Главная сложность в области защиты информации в банках - суровый нормативный прессинг.
Исследование проводилось путем опроса сотрудников кредитных организаций - членов АРБ в период с 30 ноября 2012 года по 29 декабря 2012 года. Всего в нем приняли участие 134 банка, что составляет чуть меньше 15% от общего количества финансовых учреждений, действующих на территории России. Лучше всего представлены небольшие и средние банки, однако присутствуют и крупные (с численностью персонала свыше пяти тысяч человек). Участниками исследования стали компетентные сотрудники, занимающиеся вопросами ИБ, либо руководители, курирующие данное направление и хорошо осведомленные об истинном положении дел в банках.
Основные сложности
Состояние ИБ в организации зависит прежде всего от людей, которые ею занимаются. Лучшие практики в области ИБ свидетельствуют: важно, чтобы безопасность обеспечивали сотрудники выделенного подразделения. Как выяснилось, только в 63,8% российских банков есть подобные отделы. В других случаях вопросами безопасности ведают специалисты ИТ-службы, подразделений экономической безопасности или СБ.
Как оценить существующий расклад: 63,8% - это много или мало? С одной стороны, неплохой результат, если учесть, что согласно исследованию «Защита данных в российских компаниях», проведенному рекрутинговым порталом HeadHunter и компанией Zecurion в 2012 году, только 51% организаций имеют специализированное подразделение по защите информации. С другой стороны, количество банков без профильных ИБ-отделов все еще недопустимо высоко. Вопрос о выделении финансов на защиту информации сильнее подчеркивает недостатки российских финансовых учреждений при организации службы ИБ.
Лишь 31,3% банков планируют расходы на ИБ и выделяют безопасникам соответствующий бюджет. Между тем согласно рекомендациям стандарта Банка России по информационной безопасности СТО БР ИББС службы ИБ должны располагать собственным бюджетом.
Широко распространено смешение бюджетов ИТ и ИБ (23,1%). Если такая ситуация еще как-то оправданна для банков, где безопасностью занимается ИТ-подразделение, то для кредитных организаций с выделенными отделами ИБ подобный подход неприемлем. Службы ИТ и ИБ должны быть максимально разведены, должны функционировать самостоятельно, что невозможно сделать в условиях общего бюджета - интересы их в любом случае будут пересекаться.
Наконец, почти треть банков (31,3%) вообще не планирует расходы на ИБ. Неудивительно, что в таких условиях безопасникам чаще приходится выступать в роли пожарных и в меру возможностей решать наиболее острые, но все же локальные задачи.
Какие проблемы помимо организационных создают сложности при реализации мероприятий по защите информации? Посмотрим на ответы респондентов (рис. 1). Стоит отметить исключительно высокую долю жалоб на регуляторов. Чрезмерное количество нормативных требований называют в числе главных проблем 76,9% банков. Неудивительно, ведь банковские специалисты по безопасности должны учитывать требования пяти регуляторов: ФСБ, ФСТЭК, Роскомнадзора, ЦБ и Росфинмониторинга. Каждый орган ведет работу в рамках своих компетенций и своего видения проблем. Но для исполнителей на местах такое количество регуляторов и нормативных актов, плохо согласованных друг с другом, на самом деле представляет существенную сложность.
Другие варианты ответа, на первый взгляд, набрали примерно равное количество голосов. Однако при ближайшем рассмотрении оказывается, что исключительную роль играет кадровый вопрос. Действительно, наряду с недостатком квалифицированного ИБ-персонала (38,1% банков) многие респонденты также отметили слабую подготовку сотрудников бизнес-подразделений в вопросах ИБ (40% банков). Человеческий фактор по-прежнему является одной из главных проблем защиты информации. Также к этому пункту можно отнести отсутствие поддержки со стороны топ-менеджмента (25,4% банков). В условиях, когда руководители бизнеса не осознают до конца важность защиты информационных активов, сложно рассчитывать на удовлетворение потребностей ИБ и эффективность реализуемых мер.
Кадры решают все
Как было установлено ранее, нехватка квалифицированных кадров является одной из основных проблем при обеспечении ИБ, а с учетом низкой грамотности сотрудников бизнес-подразделений в вопросах ИБ и вовсе превалирующей. Кадровый аспект заслуживает самого пристального изучения, ведь вне зависимости от причин нехваткой персонала обеспокоено большинство банков.
