26.08.2016,
10:05
105
Артем Сычёв: ЦБ отмечает активные попытки вербовки преступниками банковских специалистов
О таких подводных камнях, как проблема кадров, самооценка соответствия требованиям ИБ, инсайд, а также о новых угрозах, среди которых,...
ПЛАС: Сегодня после каждой атаки на банки, принесшей масштабный урон, принято сетовать на некомпетентность сотрудников департамента ИБ. Насколько в действительности сложным является вопрос кадров в этой сфере?
А. Сычёв: Проблема кадров – одна из наиболее серьезных проблем обеспечения информационной безопасности в банковской сфере. Она заключается не только в том, что банкам сегодня по-прежнему непросто найти необходимых специалистов и укомплектовать ими свой штат.
Как известно, служба ИБ требует наличия широкого спектра профессионалов – от безопасников юристов, которые способны грамотно сформировать нормативную базу и отразить в ней вопросы обеспечения безопасности, в том числе в рамках договорных отношений, до безопасников инженеров, реализующих разработанную стратегию безопасности на уровне ИТ-инфраструктуры, и т. д.
Однако при этом особенно сложно найти специалиста по ИБ, который мог бы разговаривать на одном языке с бизнесом. А ведь только это условие может гарантировать, что потребности банка в тех или иных шагах в области информационной безопасности будут услышаны лицами, принимающими непосредственное решение о финансировании такого рода инициатив.
Безопасник должен максимально объективно обосновывать свои пожелания, оперируя понятными бизнесу величинами в виде уровня риска и объема возможных потерь, размеров штрафов за несоответствие требованиям регулятора, анализа статистики случаев мошенничества и т. д. В противном случае все усилия департамента ИБ по повышению защищенности банка будут восприниматься в штыки руководством бизнес подразделений. С результатами такого отсутствия взаимопонимания команде FinCERT приходится сталкиваться регулярно.
ПЛАС: Чем может помочь здесь кредитным организациям Банк России?
А. Сычёв: У регулятора есть определенные решения, которые могут выступать существенным подспорьем для банков в решении такого рода сложных вопросов. В качестве примера здесь можно привести наши «Рекомендации в области стандартизации по ресурсному обеспечению». В этом документе даются конкретные советы относительно численности и состава персонала команды, отвечающей в банке за вопросы ИБ, размеров необходимых инвестиций, включая зарплатный фонд, принципов управления и учета эффективности и т.д. В свое время этот документ даже успел подвергнуться жесткой критике со стороны банковского сообщества. Однако, когда речь идет о его конкретных применениях, практика последних лет показывает, что эти рекомендации могут быть весьма эффективны.
Также в настоящее время мы готовим перечень рекомендаций в области стандартизации по квалификационным требованиям к персоналу в сфере финансовой безопасности, который уже активно обсуждаем в рамках Первого подкомитета ТК122 «Стандарты финансовых операций», в состав которого входят кредитные и некредитные финансовые организации, а также организации, оказывающие профессиональные услуги в области обеспечения информационной безопасности.
Таким образом, мы активно работаем в направлении решения кадровых проблем в сфере ИБ, и я уверен, что результаты не заставят себя ждать.
ПЛАС: Так или иначе, речь идет пока именно о рекомендациях – Банк России остается в этих вопросах верен своей практике не прибегать без крайней необходимости к ужесточению требований. А что вы могли бы сказать в отношении практики, когда банк самостоятельно оценивает свое соответствие тем или иным нормативам Центрального банка в отношении ИБ – планируется ли от нее отказаться?
А. Сычёв: Совершенно верно. Каждый банк строит свою работу, руководствуясь, с одной стороны, строгими нормативами регулятора, а с другой – рекомендациями, следовать которым или нет, а если следовать, то в какой мере, он решает самостоятельно. Мы не сторонники режима ручного управления и стремимся ограничиваться мерами рекомендательного характера везде, где это только целесообразно.
Что же касается упомянутой вами практики самооценки ситуации с ИБ, то в перспективе мы планируем от нее уйти. Мы видим, что зачастую такой подход оказывается настоящей профанацией. Посудите сами: ни один из банков, впоследствии потерявший в результате действий мошенников десятки и сотни миллионов рублей, не поставил в листке самооценки отметку «плохо»!
По материалам PLUSworld.ru