Артем Сычев: «Услуга внешней оценки ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT» - «Финансы»

Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев в кулуарах Международного банковского форума «Банки России — XXI век» рассказал «Новости Банков» о разработке требований к компаниям, оказывающим услуги аутсорсинга на рынке информационной безопасности (ИБ), и о том, что ждет участников Finopolis 2016 в Казани. — На прошлой неделе SWIFT разослал очередное письмо, в котором, не называя банки, сообщил, что возникли проблемы и необходимо усиливать меры безопасности. По намекам можно понять, что речь идет о серьезных взломах. — В этих письмах не говорится о чем-то новом. SWIFT обобщил имеющуюся информацию и постарался довести ее до максимального количества клиентов. Я бы расценивал письмо как часть политики, проводимой SWIFT для повышения внимания к вопросам безопасности. Рекомендации, сформулированные FinCERT, идеально подходят для той ситуации, которую описывает SWIFT Принцип, примененный в этих атаках, точно такой же, какой мы в свое время видели в атаках на АРМ КБР (автоматизированное рабочее место клиента Банка России.— «Новости Банков»). И рекомендации, сформулированные FinCERT, идеально подходят для той ситуации, которую описывает SWIFT. — Можно ли говорить, что письмо в первую очередь направлено на борьбу с разгильдяйством банков в вопросах безопасности? — Мне кажется, речь идет об упорядочении информации. Банки будут обязаны тестировать свою инфраструктуру на предмет уязвимостей и возможность взлома Если раньше банк оценивал риски атаки низко, это не значит, что он был разгильдяем. Просто была такая оценка рисков. Теперь есть повод ее пересмотреть. Мы тоже меняем требования к банкам со, скажем так, общих, организационных на ориентированные на практический результат. Например, банки будут обязаны тестировать свою инфраструктуру на предмет уязвимостей и возможность взлома. — А как это реально проверять? Ведь у нас больше 600 банков, и атака может происходить не через головной офис, а через один из филиалов в глубинке. — Есть международный опыт. Глобальные платежные системы оставляют за собой право перепроверки аудита, проводимого независимыми структурами, внешними оценщиками. С нашей стороны будут сформулированы обязательные критерии для организаций, оказывающих услуги такого рода. Дальше возникает вопрос доверия к их работе, но это как раз предмет обсуждения как с смой отраслью, так и с финансовыми организациями. Сейчас идет разработка рекомендаций в области стандартизации аутсорсинга ИБ Внешняя оценка ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT. Но если критерии оценки аутсорсера и качества его работы понятны, то такие же критерии в сфере информационной безопасности пока не сформированы. Именно поэтому сейчас идет разработка рекомендаций в области стандартизации аутсорсинга ИБ. И мы думаем, что ряд критериев можно будет применять к оценщикам ИБ. — В мировой прессе сейчас много материалов о том, что растет количество взломов не только банков, но и счетов пользователей — через мобильные устройства, например. Насколько эти проблемы входят в вашу сферу ответственности? — Что касается конечного пользователя, это вопрос не наш. Это к организации, которая ему услуги оказывает. Ущерб конечного потребителя отражается на балансе кредитной организации, и это ее проблема. Но вопрос обеспечения внимания и должного контроля за качеством услуг — это уже зона ответственности Банка России. Мы будем создавать систему наблюдения за тем, как банки соблюдают сформулированные принципы. — В октябре в Казани состоится Finopolis , где у вас целая пленарная дискуссия. О чем пойдет речь? — В этом году у нас будет два направления. Первое — пленарная дискуссия об информационной безопасности в целом. Второе — отдельный разговор об аутсорсинге в этой области. Проблемы в сфере информационной безопасности имеют трансграничную природу Дискуссия будет нацелена на обсуждение проблем ближайшего будущего и пути их предотвращения. Мы очень надеемся на то, что удастся провести интересное мероприятие с точки зрения международного опыта. У нас будут представители Европейского банка, Cyber Security Malaysia, а основной доклад сделает Евгений Касперский. Проблемы в сфере информационной безопасности имеют трансграничную природу.