Свои вопросы Вы можете направить в секретариат ПК №3 с помощью формы внизу данной страницы или по электронной почте.
Каков будет статус разрабатываемых стандартов по информационной безопасности подкомитета? Будут ли содержащиеся в них требования носить обязательный характер?
Проводилась ли какими-то экспертами оценка уровня информационной безопасности в российском банковском секторе?
Каков будет ближайший план работы Подкомитета N 362/3 защиты информации в кредитно-финансовой сфере? В частности, что известно о разрабатываемом документе "Обеспечение информационной безопасности организации банковской системы"?
Есть ли регламентирующие документы ЦБ для комбанков, касающиеся области информационной безопасности?
Какова мировая практика в вопросах обеспечения информационной безопасности в банковском секторе?
Каким образом вопросы обеспечения информационной безопасности в банковском секторе регламентируются в России?
Каков будет статус разрабатываемых стандартов по информационной безопасности подкомитета? Будут ли содержащиеся в них требования носить обязательный характер?
- Нет, пока обязательным их назвать нельзя, они будут носить рекомендательный характер. Специфика вопроса заключается в том, что банки во всем мире очень болезненно подходят к проблеме информационной безопасности, а в России особенно. Если раскрыть информацию о некачественном обеспечении безопасности в кредитной организации, можно серьезно ей навредить, отпугнув клиентов. Например, в практике Центробанка Франции эти оценки носят конфиденциальный характер и не публикуются. Только в одной стране мира, а именно во Франции, требования к информационной безопасности носят обязательный характер для банковского сообщества. Сейчас об этом очень серьезно думают и в Европейском центральном банке, и в Германии, и в США, и в Англии. У нас в принципе эта работа развернется в полном объеме где-то к 2007 году.
Проводилась ли какими-то экспертами оценка уровня информационной безопасности в российском банковском секторе?
- Да, конечно. Такие работы проводятся, но они проводятся нецентрализованно. Есть несколько фирм, которые этими вопросами занимаются, они проводят экспертизу по стандарту 17799. Но такая оценка добровольная, и ее результаты не публикуются. Кроме того, так как нет требований со стороны государства и этот стандарт в стране не признан, то нет и оснований верить этим результатам. Технические решения, реализованные в ряде российских банков, находятся на очень высоком уровне. Поэтому говорить о том, что ничего не делается, просто нельзя. А что касается вопросов организационного порядка или самоконтроля, то эти вопросы у нас гораздо менее структурированы.
Каков будет ближайший план работы Подкомитета N 362/3 защиты информации в кредитно-финансовой сфере? В частности, что известно о разрабатываемом документе "Обеспечение информационной безопасности организации банковской системы"?
- В начале планируется переводить международные стандарты и выпускать гармонизированные стандарты на русском языке. На базе этих документов будут создаваться национальные стандарты, максимально адаптированные к нашим условиям. Формируя подход, была взята философия стандарта 15408, 17799 и многих других документов и объединили их в некую интегрированную концепцию, которая отвечает на три вопроса: что сделать для того, чтобы все было правильно и хорошо; как сделать и, наконец, как проверить и оценить то, что сделано.
К сожалению, то, что сейчас есть в нормативной базе нашей страны, рассматривает только технические аспекты. Эти стандарты достаточно хорошие и требовательные, но другие вопросы выпадают из поля зрения существующих в России нормативных документов. Например, очень важно постоянно осуществлять контроль за тем, как функционирует система в целом, включая персонал. В результате делается компиляция, которая объединит функциональные требования технического характера, функциональные требования нетехнического характера и вопросы, касающиеся контроля за обеспечением необходимого уровня информационной безопасности.
В основу стандарта положено понятие "модели зрелости". За рубежом существует стандарт "КОБИТ", выделяющий шесть уровней зрелости. По видимому, банки должны соответствовать четвертому уровню. Для достижения этого уровня в банке должна быть создана служба безопасности, должна проводиться внятная политика безопасности, составляться планы работ, должны быть приняты регламенты взаимодействия различных подразделений, должен регулярно проводиться аудит, должен быть минимальным уровень конфликтности в коллективе, и, наконец, должно быть специальное финансирование этой работы. Когда все эти условия выполняются, можно говорить о том, что информационные риски в банке минимальны.
Планируется подготовить пакет документов. Первая книга появится, вероятнее всего, летом 2004 года. Ее название - "Обеспечение информационной безопасности организации банковской системы". Этот документ будет в большей степени организационным, хотя в нем, безусловно, будут содержаться технические требования. После его прочтения можно будет понять, что такое безопасность, принципы ее обеспечения, конкретные технические требования, вопросы управления, аудита и мониторинга.
К этому основному документу будет достаточно много тематических приложений. Это позволит сделать так, чтобы деятельность внутреннего контроля коррелировалась с теми стандартами, которые приняты в международной практике, в результате чего банк получит возможность сам себя регулярно контролировать, что зачастую на порядки дешевле, чем приглашать внешнего аудитора.
