы этой главы вполне соотносятся с политиками второго уровня: «Политика антивирусной защиты», «Политика использования ресурсов сети Интернет», «Политика управления доступом и регистрацией», «Политика назначения и распределения ролей и обеспечения доверия к персоналу» и т. д. Отметим, что при создании политик первого и второго уровня можно не учитывать специфику деятельности банковской организации. Другими словами, эти политики могут быть более или менее одинаковыми для всех финансовых компаний. Между тем, при составлении документов третьего уровня — должностных инструкций — придется отойти от универсализма и максимально конкретизировать все положения. Однако это сделать несложно, так как восьмая глава полностью задает вектор развертывания всех политик сверху вниз.

Среди отдельных требований стандарта Центробанка к системе ИТ-безопасности можно выделить обязательное архивирование почтовой корреспонденции. Так, пункт 8.2.6.4 гласит: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». Соответственно, стандарт привносит в российский банковский сектор столь распространенную в мире практику ведения корпоративных архивов.

В целом стандарт Банка России по ИТ-безопасности довольно часто ссылается на другие стандарты, а порой и заимствует их некоторые положения. Например, банковский стандарт объединяет в себе основные требования стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности в рамках ГОСТ Р ИСО/МЭК 15408-1-2-3, сохраняет подход к управлению рисками OCTAVE и заимствует некоторые положения британской методологии оценки рисков CRAMM.

Более того, представляется вполне уместным сравнение стандарта ЦБ по ИТ-безопасности с секцией 404 американского закона Сарбейнса-Оксли о средствах внутреннего контроля. Несмотря на то, что банковский стандарт не предназначен для борьбы с корпоративной коррупцией (в отличие от закона Сарбейнса-Оксли), пункт 5.10 гласит: «…все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться». Сходным образом формулируется требование по внутреннему контролю в законе Сарбейнса-Оксли. Единственное отличие состоит в том, что Комитет по надзору за отчетностью открытых акционерных компаний (PCAOB), созданный в США для контроля над исполнением закона Сарбейнса-Оксли, конкретизирует требования секции 404 в своих стандартах по аудиту механизмов внутреннего контроля. Что же касается пункта 5.10 в стандарте ЦБ, то он реализует концепцию внутреннего контроля только в рамках парадигмы (пятая глава) и, в целом, в этом нормативном акте остается не раскрытым.

«Сейчас готовится к выпуску комплект документов, состоящий из Стандарта СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации.

Аудит информационной безопасности» и «Методики оценки соответствия информационной безопасности банк организаций банковской системы РФ требованиям Стандарта СТО БР ИББС—1.0—2006». Проекты этих документов находятся на согласовании, в котором участвуют организации входящие в состав ТК362/ПК3 (http://www.techcom3623.ru), после чего, в соответствии с регламентом взаимодействия ABISS с Банком России, ожидается передача Стандарта и Методики Сообществу ABISS для апробации на практике. К этому времени мы ожидаем большое число желающих пройти процедуру оценки соответствия, поэтому рекомендуем банкам заранее познакомиться с нормативными требованиями Центробанка и начать их внедрение», — комментирует Павел Гениевский, секретарь Сообщества ABISS.

Стандарт Банка России охватывает все возможные аспекты ИТ-безопасности в организации, которые никогда не фигурировали ранее в одном нормативном документе.

Действительно, авторы объединили такие различные области, как базовые направления обеспечения ИТ-безопасности, примеры передового опыта (best practices), моделирование угроз и элементы аудита. В данной многомерности проявляется специфика российского банковского стандарта, так как в мировой практике перечисленные аспекты ИТ-безопасности принято разделять по отдельным нормативным документам. Более того, такая широта охвата может обернуться для заказчика дополнительными расходами.

Например, если какой-либо банк решит пройти сертификацию по признанным во всем мире стандартам ISO 27001/17799 и по стандарту Банка России по ИТ-безопасности, то это приведет к неуместным издержкам, хотя российский стандарт заимствует многие положения международных нормативов.

Тем не менее, в профессиональной среде стандарт ЦБ по ИТ-безопасности считается не просто шагом вперед, а настоящим прыжком. Несмотря на названные выше издержки, нормативный акт Банка России составлен достаточно грамотно и служит прямым руководством к действию. До появления данного стандарта обеспечение ИТ-безопасности в отечественных кредитно-финансовых организациях происходило в основном стихийно, так что регулирующий орган абсолютно верно задал основополагающий вектор, приблизив международные требования к российским банкам.

