Комплаенс для финансовых организаций: проблемы и решения

В конце 2020 года Центральный Банк России провёл киберучения среди 22 банков страны. Первый замглавы Департамента информационной безопасности регулятора Артём Сычёв заявил, что банки справились с задачами лучше, чем ожидалось. Однако, в ведомстве по-прежнему обращают внимание на расширение спектра угроз, которым подвержены финансовые организации.

Сегодня мошенники постоянно придумывают новые способы и меняют схемы – по статистике самих банков, число атак в прошлом году на фоне пандемии значительно увеличилось, в некоторые периоды наблюдался двукратный рост активности мошенников. Всё это актуализирует тему выполнения всеми подотчетными организациями требований в области информационной безопасности.

Сдерживание активности кибермошенников достигается в том числе выполнением требований положений, принятых Банком России и направленных на организацию защиты платежных систем, а также стандартов по обеспечению информационной безопасности кредитных организаций.

В целях соответствия всем требованиям регулятора, финансовым организациям необходимо проведение аудита на соответствие требованиям Банка России:

  • Положение № 382-П от 09.06.2012 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
    • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ. Базовый состав организационных и технических мер».

Эксперты Департамента комплаенса кредитно-финансовой сферы ГК «ЦИБИТ» отмечают: сегодня в стране действуют несколько тысяч компаний-лицензиатов, формально отвечающих требованиям Банка России, предъявляемым к внешним аудиторам в области информационной безопасности. При этом организаций, которые реально обладают компетенциями и достаточным опытом в проведении аудитов ИБ, всего около четырёх десятков по всей стране.

Поэтому мы рекомендуем при выборе аудитора, который проведёт проверку на соответствие требованиям регулятора, обратить внимание на ряд важных нюансов.

Низкая цена на услугу качество

Аудит финансово-кредитной организации – процесс многоэтапный и сложный. Качественная проверка на соответствие всем требованиям Банка России требует больших временных затрат.

Самое главное, что нужно понимать клиенту – в его же интересах качественно выполненный аудит, а не сделанный на скорую руку отчёт.

Ведущий эксперт Департамента комплаенса кредитно-финансовой сферы ГК «ЦИБИТ» Роман Олегович Косичкин комментирует: 

«Со стороны регулятора (Банка России) на текущий момент предъявляется единственное требование к таким компаниям, озвученное во всех Положениях, связанных с информационной безопасностью:

"Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б",  "д"  или  "е" пункта 4  Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного  постановлением  Правительства Российской Федерации N  79."

Никаких других дополнительных требований, ни к самой компании, ни к квалификационным данным сотрудников, проводящих аудит не предъявляется».

Многие компании, работающие в этой области, занижают цены и предлагают «ускоренные» варианты проведения аудита и составления аудиторского отчёта, но для самого банка это может обернуться целым рядом проблем.

Роман Олегович Косичкин:

«При проведении аудита людьми, не являющимися профессионалами в данной области, возможно непонимание ими, с одной стороны, банковских технологических процессов, а, с другой стороны, сути и смысла тех мер защиты, которые прописаны в ГОСТе и других стандартах. Данный минус усугубляется тем, что со стороны Банка России, как регулятора, не прописаны методологические указания по оценке применения мер защиты. Все это приводит к необъективности получаемой оценки соответствия, в основном в сторону завышения. В результате, в случае проверки результатов аудита со стороны Банка России будут выявлены многочисленные несоответствия, что приведет к штрафным санкциям со стороны регулятора».

Принципы работы специалистов ГК «ЦИБИТ»

В Департаменте комплаенса кредитно-финансовой сферы ГК «ЦИБИТ» разработан ряд краеугольных принципов, которые применяются в процессе оказания услуг:

  1. Объективность 

Наши специалисты работают только с фактами и делают выводы исключительно на основе предоставленных свидетельств аудита (наблюдений, опросов, файлов данных);

  1. Открытость 

Мы постоянно находимся в контакте с аудируемой организацией и делимся с ней теми выводами (в том числе и промежуточными), которые получаем в ходе проведения оценки соответствия;

  1. Эффективность 

В Департаменте разработана собственная методика проведения аудита, включающая алгоритмы работы, начиная от первой встречи с заинтересованными лицами аудируемой организации, хранения и обработки свидетельств, и заканчивая заключительной встречей с презентацией официального отчета и рекомендаций по устранению выявленных недостатков. Все это позволяет нам рационально и максимально быстро осуществлять процесс оценки соответствия, не жертвуя при этом точностью получаемых результатов.

Роман Олегович Косичкин: 

«Для нас, как аудитора, сложность заключается в соблюдении баланса между требованиями регулятора (Банка России), выраженными в Положениях и Стандартах (отраслевых и ГОСТ), и желанием аудируемой организации получить максимально возможную оценку.

Для аудируемой организации сложность заключается в количестве ресурсов, выделяемых для проведения оценки соответствия. К этим ресурсам относятся как финансовые (стоимость аудита достаточно чувствительна, особенно для средних и малых финансовых организаций), так и людские (для помощи аудиторской группе в сборе свидетельств обычно выделяются сотрудники подразделений ИБ и ИТ, которые на время проведения оценки соответствия не могут полноценно выполнять свои служебные обязанности)».

Чтобы получить более подробную информацию по проведению аудита на соответствие требованиям Банка России, обратитесь к нам за консультацией, заполнив заявку на сайте:

https://www.cibit.ru/financial-compliance/

Контакты: +7 (495) 792-80-80 // info@cibit.ru