Основная часть респондентов (29,1%) жалуется на недостаток или даже отсутствие свободных специалистов ИБ на рынке труда. Всего 62,7% банков сообщили о кадровых проблемах в области защиты информации, еще 11,2% решают их с помощью перевода сотрудников со смежных направлений, прежде всего из ИТ-подразделений. Такой подход, безусловно, имеет право на существование, тем более что нехватка ИТ-специалистов в целом ощущается не так остро. Но будет ли достаточно эффективен на новом месте специалист без должной подготовки и опыта? По мнению авторов отчета, необходимо стремиться к тому, чтобы каждый сотрудник решал профильные для себя задачи.
Сама по себе идея использования внутренних ресурсов для решения кадровых проблем является неплохой и при достаточном времени на переподготовку может дать очень хорошие результаты, если, конечно, руководство готово ждать и задача закрыть позицию не стоит остро. Может быть, сложности с поиском сотрудников обусловлены слишком строгими критериями их отбора? Какие требования являются наиболее важными при приеме на работу специалистов по безопасности?
Очевидно, нет лучшей рекомендации для специалиста, чем профильный опыт работы. Этот фактор отметили 80,6% респондентов. Впрочем, большая доля участников исследования (53,7%) говорит о важности профильного образования в области ИБ. Таким образом, работодатели отдают приоритет готовым специалистам с высоким уровнем подготовки, которые могут достаточно быстро влиться в работу. Примечательно, что вопрос денег при найме специалистов по ИБ играет далеко не главную роль. Только треть (33,6%) респондентов включила зарплатные требования в число ключевых критериев.
В банках высоко ценятся универсальные специалисты, способные, а главное, готовые в разумные сроки освоить новые направления. Это связано с двумя основными причинами. Во-первых, специалистов, на 100% удовлетворяющих критериям вакансии, найти чрезвычайно сложно, и не только в области ИБ, но и на рынке труда. Во-вторых, необходимо учитывать специфику банковской работы в целом и особенности бизнес-процессов конкретной кредитной организации. Вполне может оказаться, что новому специалисту придется поддерживать и, соответственно, обеспечивать безопасность информации, обрабатываемой и передаваемой нетиповыми (в том числе самописными) программными продуктами. А большое количество нормативных требований и отчетности (в том числе внутренней) и высокий уровень ответственности создают дополнительные трудности в работе.
Следующий немаловажный момент в вопросе кадровой обеспеченности связан с повышением квалификации сотрудников. В банковской среде ситуация с переподготовкой в целом позитивная. В частности, 73,8% кредитных организаций оплачивают своим сотрудникам курсы учебных центров, а 26,1% командируют специалистов на курсы вендоров, продукты которых используют. Примерно в трети банков вопросы повышения квалификации возлагают на усмотрение самих сотрудников. Однако высокие доли других вариантов ответа позволяют утверждать, что и в этом случае специалистам оказывается практическая помощь, в том числе в виде оплаты курсов или проведения сертификационных экзаменов. Только 6,7% респондентов уверены, что того опыта, который передают коллеги в процессе ежедневной работы, вполне достаточно для профессионального роста.
Активная позиция банков в отношении переподготовки своих сотрудников вполне аргументирована. Подавляющее большинство респондентов (88,8%) уверены, что программы повышения квалификации в целом способствуют защищенности информации. Многие (49,3%) указывают на то, что повышение квалификации обусловлено требованиями регуляторов. В данном контексте нельзя не вспомнить о Постановлении правительства от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности... » с его фантастическими нормативами по переподготовке кадров. Если принять во внимание эти нормативы, долю ответа о требованиях регулятора можно признать даже заниженной.
Практика ИБ
Следующая группа вопросов позволяет понять, на решение каких задач направлены усилия безопасников и что определяет их приоритеты, насколько могут быть успешны реализуемые мероприятия, оценивается ли степень защищенности информации внутри банков. Говоря о целях мероприятий по ИБ, мы снова касаемся темы давления со стороны регуляторов. В ответах на вопрос о целях своей работы респонденты были практически единодушны: 91,2% кредитных организаций ведут проекты по ИБ, чтобы отчитаться перед регуляторами (рис. 2). 78,4% озабочены также снижением информационных рисков. Жаль, что только в трети банков обеспечение ИБ рассматривают не только с точки зрения затрат, но и с точки зрения возможных выгод в виде повышения качества бизнеса и конкурентоспособности кредитных организаций.