В целом, принципиально то, что этот стандарт должен быть применим к банку любого размера. Это не значит, что маленький банк, не имеющий ресурсов, должен выполнять весь комплекс требований, предъявляемых к многофилиальной кредитной организации, но основные задачи он должен для себя хотя бы оценить. Он должен написать свою "Политику безопасности", отразив в ней те методы, которыми он намеревается поддерживать безопасность. При этом методы могут быть разными, и в этом смысле небольшим банкам будет предоставлена возможность пользоваться более гибкими инструментами.
Есть ли регламентирующие документы ЦБ для комбанков, касающиеся области информационной безопасности?
- Центробанком разработано огромное количество внутренних инструкций по безопасности, которые касаются только самого Банка России. Эти документы регламентируют все стороны деятельности службы безопасности ЦБ РФ. Мы делимся с банкирами этими документами, но для них они не являются обязательными. С другой стороны, есть некоторые отдельные общие требования, которые распространяются именно на банковский сектор, но при этом они в целом не распространяются на систему банковской безопасности.
Кредитные организации сейчас находятся в сложном положении, поскольку российская банковская система не имеет унифицированных требований. А, как известно, если нет требований, то нет и критериев оценки деятельности. Однако оценка деятельности банка - это важнейшая составляющая банковского надзора и аудита. В 2003 году ЦБ принял решение создать для банковской системы такой национальный стандарт. Для этой цели был создан подкомитет по стандартизации под названием "Подкомитет N 3 защиты информации в кредитно-финансовой сфере технического комитета ТК-362 защиты информации Госстандарта", в который вошли два департамента ЦБ РФ, Ассоциация российских банков (АРБ), ассоциация "Россия", Сбербанк, Альфа-банк, Россельхозбанк, ММВБ, НВА, Гостехкомиссия в двух лицах (сама Гостехкомиссия как орган регулирования и его научный институт - НИИ проблем технической защиты информации), Государственный таможенный комитет и два разработчика. Первое заседание этого подкомитета состоялось 27 ноября.
Вы видите, что состав подкомитета прежде всего ориентирован на пользователя. Обычно в нашей стране складывается обратная ситуация, когда нормативные документы пишутся поставщиками услуг, и, соответственно, правила игры задаются не для пользователя, а для поставщика. Мы стараемся сделать наоборот и советуемся с теми, кто заинтересован в создании хороших правил игры, то есть с пользователями.
Мы привлекаем банки еще и потому, что Центробанк не выполняет все те задачи и не имеет всего бизнеса, который есть у коммерческих банков. Так, ЦБ РФ не работает с частными клиентами, с карточной системой, не занимается интернет-бэнкингом. Эти вопросы очень важны, и мы рассчитываем, что банки нам помогут и внесут свою лепту в создание национального стандарта, сделают его удобным для себя в первую очередь.
Какова мировая практика в вопросах обеспечения информационной безопасности в банковском секторе?
- В мире существует довольно развитая практика в области защиты информационных технологий, которая нашла отражение в ряде международных стандартов, активно используемых рядом центральных банков ведущих стран, таких как США, Германия и Франция. К этому движению сейчас активно подключается Великобритания да и практически все центральные банки экономически развитых стран.
Взгляд на обеспечение безопасности информации определяется рядом факторов. В частности, все начинают понимать, что бизнес организации, в том числе и бизнес банков, практически невозможно реализовать эффективно и с минимальными рисками без решения задач безопасности. Невозможно потому, что любой бизнес находится в очень серьезной зависимости от информационной инфраструктуры, то есть от вычислительных комплексов, программных и аппаратных средств, персонала, который сидит за экранами мониторов. Если эти комплексы вдруг начинают плохо работать (например, за счет того, что туда попадают вирусы), бизнес нарушается по причине неправильного, плохого функционирования систем. Осознав это, все задумались, каким образом можно снизить риски.
В частности, подходы к решению этого вопроса содержатся в международных стандартах качества ISO 9000. Основная идея этих подходов такова: для того, чтобы получилась хорошая продукция - все равно что - пепси-кола, автомобиль, самолет - необходимо подвергнуть серьезному анализу и сертифицировать производство. А сертификация производства означает обеспечение неких хороших устойчивых параметров среды, в которых создается и эксплуатируется этот продукт. То же самое делается и в сфере безопасности. Так, стандарт ИСО/МЭК 15408 имеет отношение к обеспечению безопасности программных и технических средств, а британские стандарты 17799 и 7799 касаются вопросов управления системой безопасности, то есть управления коллективом людей. Оба они направлены на обеспечение условий, при которых параметры безопасности в системах сохраняются долго.
Каким образом вопросы обеспечения информационной безопасности в банковском секторе регламентируются в России?
- В настоящее время в нашей стране действуют выпущенные Гостехкомиссией России документы, носящие технический характер. Они регламентируют вопросы защиты от несанкционированного доступа, блокировки каналов утечки и прочее. Но эти документы касаются не только банков, но и всех остальных компаний и не учитывают специфику угроз, существующих в банковской сфере. Кредитные организации вынуждены по ним организовывать свою защиту. Адаптированных для банковской системы документов нет.