Стандарт ЦБ и соглашение Basel II

В 2009 году Россия собирается присоединиться к соглашению Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы»). Опыт европейских и американских банков, столкнувшихся с Basel II уже сегодня, показывает, что внедрение данного нормативного акта требует от финансовых организаций очень серьезных капиталовложений. Это обусловлено в основном тем, что Basel II требует от банков реализовать значительно более разностороннюю систему управления рисками, чем та, что используется сейчас.

Согласно соглашению Basel II, финансовые организации обязаны рассчитать кредитные, рыночные и операционные риски с целью обеспечения величины резервного капитала, достаточной для их покрытия. Таким образом, регулируется величина резервных отчислений, которая будет тем меньше, чем более точную методику (с согласия регулирующего органа) использует банк для оценки рисков. Однако в отличие от соглашения Basel I, которое было принято еще в 1988 году, вторая итерация данного нормативного акта требует от финансовых организаций учитывать помимо рыночных и кредитных рисков еще и операционные.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Таким образом, в операционные риски попадают, прежде всего, действия инсайдеров (кража конфиденциальной информации, мошенничество, халатность и безалаберность) и компьютерные угрозы (несанкционированный доступ, вредоносные коды и т. д.). Таким образом, угрозы ИТ-безопасности являются неотъемлемой частью операционных рисков. Проблему управления именно этими рисками рассматривает стандарт ЦБ по ИТ-безопасности.

Лучше разобраться в структуре операционных рисков позволяют результаты исследования «Соглашение Basel II в России 2006: операционные риски — основная проблема банков», в ходе которого компания InfoWatch и «Национальный банковский журнал» опросили более 30 российских банков. Чтобы определить наиболее опасные компоненты операционного риска, респондентам был предложен многовариантный вопрос, позволяющий выбрать две наиболее опасные угрозы (см. рис. 1). При этом варианты ответов были составлены точно в соответствии со структурой операционного риска в пункте 644 соглашения Basel II.

Рис. 1. Наиболее опасные операционные риски. Источник: InfoWatch

Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35 %) и персоналом (который представляет основную угрозу — так считает 91 % респондентов).

«Соглашение Basel II уже действительно близко, что заставляет некоторые банки нервничать. Именно поэтому операционные риски надо взять на прицел уже сейчас. Наш банк инициировал процедуру внедрения стандарта ЦБ по ИТ-безопасности как раз в преддверии Basel II, так как чем дольше организация откладывает проект создания системы управления операционными рисками, тем дороже это ей потом обойдется», — комментирует Дмитрий Мананников, директор по ИТ-безопасности СДМ-Банка.

Безусловно, угрозы ИТ-безопасности (прежде всего, действия инсайдеров) представляют собой самый весомый компонент операционных рисков. В этой связи стандарт ЦБ, позволяющий минимизировать риски ИТ-безопасности, призван помочь кредитно-финансовым организациям организовать эффективную систему управления операционными рисками. Следовательно, реализация положений стандарта Банка России позволяет упростить процесс совместимости с соглашением Basel II и существенно снизить расходы на этот дорогостоящий проект.

Стандарт ЦБ и конкурентоспособность российских банков

Как показало исследование «Стандарт Центробанка по ИТ-безопасности 2006: регулятор воспитывает банки», в ходе которого компания InfoWatch и эксперты проекта «Банкир. Ру» опросили более 50 российских банков, отечественные кредитно-финансовые компании встретили нормативную инициативу надзорного органа с большим энтузиазмом. Подавляющее большинство респондентов (78 %) не только поддержали стандарт Банка России, но и высказались за его дальнейшее развитие (см. рис. 2).

Рис. 2. Нужен ли российским кредитно-финансовым организациям стандарт Банка России по ИТ-безопасности? Источник: InfoWatch, Bankir.ru

По мнению аналитического центра компании InfoWatch, в стране уже давно назрела необходимость принятия соответствующего стандарта. В связи с тем, что Россия планирует присоединиться к Basel II в 2009 году, российским банкам было просто необходимо указать, в каком направлении двигаться, чтобы обеспечить эффективное управление операционными рисками и подготовиться к более глубокой интеграции в мировую банковскую систему. Искомой дорожной картой как раз и служит стандарт Центробанка по ИТ-безопасности.

