«Банковские технологии»: Павел Владимирович, на ваш взгляд, какие проблемы в области обеспечения информационной безопасности в российских кредитных организациях являются сегодня наиболее актуальными?
ПАВЕЛ ГЕНИЕВСКИЙ: Как известно, сообщество ABISS является одним из организаторов Форума «Информационная безопасность банков», который в этом году будет проводиться уже в четвертый раз. Наи более актуальные темы в области организации систем информационной безопасности кредитных учреждений как раз обсуждаются на этом Форуме. Одной из главных тем обсуждения предстоящего Форума является соблюдение требований регуляторов в свете последних изменений законодательной базы. Сюда относятся требования Стандарта Банка России в области информационной безопасности, закона «О персональных данных» в связи с его новой редакцией и требования нового закона «О национальной платежной системе».

В 2010 г. вышел документ, подписанный шестью организациями, среди которых две банковские ассоциации и основные регуляторы банковской деятельности в России — Банк России, Ассоциация российских банков, Ассоциация региональных банков России, а также ФСБ России, ФСТЭК России и Роскомнадзор — так называемое «письмо шестерых», в котором содержатся рекомендации кредитным организациям руководствоваться в своей работе по обеспечению информационной безопасности Стандартом Центробанка.

По общему мнению, соответствие этому Стандарту позволяет удовлетворить требования всех четырех регуляторов (ЦБ РФ, ФСБ, ФСТЭК, Роскомнадзора). Таким образом, организациям, внедрившим этот стандарт, не придется отчитываться по отдельным правилам перед каждым из регуляторов. Для подтверждения соответствия нужно пройти соответствующий аудит, и данные по этому аудиту можно предоставлять во все регулирующие органы.

В 2011 г. ситуация изменилась. Была принята новая версия закона «О персональных данных» и закон «О национальной платежной системе». В связи с выходом этих нормативных актов Стандарт Банка России перестал полностью соответствовать новой законодательной базе и сейчас идет работа над его модернизацией.

В частности, требования по обеспечению информационной безопасности стали касаться не только банков, но и всех участников национальной платежной системы. Тема модернизации Стандарта, появления в нем новых требований и организация их соблюдения является сегодня одной из самых актуальных в российском банковском сообществе.

По-прежнему большое внимание всех участников рынка занимает тема развития систем дистанционного обслуживания (ДБО). Предоставление удаленных услуг становится все более популярным, как среди потребителей таких услуг, так и со стороны банков. Развитие дистанционного банкинга приводит к росту мошенничества в данной области. Одна из секций Уральского форума посвящена этой теме.

Нужно отметить, что еще несколько лет назад тема мошенничества в системах ДБО часто замалчивалась банками. Количество случаев хищения средств из банков с использованием систем ДБО было сравнительно невелико. Сегодня проблема стала настолько масштабной, что скрывать ее нет никакого смысла. Наоборот, для ее решения требуется максимальное взаимодействие всех участников процесса, прежде всего обмен информацией.

Один из главных вопросов, которые будут обсуждаться на секции по противодействию мошенничеству в системах ДБО, это плотное взаимодействие банков с правоохранительными органами по оперативному реагированию на инциденты. Еще одна интересная тема, которая в последнее время привлекает все большее внимание, — мобильный банкинг. Широкое распространение продвинутых, многофункциональных мобильных терминалов приводит к росту спроса на предоставление мобильных финансовых услуг.

Соответственно, возникают новые проблемы в области информационной безопасности. Помимо традиционных проблем защиты самих устройств возникают вопросы в области защиты каналов передачи данных.

«Б. Т.»: Каким образом вы собираете информацию о наиболее актуальных угрозах? Только в ходе конференций и форумов?
П. Г.: Есть разные пути обмена информацией. Какие то данные поступают к нам от членов и участников ABISS. Кроме того, есть несколько специализированных форумов в Интернете, участники которых рассказывают о случаях мошенничества, с которыми они столкнулись на собственном опыте, обмениваются информацией об IP-адресах злоумышленников, методиках их действий и т. д. Важнейшим каналом для обмена информацией являются, как вы упомянули, специализированные конференции, например, Уральский форум «Информационная безопасность банков».

«Б. Т.»: Как строится работа вашего Партнерства в зависимости от наиболее актуальных угроз?
П. Г.: Прямой целью ABISS не является непосредственное реагирование на угрозы в области ИБ. Мы, разумеется, в курсе всех актуальных угроз. Но основной целью нашего Партнерства является создание стандартов и правил ведения предпринимательской деятельности в области предоставления услуг по ИБ и распространение стандартов по ИБ. Членами нашего НП являются компании, предоставляющие услуги по организации систем информационной безопасности в финансовых учреждениях и аудита систем ИБ.

«Б. Т.»: Для проведения аудита системы ИБ, в частности, на соблюдение требований Стандарта Банка России, банкам обязательно прибегать к услугам сторонних компаний?
П. Г.: Нет, не обязательно. В положениях Стандарта говорится, что аудит может быть проведен и собственными силами банка, так называемая самооценка. Однако далеко не все банки обладают необходимыми ресурсами для этого. Не во всех банках организованы выделенные службы информационной безопасности, имеется серьезный дефицит кадров, обладающих необходимыми компетенциями для проведения такого аудита. В большинстве случаев предпочтительнее привлечение внешнего консультанта, который может обеспечить более объективные и профессиональные результаты проверки.

«Б. Т.»: Как строятся ваши взаимоотношения с банками?
П. Г.: Мы открыты для взаимодействия. Мы ведем учет кредитных организаций, которые присоединились к Стандартам Банка России по информационной безопасности или планируют к ним присоединиться. Желающие кредитные учреждения могут через наши каналы выбрать гарантированно качественного поставщика услуг для проведения аудита, оценки соответствия своих систем ИБ Стандартам Банка России. Банк заказчик может пожаловаться на некачественно предоставленные услуги, в этом случае мы направим экспертную группу к аудитору, чтобы проверить это заявление.

Для того и создано Партнерство ABISS, чтобы создать некую среду доверия в области соблюдения Стандартов БР, внести в эту деятельность элементы саморегулирования.

«Б. Т.»: Каковы стратегические цели вашей организации?
П. Г.: Мы бы хотели построить такую систему, в которой аудиторские заключения, выданные входящими в ABISS компаниями, пользовались безусловным доверием у регуляторов. Мы готовы гарантировать качество аудита, достоверность всей полученной информации. Если такую систему удастся создать, банк, получивший соответствующий сертификат, сможет предоставить его любому из регуляторов — Банку России, ФСБ России, ФСТЭК России и Роскомнадзору. Это выгодно всем: банки смогут получать один документ, удовлетворяющий требованиям всех регуляторов, регулирующие органы смогут сэкономить время и силы на проведении проверок, а весь рынок получит четкую и доверенную среду оценки ИБ с понятными правилами и критериями.