ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map               

Алексей Курских, ARinteg: Банки как драйвер информационной безопасности

Информационная безопасность давно перестала быть узкоспециализированной темой для ограниченного круга специалистов, считает Алексей Курских, руководитель направления Pre-sale по ИБ, компания ARinteg. В той или иной мере она затронула очень большое количество людей, начиная от громких скандалов со взломом серверов крупных компаний, заканчивая кражами личных аккаунтов в соцсетях.

Однако, защита информации граждан и организаций развивается непропорционально в разрезе отраслей экономики. Рассмотрим банковскую сферу, как самую насыщенную финансовыми ресурсами и персональными данными.

За последние семь лет ИБ в российской банковской сфере претерпела существенные изменения, как юридического, так и технического характера. Вышедшее в 2012 году знаковое для отрасли «Положение № 382-П» призвало финансовые организации не просто формально «иметь информационную безопасность», а уже начинать это делать более осознанно, т.е. провести, как минимум, оценку самих себя с точки зрения рисков и защиты информационных активов и отразить на бумаге фактическую ситуацию. Само собой, делать такую самооценку призывалось объективно.

Вот как раз то, что нужно излагать структурированно и на бумаге — это очень важно. Если раньше состояние дел в ИБ характеризовалось сакраментальным «Да, есть у нас ИБ, но что там конкретно от чего защищает...», то в 2012 году ЦБ РФ обязал не просто описать свою IT-инфраструктуру, а подробно оценить состояние уровней защиты. И это начало работать. Банки начали проверять самих себя, самооценку утверждать у руководства и предоставлять регулятору.

На тот момент работа для нас, как для системного интегратора, была довольно простой. Можно было оказывать консультационные услуги, и то, если заказчик того захочет. Итоговую ответственность несли сотрудники банка.

На сегодняшний день мы прошли путь от 382-П до ГОСТ 57580 во второй редакции, от простой самооценки до строгого аудита. По новым правилам проводить оценку состояния ИБ теперь можно исключительно внешним подрядчиком, имеющим необходимые лицензии. Нам пришлось усилить позиции в этой области, чтобы наиболее компетентно предоставлять подобные услуги. Мы увеличили штат и пересмотрели квалификацию коллег. Причем предыдущий опыт оказания услуг по аудиту ИБ других организаций, не относящихся к кредитно-финансовой сфере, оказался не совсем подходящим. Степень зрелости ИБ в различных отраслях разная. Мы, безусловно, сможем построить комплексную защиту предприятия, но при создании ее в банках приходится опираться на инструкции ЦБ, а значит строить по аналогии с коммерческими компаниями не всегда получается.

Определенно, от действий регулятора и введения подобных регламентирующих документов в реальной жизни есть польза. Защита информационных активов банков становится наиболее структурированной, осознанной, и вследствие этого общий индекс реальной защищённости растет. Есть, конечно, минусы – это всё стоит денег. Хотя при успешных атаках потери гораздо больше, высшее руководство не очень любит сослагательные наклонения при обсуждении необходимости тратить деньги.

Есть еще и неочевидная польза от действий регулятора. Банковская сфера впереди планеты всей по расширению кругозора в области защиты ИБ. Как это не парадоксально, часть наших заказчиков узнала о существовании некоторых продуктов и методов защиты информации только из нормативных актов ЦБ, когда их приказали внедрить. Ну что же, обучение через силу иногда довольно эффективно работает. Запрет самооценки уже благоприятно сказался на уровне безопасности и качестве наведения порядка в кредитных организациях.

А вот интересно, будет ли ИБ так же развиваться в сферах, напрямую не затронутых госрегулированием?

Вопрос сложный. Особых стимулов вкладывать деньги без указаний сверху нет. А как мы выяснили выше, некоторые методы защиты информации, хоть и являются максимально эффективными, но могут стоить неприлично много. Ну и как у нас принято - пока гром не грянет, никто сеть настраивать не будет. С другой стороны, устойчивым трендом стало мощное самообразование сотрудников и последующая миграция оных не только в банки, но и во вполне обычные компании. Уже сейчас от специалистов, которые перешли из одной сферы в другую, мы получаем запросы на продукты и услуги по аналогии с их прошлым местом работы - банком. А, в-третьих, системные интеграторы, поднаторевшие в обеспечении ИБ в организациях, подлежащих госрегулированию, могут уже качественнее оказывать подобные услуги компаниям, не подотчетным ЦБ РФ. Получается довольно интересный образовательный процесс и передача опыта из одной отрасли в другие, несмотря на то, что в банках ИБ изначально внедрялась под некоторым принуждением.

В современных российских реалиях есть еще одна сторона ИБ, которая начинает сильно влиять на рынок. Это импортозамещение. 2020 год будет очень показательным в этом плане. У нас уже сейчас есть заказчики, попадающие одновременно под действие 187-ФЗ «О безопасности критической информационной инфраструктуры» и регуляторных актов ЦБ РФ. Их требования похожи, но это другая интересная тема для обсуждения.

Перейти к списку статей
qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram