Банки

Стратегия информационной безопасности – путь к повышению эффективности вложений

Д. БИРЮКОВ: «От наличия стратегии ИБ напрямую зависит эффективность инвестиций кредитных организаций в обеспечение защиты своих информационных активов. В случае ее отсутствия даже самые масштабные вложения могут оказаться неоправданными».
1,4 тыс. 43

Д. БИРЮКОВ: «От наличия стратегии ИБ напрямую зависит эффективность инвестиций кредитных организаций в обеспечение защиты своих информационных активов. В случае ее отсутствия даже самые масштабные вложения могут оказаться неоправданными».

В настоящее время наблюдается заметное обострение ряда проблем в банковском секторе, вызванное слабым инвестиционным климатом, ростом просроченной задолженности, рисками невозврата кредитов и т.п. Указанные обстоятельства побуждают топ-менеджеров актуализировать стратегии развития основных и вспомогательных направлений своего бизнеса. При этом актуальные вопросы обеспечения и повышения уровня информационной безопасности банка в них не рассматриваются. Высшее руководство кредитных организаций зачастую не осознает важности обеспечения ИБ для успешного развития своего бизнеса и, как следствие, не выделяет соответствующих ресурсов. О рисках такого пути и о том, как сохранить уже вложенные средства в ИБ и повысить ее эффективность, рассказал в интервью NBJ руководитель практики аудита и консалтинга ИБ компании «Астерос Информационная безопасность» Дмитрий БИРЮКОВ.

NBJ: Вы работаете на рынке информационной безопасности более 15 лет. Как за это время изменились требования банков к ИБ и в целом их подходы к решению подобных задач? Поделитесь, пожалуйста, Вашими наблюдениями.

Д. БИРЮКОВ: Наиболее значимым, на мой взгляд, стал выход комплекса стандартов СТО БР ИББС. Первая версия основополагающего документа СТО БР ИББС-1.0 появилась в 2004 году, она собрала воедино все требования Банка России и ряда зарубежных стандартов по обеспечению информационной безопасности. Безусловно, они носят рекомендательный характер, тем не менее подавляющее большинство кредитно-финансовых организаций в нашей стране взяли СТО БР ИББС-1.0 на вооружение и руководствуются его положениями.

За эти годы также серьезно изменились требования государственных регуляторов (ФСТЭК России и ФСБ России) в сфере защиты информации.

Еще более актуальной задачей для руководства кредитно-финансовых организаций является поиск эффективных механизмов реализации основных положений стандарта «Базель III», ужесточающего требования к капиталу банков и управлению рисками. В этом контексте важно донести до сведения руководства, что разработка и реализация соответствующей стратегии ИБ окажут весьма существенное влияние на результаты оценки и управления операционными, правовыми и репутационными рисками. Таким образом будет получен ответ на наиболее острые для службы ИБ вопросы: куда уходят деньги, каковы сроки окупаемости тех или иных решений в сфере ИБ и насколько эффективными и необходимыми для кредитных организаций являются эти решения?

NBJ: Есть устойчивое убеждение, что крупные игроки сектора разрабатывают стратегии ИБ, рассчитанные на три-пять лет, а небольшие и средние банки живут по принципу «от года к году». Насколько справедливо, с Вашей точки зрения, это умозаключение?

Д. БИРЮКОВ: Различия в подходах к обеспечению ИБ между крупными и небольшими игроками, конечно, есть. Это обусловлено многими факторами: у них разные ресурсные возможности, масштаб территориально распределенной филиальной сети, уровень зрелости бизнеса. В небольших банках до сих пор наблюдается такое явление, как сочетание различных компетенций – например, на службу автоматизации может быть возложена и задача обеспечения ИБ или служба ИБ формируется по остаточному принципу и, как правило, состоит из одного-двух сотрудников.

Однако следует понимать, что требования, которые выдвигаются государственными регуляторами, одинаковы для всех игроков банковского рынка. Поэтому поддержка руководства, грамотное стратегическое планирование, оптимальное распределение финансовых и человеческих ресурсов являются ключевыми факторами успеха в решении задач по обеспечению информационной безопасности независимо от масштаба деятельности компании.

NBJ: То есть, по Вашему мнению, на текущем уровне развития деятельность любого банка в области информационной безопасности должна основываться на стратегии. А если ее нет?

Д. БИРЮКОВ: Скажу просто: если деятельность ИБ не осознана в полной мере руководством* и не подчинена строгому плану, то обосновать затраты и, более того, обосновать само существование такой функции, как информационная безопасность, фактически нереально. Это тупиковый путь, который рано или поздно приведет к серьезным инцидентам и закончится подсчитыванием убытков.

Еще раз подчеркну: стратегия ИБ нужна для эффективного планирования и планомерного внедрения организационных и технических мер обеспечения ИБ, для обоснования выделения бюджета на ИБ (на основе утвержденной программы развития ИБ), для обеспечения этой функции необходимыми ресурсами или для привлечения внешних подрядчиков.

NBJ: Какие реперные точки должна содержать стратегия ИБ?

Д. БИРЮКОВ: На наш взгляд, стратегия ИБ определяет совокупность целей и задач, которые руководство банка ставит перед службой информационной безопасности, ИТ, отделом кадров, юристами, службой внутреннего контроля и другими структурными подразделениями, участвующими в обеспечении ИБ. Неотъемлемой частью стратегии ИБ является план реализации предлагаемых инициатив (своего рода дорожная карта) с указанием ответственных лиц, состава проектов, последовательности их реализации, сроков и стоимости. Важный момент – согласование и утверждение стратегии ИБ руководством банка. Наличие единого видения способствует повышению эффективности и результативности вложений банка в информационную безопасность. Разработка и реализация стратегии ИБ является непростой задачей, требующей всестороннего анализа и глубокой экспертизы. Именно поэтому резонным шагом для банка может стать привлечение к этому процессу внешней консультационной компании.

NBJ: Допустим, банк сделал выбор в пользу того или иного партнера-консультанта. Как строится процесс дальше?

Д. БИРЮКОВ: На основании проектного опыта создания и реализации стратегий ИБ банков каждый интегратор предлагает свой «джентльменский набор» услуг. Основную роль в степени проработки стратегии, которую вам предложат, безусловно, играет наличие соответствующих компетенций и успешных кейсов, реализованных конкретным партнером.

Согласно подходу «Астерос ИБ» под разработкой стратегии мы подразумеваем целый ряд последовательных мероприятий: комплексный аудит для оценки текущего уровня обеспечения ИБ банка, сбор информации от всех заинтересованных сторон (включая бизнес-подразделения), проведение всесторонних технических проверок, оценки рисков ИБ, проведение BIA-анализа, формирование стратегической карты, определение стратегических задач и инициатив и т.п. Безусловно, целесообразнее привлекать крупного игрока, имеющего необходимые компетенции по решению указанного выше списка нетривиальных задач.

NBJ: Что выиграет банковская служба информационной безопасности, сделав ставку на разработку и внедрение стратегии ИБ?

Д. БИРЮКОВ: Прежде всего, для службы ИБ это долгосрочная поддержка от руководства банка за счет согласования целей и задач с бизнесом в перспективе трех-пяти лет. Второй момент – обеспечение соответствия требованиям регуляторов с одной стороны и содействие достижению целей бизнеса – с другой. Третье – это правила жизни по одним законам с филиалами, так как в максимальной степени единая стратегия ИБ важна в крупных территориально распределенных банках.

NBJ: Расскажите о вашем опыте реализации подобного рода проектов.

Д. БИРЮКОВ: Используемый нами подход прошел проверку в ряде компаний разной отраслевой направленности и масштаба. Например, в одном из крупных банков нами выполнен проект по разработке и реализации стратегии совершенствования обеспечения ИБ. Выполнение проекта способствовало выделению необходимого и достаточного финансирования на длительный срок, расширению подразделения ИБ, созданию корпоративной системы управления на основе управления рисками ИБ. В контур проекта вошел головной офис и более 40 филиалов банка.

NBJ: Процесс разработки стратегии ИБ носит индивидуальный характер? Насколько он зависит от особенностей стратегии или модели бизнеса той или иной финансово-кредитной организации?

Д. БИРЮКОВ: По своему опыту я скажу, что двух одинаковых стратегий информационной безопасности нет и быть не может. Каждый банк обладает особенностями, у каждого свои внутренние взаимоотношения, своя структура бизнеса и свои задачи. Подогнать всех под одну линейку невозможно, именно поэтому мы всегда подчеркиваем необходимость комплексного подхода к разработке стратегии ИБ.

В практике «Астерос ИБ» были случаи, когда нашим клиентом становился банк с высоким уровнем зрелости информационной безопасности, а бывали и прецеденты, когда процесс разработки стратегии ИБ приходилось начинать буквально с чистого листа. Понятно, что и цена, и сроки реализации проектов сильно различались.

Другим фактором, способным оказать влияние на эти два параметра, является, как ни странно, «национальность» банковской организации. Дочерние структуры иностранных банков придерживаются корпоративной политики группы, в них работа выстраивается по единым правилам, независимо от того, работает «дочка» на российском рынке или в какой-либо другой стране. В то же время возникают ситуации, когда российское законодательство и законодательство государства, где работает материнская организация, имеют существенные расхождения. В таких случаях обеспечение симбиоза предлагаемых решений, требований законодательных и нормативных документов, особенностей видения бизнеса и деятельности по обеспечению ИБ в иностранном банке является первоочередной задачей.

________________________________________________________________

* В действующей «Методике оценки соответствия ИБ организаций банковской системы РФ требованиям СТО БР ИББС-1.0-2014» один из трех важнейших показателей ИБ именуется EV3 – оценка степени выполнения требований СТО БР ИББС-1.0 по направлению «уровень осознания ИБ организации». Как показала практика реализации требований СТО БР ИББС-1.0-2014, в большинстве банков решающим фактором успеха является именно уровень осознания председателем кредитной организации целей, задач, основных требований и решений по обеспечению ИБ, изложенных в стандарте Банка России.

Начать дискуссию

УК РФ

Опасное производство 2 года работало без лицензии и получило доход 26 млн рублей

В Ставропольском крае перед судом предстанет обвиняемый в незаконном предпринимательстве с извлечением дохода на сумму более 26 млн рублей.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Кто имеет право работать неполный день

Если у сотрудников есть основания для неполной занятости, работодатель должен установить удобный для работника график и снизить нагрузку.

Календарь вебинаров для бухгалтера в апреле 2024. Платные и бесплатные

Собрали для вас анонсы вебинаров на апрель 2024 года.

Лучшие спикеры, новый каждый день

Каким числом выставлять счет-фактуру на аванс: бухгалтеры разбираются с формулировками в НК. «Ночной бухгалтер» № 1652

В телеграм-канале «Клерка» бухгалтеры спорили о том, какую дату указать в счет-фактуре на аванс — день получения аванса или любую из последующих пяти дней, которые даны на выставление документа. Истину нашли (вроде).

Иллюстрация: Вера Ревина/Клерк.ру

Яндекс запустил линейку нейросетей YandexGPT третьего поколения

Искусственный интеллект нового поколения лучше работает со сложными задачами. Бизнес может самостоятельно дообучить нейростеть.

20
Бесплатно с Архив документов

Сколько лет все-таки хранить кадровые документы? Мини-курс

Разбираемся в мини-курсе, какие типы хранения кадровых документов выделяют и какова продолжительность хранения кадровых документов.

