26.08.2016, 10:05
Количество просмотров 105

Артем Сычёв: ЦБ отмечает активные попытки вербовки преступниками банковских специалистов

О таких подводных камнях, как проблема кадров, самооценка соответствия требованиям ИБ, инсайд, а также о новых угрозах, среди которых,...
Артем Сычёв: ЦБ отмечает активные попытки вербовки преступниками банковских специалистов

ПЛАС: Сегодня после каждой атаки на банки, принесшей масштабный урон, принято сетовать на некомпетентность сотрудников департамента ИБ. Насколько в действительности сложным является вопрос кадров в этой сфере?

А. Сычёв: Проблема кадров – одна из наиболее серьезных проблем обеспечения информационной безопасности в банков­ской сфере. Она заключается не только в том, что банкам сегодня по­-прежнему не­просто найти необходимых специалистов и укомплектовать ими свой штат.

Как из­вестно, служба ИБ требует наличия ши­рокого спектра профессионалов – от без­опасников­ юристов, которые способны грамотно сформировать нормативную базу и отразить в ней вопросы обеспече­ния безопасности, в том числе в рамках договорных отношений, до безопасни­ков­ инженеров, реализующих разрабо­танную стратегию безопасности на уров­не ИТ-инфраструктуры, и т. д.

Однако при этом особенно сложно найти специали­ста по ИБ, который мог бы разговаривать на одном языке с бизнесом. А ведь только это условие может гарантировать, что потребности банка в тех или иных шагах в области информационной безопасности будут услышаны лицами, принимающи­ми непосредственное решение о финан­сировании такого рода инициатив.
Без­опасник должен максимально объективно обосновывать свои пожелания, оперируя понятными бизнесу величинами в виде уровня риска и объема возможных потерь, размеров штрафов за несоответствие тре­бованиям регулятора, анализа статистики случаев мошенничества и т. д. В противном случае все усилия департамента ИБ по повышению защищенности банка будут восприниматься в штыки руководством бизнес­ подразделений. С результатами такого отсутствия взаимопонимания ко­манде FinCERT приходится сталкиваться регулярно.

ПЛАС: Чем может помочь здесь кредитным организациям Банк России?

А. Сычёв: У регулятора есть определен­ные решения, которые могут выступать существенным подспорьем для банков в решении такого рода сложных вопросов. В качестве примера здесь можно привести наши «Рекомендации в области стандар­тизации по ресурсному обеспечению». В этом документе даются конкретные со­веты относительно численности и состава персонала команды, отвечающей в банке за вопросы ИБ, размеров необходимых инвестиций, включая зарплатный фонд, принципов управления и учета эффектив­ности и т.д. В свое время этот документ даже успел подвергнуться жесткой кри­тике со стороны банковского сообщества. Однако, когда речь идет о его конкретных применениях, практика последних лет показывает, что эти рекомендации могут быть весьма эффективны.

Также в настоящее время мы гото­вим перечень рекомендаций в области стандартизации по квалификационным требованиям к персоналу в сфере финансовой безопасности, который уже активно обсуждаем в рамках Первого подкомитета ТК122 «Стандарты финансо­вых операций», в состав которого входят кредитные и некредитные финансовые организации, а также организации, ока­зывающие профессиональные услуги в области обеспечения информационной безопасности.

Таким образом, мы активно работаем в направлении решения кадровых про­блем в сфере ИБ, и я уверен, что резуль­таты не заставят себя ждать.

ПЛАС: Так или иначе, речь идет пока именно о рекомендациях – Банк России остается в этих вопросах верен своей практике не прибегать без крайней необходимости к ужесточению требований. А что вы могли бы сказать в отношении практики, когда банк самостоятельно оценивает свое соответствие тем или иным нормативам Центрального банка в отношении ИБ – планируется ли от нее отказаться?

А. Сычёв: Совершенно верно. Каждый банк строит свою работу, руководствуясь, с одной стороны, строгими нормативами регулятора, а с другой – рекомендациями, следовать которым или нет, а если следо­вать, то в какой мере, он решает самостоятельно. Мы не сторонники режима ручного управления и стремимся ограничиваться мерами рекомендательного характера везде, где это только целесообразно.

Что же касается упомянутой вами практи­ки самооценки ситуации с ИБ, то в перспективе мы планируем от нее уйти. Мы видим, что зачастую такой подход оказывается на­стоящей профанацией. Посудите сами: ни один из банков, впоследствии потерявший в результате действий мошенников десятки и сотни миллионов рублей, не поставил в листке самооценки отметку «плохо»! 


По материалам PLUSworld.ru

Рубрика:
{}Безопасность
PLUSworld в соцсетях:
telegram
vk
youtube

ТАКЖЕ ПО ТЕМЕ