Ссылка на издание «Национальный Банковский Журнал»
В течение последних 6 месяцев, по данным актуальной статистики, хакеры стали атаковать российский бизнес и госсектор в 5–7 раз чаще, чем в прошлом году. Эксперты по кибербезопасности связывают такую статистику с политическими мотивами, отсутствием ответственности для зарубежных мошенников и недостаточным уровнем защиты, в том числе после ухода иностранных компаний с рынка.
При этом под ударом чаще остальных оказываются финансовые учреждения. Увеличение количества киберрисков, в свою очередь, приводит к тому, что Банк России всё с большим вниманием относится к вопросам обеспечения информационной безопасности на предприятиях отрасли.
Департамент финансового комплаенса Группы компаний «ЦИБИТ» оказывает комплекс услуг по информационной безопасности в банковской сфере. За последний год количество банков, воспользовавшихся услугами «ЦИБИТ», увеличилось вдвое.
Собственная разработка экспертов «ЦИБИТ» – автоматизированная система для проведения оценки соответствия требованиям Положений Банка России по обеспечению защиты информации. Преимущество системы заключается в том, что при работе с ней доступ к информации получают и аудитор, и представители финансовой организации. С помощью технологии предоставляются данные о текущем уровне оценки и свидетельства, кото-рые необходимы для подтверждения выполнения требований. Что важно, полученные материалы могут быть использованы при проведении последующих аудитов для банка.
Таким образом, сервис позволяет проводить оценку соответствия более комплексно, формировать рекомендации с учётом опыта предыдущих аудитов и постоянно совершенствовать выполнение требований к информационной безопасности, что в конечном итоге означает – соответствовать запросам времени.
На вопросы NBJ об инновационной разработке отвечают эксперт Департамента финансового комплаенса «ЦИБИТ» Тамара Александровна ДЕМЕНКОВА и кандидат технических наук, эксперт в области информационной безопасности Василий Андреевич ОКУЛЕССКИЙ.
NBJ: В чём особенности автоматизированной системы «ЦИБИТ» для проведения оценки соответствия требованиям Положений Банка России по обеспечению защиты информации?
Т. ДЕМЕНКОВА: Разработанная нами система представляет собой web-приложение: на платформе одновременно могут работать и аудиторы, и представители компании-клиента. В каждую меру (а их количество – 667) подгружаются свидетельства выполнения (документы, скриншоты, устные свидетельства). Таким образом, на платформе отображается текущая оценка уровня соответствия – все данные аудита можно сохранять в удобном формате и формировать список рекомендаций по повышению уровня соответствия.
NBJ: Существуют ли аналогичные решения на рынке? Если да, то в чём преимущества вашей автоматизированной системы? Если нет, то в чём её уникальность?
Т. ДЕМЕНКОВА: Многие крупные интеграторы разрабатывают те или иные системы для проведения аудитов. При этом, исходя из реальной практики и опыта общения с заказчиками, можно отметить, что большинство компаний проводят оценку соответствия в банках с использованием excel. При проведении аудита с использованием excel сложно прикреплять свидетельства к каждой мере. Мы используем автоматизированную систему, которая облегчает работу аудиторам, а представителям заказчика позволяет видеть текущее положение оценки. Ценность и уникальность такого подхода к проведению аудита заключается ещё и в том, что при проведении повторных аудитов можно смотреть истории предыдущих оценок и учитывать сформированные ранее рекомендации.
Сервис позволяет сохранять данные оценок соответствия в течение пяти лет, а также копировать информацию по предыдущему аудиту для проведения текущей оценки. Это позволяет «обогащать» свидетельства выполнения требований новыми данными, а также удалять неактуальные свидетельства и добавлять актуальные.
NBJ: Вашу систему можно назвать импортозамещённым продуктом?
