Требования к кибербезопасности ужесточены
Стало известно о разработке Банком России новых требований к информационной безопасности, соблюдение которых для банков выльется в минимизацию рисков киберугроз. В данном случае имеется ввиду, что банки, реализуя эти функции, будут привлекать для этого сторонние компании. Но далеко не для всех банков возможно выполнение требований регулятора по снижению рисков, в то же время, по мнению экспертов, стандарт не может полностью исключить того, что на аутсорсинг будут привлечены недобросовестные игроки.
На днях вниманию общественности был представлен проект документа, подготовленного Банком России, посвященный вопросам управления риском нарушения информбезопасности на аутсорсинге. Документ содержит указание ЦБ на риски для информбезопасности банка при привлечении аутсорсеров и ряд требований, призванных их минимизировать. По мнению регулятора, риски от привлечения сторонних организаций заключаются в угрозе выбора поставщика, не имеющего нужных знаний или ресурсов и слабом контроле за его действиями со стороны самого банка. Некачественная работа таких компаний может привести к появлению уязвимостей в системе банковской информационной защиты и даже хищению его средств. С начала 2018 года ожидается вступление стандарта в силу.
Чтобы снизились риски в этой сфере ЦБ потребовал от банков разработки политики взаимодействия с аутсорсерами, то есть четкое определение перечня услуг, которые будет оказывать сторонняя компания и функций, осуществляемых самим банком. Не менее важны утверждение документа советом директоров и четкое разделение, и обозначение сфер ответственности банка и аутсорсерской компании. Также ЦБ настаивает, чтобы банки, передавая существенные функции, периодически мониторили возможности реализации рисков, связанных с нарушением информбезопасности (основываясь на собственной оценке или оценке, которую поставила привлеченная консалтинговая компания), а также то, насколько тяжелыми могут оказаться последствия при реализации риска нарушения информбезопасности (напрямую зависящей от сумм операций денежных переводов, остатков на корсчетах и т. д.). Банки, которые ЦБ признает системно значимыми (на данный момент их 11), должны, по мнению регулятора, заранее уведомлять FinCert о том. что они планируют передать определенные функции на аутсорсинг.
По мнению участников рынка, высокое внимание ЦБ к этому вопросу - явление закономерное, но существуют вполне определенные риски выполнения регуляторных требований. По словам эксперта RTM Group Евгения Царева, в стандарте подразумевается. что банк разработает большой массив новых документов, которых в большинстве банков, пользующихся услугами аутсорсеров, прежде не было. По словам заместителя генерального директора по сервису «Информзащиты»
Максима Темнова, сегодня на рынке работают небольшие банки, где за информбезопасность отвечают 1-2 человека, и им попросту не по силам проделать требуемый ЦБ огромный объем работы. По словам заместителя руководителя лаборатории компьютерной криминалистики компании Group-IB Сергея Никитина, часто происходит так, что атака на банк исходит от некоего интегратора, имеющего прямой доступ к разработкам банка, а иногда ему открыты и “боевые сервера.
Сами банки проявили к документу довольно сдержанную реакцию. По словам руководителя службы информбезопасности одного из банков, входящих в топ-30, с точки зрения логики стандартом должна быть исключена вероятность того, что на аутсорсинг будут привлечены фирмы наподобие “Рога и копыта”, предлагающих низкие цены и такое же качество услуг. Но этот риск стандарт допускает. Да и вообще, задаются вопросом банкиры - есть ли такая уж потребность в аутсорсинге в сфере информбезопасности при нынешних требованиях регулятора? По мнению главы управления информбезопасности ОТП-банка Сергея Чернокозинского, в дальнейшем стоимость аутсорсинговых услуг можно будет сравнить с расходами на содержание банками собственных служб информбезопасности.