Сколько лет все-таки хранить кадровые документы? Мини-курс
Опытом делятся эксперты-практики, без воды
НДФЛ

В 2024 году ФНС разошлет уведомления на НДФЛ с процентов по вкладам за 2023 год

В 2024 году вкладчикам впервые необходимо будет уплатить НДФЛ с процентов от банковских вкладов за 2023 год.

Перерасчет имущественных налогов будут делать по-новому

Физлица будут направлять в ИФНС заявления на перерасчет налога на имущество, земельного и транспортного, к которому можно приложить документы, а можно и не прикладывать. Налоговики будут рассматривать это заявление 30 дней.

Как разработать эффективную программу обучения для новых сотрудников

Обучение персонала — сложный и многогранный процесс. Если проводить его правильно, он может стать ключевым инструментом для усиления корпоративной культуры, увеличения продуктивности и стимулирования мотивации сотрудников.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
11
УК РФ

Поиск бывшего гендира может вылиться в вымогательство

Сотрудники главного управления уголовного розыска МВД совместно с коллегами из Красноярского края задержали подозреваемых в серии вымогательств у бизнесменов.

⚡️Итоги дня: Ozon изменил расчет сбора, Дурова призвали внимательнее следить за Telegram, Камчатку трясет

Подготовили обзор главных событий дня. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Селлеры нарастили продажи на Ozon в 2,5 раза

Заметнее всего нарастили обороты предприниматели Дальневосточного федерального округа, которые торгуют на маркетплейсе Ozon. Они стали продавать почти в 5 раз больше товаров.

Миникурсы, текстовые и видеоинструкции для бухгалтеров

Как обезопасить массовые выплаты внештатникам

Компании, которые сотрудничают с большим числом внештатников, проводят массовые выплаты со своего счета. Такие платежи могут нести риски с точки зрения ИФНС и банков. Рассказываем, в чем причины и как обезопасить переводы.

Как обезопасить массовые выплаты внештатникам
Бесплатно с Взносы на травматизм

Подтверждение ОКВЭД в 2024 году: кто сдает, сроки подачи, образец

Работодатели обязаны уплачивать страховые взносы за своих сотрудников. Тарифы по взносам от несчастных случаев на производстве и профзаболеваний различаются в зависимости от класса профриска и составляют от 0,2% до 8,5%.

Подтверждение ОКВЭД в 2024 году: кто сдает, сроки подачи, образец
ВЭД

Центробанк смягчил валютный контроль по внешнеторговым контрактам

Участники внешней торговли могут не сдавать в банки документы по сделкам с иностранными партнерами, если объем операций не превышает 1 млн рублей.

Что изменится в заполнении баланса по новому ФСБУ 4/2023: обзор поправок от Минфина

Недавно утвердили новый ФСБУ 4/2023 «Бухгалтерская отчетность». Меняют бланки бухотчетов и правила их заполнения.

Торгово-промышленная палата хочет создать единую базу со всеми видами поддержки бизнеса

Чтобы предприниматели получали меньше отказов в финансировании, ТПП создаст единую базу, где будут перечислены доступные и актуальные меры поддержки. Там же будут публиковать критерии отбора и сколько средств осталось в бюджете на финансирование бизнеса.

✅ Будут изменения по имущественным налогам: обзор от ФНС. Эксперт: вектор цифровизации — правильный

В НК внесут поправки, направленные на повышение эффективности налогообложения имущества.

4
284
НДФЛ

Как считать НДФЛ с продажи подаренной недвижимости

При получении недвижимости по договору дарения надо заплатить НДФЛ. Потом при продаже этой недвижимости тоже заплатить НДФЛ.

88

Интересные материалы

Модульбанк удвоил вознаграждение для партнеров

До конца марта Модульбанк платит двойное партнерское вознаграждение за каждую подключенную облачную кассу от Модулькассы.