Следует отметить, что национальный банковский сектор не только с энтузиазмом воспринял стандарт ЦБ по ИТ-безопасности, но и напрямую связал реализацию его положений с повышением конкурентоспособности организации. Большая часть опрошенных (53 %) банков указала, что совместимые со стандартом кредитные организации имеют преимущество перед теми, кто не реализовал положения стандарта на практике (см. рис. 3). Здесь проявился некоторый дисбаланс: ведь в поддержку нормативного акта высказались 78 % банков, что можно считать подавляющим большинством, а за повышение конкурентоспособности в связи с реализацией положений стандарта проголосовали лишь 53 %, то есть чуть больше половины. Как указывают эксперты InfoWatch, c одной стороны финансовое сообщество опасается, что стоимость ресурсов, потраченных на реализацию положений стандарта, перевесит все выгоды, полученные в результате такого проекта. С другой стороны, банки понимают, что стандарт ЦБ позволяет построить эффективную систему управления операционными рисками и, следовательно, повысить конкурентоспособность организации. Таким образом, все упирается в «цену вопроса». Причем наибольшую озабоченность в этой связи должны испытывать небольшие банки, опасающиеся, что инвестиции в новые информационные продукты и модернизацию технологических процессов окажутся неподъемными.

Рис. 3. Будет ли способствовать повышению конкуренто-способности вашей организации внедрение стандарта ЦБ по ИТ-безопасности? Источник: InfoWatch

Вполне логично предположить, что существенную часть тех 47 % респондентов, которые считают, что совместимость со стандартом ЦБ по ИТ-безопасности не обязательно приведет к повышению конкурентоспособности, составляют малые банки. Дополнительный анализ ответов действительно позволил выявить корреляцию между размером организации и опасениями, что реализация положений стандарта окажется слишком дорогой. Абсолютно все респонденты (47 %) оказались представителями малого бизнеса. Можно сделать вывод, что наибольшие сомнения в целесообразности внедрения рекомендаций Банка России по ИТ-безопасности на практике сегодня испытывают небольшие банки, хотя в целом по отрасли большинство все же видит в стандарте способ повысить свою конкурентоспособность.

Стимулы к внедрению

Существует, как минимум, шесть основных стимулов к внедрению стандарта ЦБ по ИТ-безопасности. Во-первых, создание эффективной и управляемой системы ИТ-безопасности. Во-вторых, формирование эффективной системы управления операционными рисками. В-третьих, упрощение процесса совместимости с соглашением Basel II. В-четвертых, улучшение и защита имиджа банка. В-пятых, повышение цены банка при слияниях и поглощениях, а также в рамках IPO. В-шестых, повышение привлекательности банка в глазах иностранных инвесторов и партнеров. Более подробно каждый из этих стимулов разъяснен в таблице.

Каждый банк руководствуется собственными мотивами, принимая решение о реализации положений стандарта. Тем не менее, исследование «Стандарт Центробанка по ИТ-безопасности 2006: регулятор воспитывает банки» показало, что финансовый сектор проявляет солидарность по ряду значимых позиций (см. рис. 4).

Рис. 4. Наиболее важные стимулы к внедрению стандарта ЦБ по ИТ-безопасности Источник: Infowatch, Bankir.ru

По мнению аналитического центра InfoWatch, респонденты отнюдь не случайно выбрали именно эффективную систему ИТ-безопасности (63 %) и управления операционными рисками (55 %), а также улучшение и защиту репутации (55 %). Дело в том, что угрозы ИТ-безопасности являются частью операционных рисков, а реализация этих угроз и рисков очень часто приводит к снижению репутации организации. Другими словами, все три наиболее популярных стимула связаны между собой. Так, если инсайдеры воспользуются своими служебными полномочиями и попытаются украсть конфиденциальные документы или совершить мошенничество, то налицо реализация угрозы ИТ-безопасности. Кроме того, такая угроза является операционным риском. Чтобы убедиться в этом, следует обратиться к пункту 7.13 стандарта ЦБ по ИТ-безопасности: «Операционные риски порождаются следующими эксплуатационными факторами: технические неполадки, ошибочные (случайные) и/или преднамеренные злоумышленные действия персонала организации, ее клиентов при их непосредственном доступе к АБС (Автоматизированной Банковской Системе) организаций и другими факторами». Между тем, в случае успешной реализации указанной выше угрозы может существенно пострадать репутация финансовой компании, например, если украденные документы попадут в прессу.

Другими словами, своим ответом российские банки продемонстрировали четкое понимание того, что все три выбранных стимула связаны между собой, при этом респонденты подчеркнули важность защиты от инсайдерских угроз и значимость управления операционными рисками.