Снижение информационных рисков является одной из приоритетных задач ИБ (второе место после необходимости выполнять требования регуляторов). Однако на практике с оценкой рисков (по крайней мере в области ИБ) в российских банках не все так хорошо. Только в каждом четвертом финансовом учреждении (26,1%) управление рисками поставлено на регулярную основу. Еще четверть организаций (26,9%) некоторое время не актуализировала данные, что можно расценивать двояко. С одной стороны, хорошо, что оценку проводили и теперь представляют, как это делать и зачем. Но, с другой стороны, нерегулярная оценка рисков (без выработки решений по их минимизации и проверки предпринятых шагов) лишает подход значительной доли смысла.
Существенная часть банков (35,1%) риски не оценивала и приоритеты расставляет на глаз. Трудно приветствовать такое решение, поскольку качество примерной оценки не очевидно. Еще 9,7% респондентов честно признаются, что до оценки рисков у них просто не доходят руки.
Если рисками не управлять, если их даже не оценивать, каким образом определять приоритеты мероприятий по ИБ? Оказывается, для российских банков важнее требования нормативных актов, нежели признанный лучшими практиками в области ИБ риск-ориентированный подход.
С практической точки зрения легко понять приоритеты безопасников. Им действительно важнее отчитаться перед регулятором, а не планомерно разрабатывать стратегии ИБ, скрупулезно оценивать риски. Потому что в противном случае с неприятностями столкнутся не только эти специалисты, но и кредитные учреждения, в которых они работают. С учетом высокого объема отчетных задач на планомерную организационную работу времени просто не остается.
Последний вопрос исследования раскрывает отношение кредитных организаций к стандарту Банка России по информационной безопасности (СТО БР ИББС). Несмотря на необязательный статус его требований, большинство российских банков уже добровольно присоединились к стандарту. Только 7,5% респондентов отметили, что ориентируются исключительно на требования и рекомендации других нормативных актов. При этом надо учитывать, что стандарт является скорее сборником лучших практик, нежели нормативным документом, и способствует в целом повышению качества бизнеса, но в надзорной деятельности он не может быть использован.
Вместе с тем нельзя сказать, что решившие присоединиться к стандарту банки уже сейчас удовлетворяют его требованиям. Полностью соответствуют всего 16,4%. Большинство кредитных организаций (56,7%) сообщают о частичном соответствии. Еще часть банков (18,7%) можно назвать осторожными, среди них наверняка есть те, которые формально решение о присоединении к стандарту еще не приняли. Специалисты этих финансовых учреждений учитывают рекомендации СТО БР ИББС, но до сих пор не проводили оценку соответствия своей деятельности положениям стандарта. В целом влияние СТО БР ИББС на банковскую отрасль можно считать положительным.
От «бумажной» безопасности к практической
Банковская сфера является одной из самых зарегулированных отраслей хозяйственной деятельности, и участники исследования прямо говорят о силе нормативного прессинга, который они испытывают при ведении проектов по ИБ. Но улучшится ли ситуация с безопасностью, если представить, что все обязательные требования будут отменены? Вряд ли. Согласно собранной статистике только один из трех банков, занимаясь защитой информации, думает о повышении конкурентоспособности. При таком подходе нет оснований полагать, что финансово-кредитные организации в случае отмены или смягчения регуляторной нагрузки быстро изменят приоритеты и станут больше внимания уделять защищенности информации.
Каким может быть выход в данном случае? Теоретически возможно облегчение выполнения обязательных требований при ужесточении ответственности за реальные инциденты ИБ. Это поможет не только сохранить заинтересованность банков в защите данных, но и сместить акценты, от «бумажной» безопасности перейти к практической. Правда, пока такой сценарий не кажется реалистичным. Во-первых, регулятору будет сложно кардинально изменить подход. Во-вторых, сохраняется шанс, что при отмене обязательных требований в банках могут понадеяться на авось и все равно свернуть проекты по ИБ.
В целом перспективы развития ИБ в банках авторы исследования видят в изменении приоритетов и целей проектов по защите информации. До тех пор пока специалисты своей главной целью ставят выполнение требований регуляторов и основные усилия сосредотачивают на «бумажной» безопасности, реальная ИБ будет страдать. В отличие от средств защиты «живые» угрозы, с которыми приходится сталкиваться банкам, не являются стандартизированными и зарегулированными, поэтому в противодействии им следует использовать гибкий подход.
Начать дискуссию