В. ОКУЛЕССКИЙ: В России применяются технологии, предназначенные для проведения оценок соответствия Положениям Банка России. В других странах разрабатывают системы для проведения аудитов в рамках собственного законодательства и в соответствии со своими нормативными документами, поэтому я бы не стал в данном случае говорить об импортозамещении.
NBJ: Помимо предоставления сервиса автоматизированной системы, компания «ЦИБИТ» оказывает целый комплекс услуг для банков. Расскажите, что это за услуги…
Т. ДЕМЕНКОВА: Как известно, Банк России является регулятором не только для банков, но и для некредитных финансовых организаций (страховых и инвестиционных компаний, ПИФов, негосударственных пенсионных фондов и др.). Департамент финансового комплаенса Группы компаний «ЦИБИТ» оказывает услуги для всего спектра таких предприятий.
По итогам проведения аудита мы разрабатываем перечень рекомендаций, выполнив которые, организация сможет повысить свой уровень оценки. Этот список часто включает в себя в том числе внедрение средств защиты, которые «ЦИБИТ» готов поставить заказчику. Кроме того, наши эксперты, если это необходимо, совместно с клиентом вырабатывают компенсирующие меры, способствующие закрытию тех или иных требований.
NBJ: В связи с текущей геополитической ситуацией требования к информационной безопасности со стороны регуляторов только усиливаются. Как эксперты, что бы вы порекомендовали кредитным организациям в этой связи?
В. ОКУЛЕССКИЙ: Во-первых, мы советуем внимательно мониторить российский рынок производителей средств защиты информации и отечественные компании, которые оказывают услуги в области информационной безопасности.
Во-вторых, полезно и необходимо сейчас участвовать в профильных конференциях и вырабатывать компенсирующие меры. Сегодня повышенное внимание к вопросам информационной безопасности со стороны регулятора объясняется несколькими причинами. В первую очередь это события, связанные с уходом из России значительного числа компаний-разработчиков средств информационной безопасности.
Также стоит учитывать такие факторы, как возрастающая сложность банковских технологий, широкое применение облачных сервисов и возможностей искусственного интеллекта. Нужно отметить и сокращение времени выхода на рынок новых продуктов. Развитие технологий защиты информации не всегда успевает за этими процессами, постоянно находясь в вилке «доступность-безопасность».
Ещё одна причина усиления контроля со стороны регулятора – резко возросший технологический уровень мошеннических сообществ и применение ими самых передовых технологий. С учётом дефицита квалифицированных кадров в области информационной безопасности ситуация становится ещё более острой.
Мы понимаем, что коммерческим финансовым организациям в таких условиях очень сложно успевать за меняющимися требованиями и рекомендациями регулятора. Тем не менее, есть несколько сравнительно универсальных рецептов, следование которым поможет держаться в тренде:
- В современной борьбе за информационную безопасность банковских технологий в лидеры выходят те банки, которые смогли построить эффективную систему менеджмента информационной безопасности – не просто создать набор внутренних нормативных документов, а внедрить комплекс реально действующих процессов. Конечно, эта рекомендация требует серьёзного осмысления и часто – перестройки всей системы обеспечения информационной безопасности, но её выполнение даёт результат.
- Ещё один важный шаг – постоянное повышение квалификации специалистов. Обучение и совершенствование навыков и знаний всегда было, есть и будет обязательным условием высокого уровня информационной безопасности. Не бойтесь признаваться в том, что вы чего-то не знаете – бойтесь не учиться, не восполнять этих пробелов. Учебные центры, конференции, журналы, тренинги – сегодня существует множество хороших инструментов.
- Не менее полезным будет активное изучение новых российских решений в области информационной безопасности. Пытайтесь чаще применять их и обязательно делитесь своим практическим опытом, особенно опытом борьбы с выявленными недоработками – помогайте разработчикам в совершенствовании наших национальных решений! Только так эти решения могут стать конкурентоспособными, ведь основное преимущество большинства импортных решений – именно наличие огромного опыта их реализаций.