Возможность ужесточения нормативного регулирования

На сегодняшний день стандарт Банка России по ИТ-безопасности носит рекомендательный характер. Другими словами, его положения применяются на добровольной основе, и никто не обязывает российские банки обеспечивать совместимость с данным нормативным актом. Тем не менее, в сфере нормативного регулирования, как в России, так и во всем мире наблюдается тенденция к ужесточению законодательного бремени. Другими словами, стандарт Центробанка по ИТ-безопасности может из разряда «рекомендательный» очень легко превратиться в «обязательный для исполнения».

В данном контексте очень полезно выяснить мнение представителей российского банковского сектора, так как именно им приходится иметь дело со стандартом ЦБ на практике. Оказывается, подавляющее большинство (72 %) кредитно-финансовых организаций полагают, что характер стандарта трансформируется из разряда «рекомендательного» в «обязательный» уже в ближайшие четыре года (см. рис. 5). Причем почти треть (31 %) респондентов уверены, что это произойдет в течение 2006-2007 годов, а практически каждый второй (41 %) считает, что этот процесс может растянуться на 2006-2009 годы.

По мнению аналитического центра InfoWatch, мнение подавляющего большинства (72 %) относительно четырехлетнего цикла по ужесточению регулирования основывается на приближении даты вступления России в соглашение Basel II. Другими словами, именно ключевой 2009 год рассматривается банками как финишная черта, к которой необходимо успеть обеспечить эффективное управление операционными рисками. Вполне логично стремление Банка России трансформировать свой стандарт в обязательный для исполнения как раз к 2009 году, чтобы урегулировать проблему ИТ-безопасности в преддверии соглашения Basel II.

Между тем угрозу ужесточения нормативного регулирования можно рассматривать в качестве дополнительного стимула к реализации стандарта ЦБ по ИТ-безопасности. Ведь если надзорный орган сделает положения стандарта обязательными для исполнения, то те банки, которые уже обеспечили совместимость с этим нормативным актом, получат преимущество по сравнению с теми, кто этого не сделал. Дело в том, что последней группе банков совместимость со стандартом обойдется намного дороже, в то время как их более удачливые конкуренты смогут существенно улучшить свою репутацию.

Планы по внедрению стандарта

Согласно результатам исследования «Стандарт ЦБ по ИТ-безопасности 2006: регулятор воспитывает банки» (см. рис. 6), шесть из десяти банков планируют реализовать положения стандарта уже через четыре года.

По мнению экспертов InfoWatch, в течение ближайших четырех лет действительно существенно возрастет спрос на продукты и услуги по внедрению стандарта ЦБ.

Российские кредитно-финансовые организации постараются быть во всеоружии к моменту вступления в силу соглашения Basel II и заранее минимизировать свои расходы на нормативное регулирование. Тем банкам, которые будут не в состоянии удовлетворить требованиям надзирающего органа, придется уйти со сцены, так как они либо потеряют конкурентоспособность по сравнению с организациями прогрессивными в области операционных рисков, либо будут наказаны регулирующим органом за несоблюдение обязательных правил.

Перспективы

Стандарту Банка России удалось консолидировать как банковский сектор, так и индустрию решений по ИТ-безопасности. Тот энтузиазм, с которым финансовые компании восприняли появление стандарта, указывает, что Центробанк достиг своей цели — теперь обеспечение ИТ-безопасности в российских банках действительно будет происходить в рамках заданного направления, что намного эффективнее того стихийного развития, которое длилось многие годы. Огромную важность стандарта для всего кредитно-финансового сектора осознают и поставщики решений, для которых положения нового нормативного акта служат хорошим аргументом во время переговоров с заказчиками. Кроме того, стандарт ЦБ стимулирует развитие сферы услуг ИТ-безопасности (моделирование угроз, анализ рисков, составление политики ИТ-безопасности, аудит и т. д.), так как его требования не зациклены на одних лишь продуктах.

Следует также отметить, что банковский сектор воспринимает стандарт ЦБ чуть ли не как обязательный для исполнения. Об этом свидетельствуют ожидания банков трансформации характера стандарта уже в ближайшие годы. Таким образом, у Банка России есть все шансы развить успех и создать цивилизованное регулирование ИТ-безопасности в финансовом секторе, как это принято во всех развитых странах.

Алексей Доля — независимый эксперт по ИТ-безопасности, adolya@gmail.com