Стандарт «Центробанка»: регулятор воспитывает банки
Выявить отношение российских кредитно-финансовых организаций к стандарту ЦБ по ИТ-безопасности, а также определить их готовность к реализации его принципов на практике позволяет исследование, проведенное InfoWatch и Банкир.Ру.
26 января 2006 года «Банк России» ввел в действие вторую версию своего стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0–2006). Данный стандарт предъявляет жесткие требования к системе ИТ-безопасности кредитно-финансовых организаций для повышения эффективности управления операционными рисками.
Исследование «Стандарт Центробанка по информационной безопасности 2006: регулятор воспитывает банки», проведенное InfoWatch и Банкир.Ру, позволяет выявить отношение кредитно-финансовых организаций к стандарту ЦБ по ИТ-безопасности, а также готовность к реализации его принципов на практике. В опросе участвовал 51 российский банк (методология и портрет респондентов).
Как показало исследование, российские банки восприняли стандарт Банка России по ИТ-безопасности с большим энтузиазмом: подавляющее большинство респондентов (78 %) поддержали принятие и высказались за его развитие. Более половины всех опрошенных банков (53 %) сообщили, что реализация положений этого нормативного акта в их организации автоматически приведет и к повышению ее конкурентоспособности, а также будет способствовать интеграции в мировую банковскую систему.
Главный недостаток стандарта — его высокая стоимость, особенно для небольших организаций. Существенная часть российских банков (47 %) опасается, что совместимость со стандартом будет стоить слишком дорого, и затраты ресурсов в конечном счете перевесят выгоды. Наиболее серьезные опасения на этот счет испытывают микро-банки (с числом компьютеризированных рабочих мест менее 250).
Главными стимулами российских банков для внедрения стандарта ЦБ является возможность создания эффективной системы ИТ-безопасности (63 %) и управления операционными рисками (55 %), а также улучшение и защита репутации (55 %).
Основной проблемой отечественных банков остается неэффективное управление операционными рисками. Подавляющее большинство (75 %) опрошенных банков указало, что оно недовольно эффективностью существующей системы управления данными рисками.
Подавляющее большинство респондентов (72 %) ожидает трансформации характера стандарта в обязательный для исполнения уже в ближайшие четыре годы. Более того, почти треть всех банков (31 %) уверена, что это произойдет в 2006-2007 годах.
Более половины российских банков (61 %) планируют реализовать стандарт Банка России в своей организации уже в течение ближайших четырех лет. Причем более одной трети респондентов (39 %) собираются это сделать уже в 2006-2007 гг.
Влияние стандарта ЦБ на конкурентоспособность банков
Подавляющее большинство респондентов (78 %) поддерживают инициативу «Центробанка» по стандартизации процессов ИТ-безопасности в кредитно-финансовом секторе. Все они высказались в поддержку стандарта СТО БР ИББС-1.0-2006, принятого в конце января 2006 года. Заметим, что это большинство неоднородно: 43 % опрошенных компаний уверены в том, что отрасли действительно не хватало данного нормативного акта, в то время как чуть меньшая доля респондентов (35 %) остановила свой выбор на варианте «скорее да, чем нет». Тем не менее, можно смело утверждать, что стандарт «Центробанка» по ИТ-безопасности встречен финансовыми кругами с энтузиазмом. Более того, есть надежда, что позитивный заряд подавляющего большинства (78 %) респондентов трансформируется в реальные практические действия по реализации положений стандарта.
По мнению аналитического центра InfoWatch, в России действительно назрела необходимость принятия соответствующего стандарта, возможно, даже в федеральном и межотраслевом масштабе. Аналогичные нормативные акты действуют уже несколько лет в США и Европе, повышая тем самым конкурентоспособность финансовых компаний и всего бизнеса в целом. Более того, интернациональное соглашение BaselII, к которому Россия намерена присоединиться в 2009 году, регулирует среди прочего еще и отношение банков к операционным рискам, львиную долю которых составляют угрозы ИТ-безопасности. Таким образом, российским кредитно-финансовым организациям необходимо было указать, в каком направлении двигаться, чтобы обеспечить эффективное управление операционными рисками и подготовиться к более глубокой интеграции в мировую банковскую систему. Искомой «дорожной картой» как раз и послужил стандарт «Центробанка» по ИТ-безопасности.
Источник: InfoWatch, 2006
Следует отметить, что против нового стандарта «Банка России» высказались 22 %, среди которых 8 % абсолютно уверены в выбранном варианте, а 14 % остановились на ответе «скорее нет, чем да». По мнению экспертов Банкир.Ру, такая точка зрения может мотивироваться убеждением, что реализация положений стандарта СТО БР ИББС-1.0-2006 потребует отвлечения большого количества ресурсов с критических направлений деятельности компании. Другими словами, существенная доля банков (22 %) опасается, что соответствие стандарту будет стоить слишком дорого. Наиболее вероятно появление данной точки зрения среди малых и микро-банков, которые не могут воспользоваться эффектом масштаба при построении эффективной системы управления ИТ-безопасностью. К тому же подобные организации фокусируются на внутрироссийских операциях и не имеют серьезных перспектив для выхода на мировой рынок.
Далее респондентам было предложено сравнить конкурентоспособность организаций, реализовавших положения стандарта СТО БР ИББС-1.0-2006 и не сделавших этого. Большая часть опрошенных (53 %) указала, что совместимые со стандартом «Центробанка» кредитные организации имеют преимущество перед «несовместимыми». В пользу этой точки зрения высказалось на 6 % больше, чем в пользу противоположной. Причем, как и в случае предыдущего вопроса, структура ответов оказалась неоднородной: 22 % абсолютно уверено в своем ответе, а 31 % выбрали вариант «скорее да, чем нет».
Эксперты InfoWatchуказывают на существенное различие в выборе респондентов, когда они говорили обо всем банковском секторе в целом и о своей организации в частности. Так, в первом случае в поддержку стандарта высказались 78 %, что можно считать подавляющим большинством. Однако во втором случае лишь чуть больше половины респондентов (53 %) указали, что соответствие стандарту Центробанка повысит их конкурентоспособность. Налицо ярко выраженный контраст. С одной стороны финансовое сообщество опасается, что стоимость ресурсов, потраченных на реализацию положений стандарта СТО БР ИББС-1.0-2006, перевесит все выгоды, полученные в результате такого проекта. С другой стороны, банки понимают, что стандарт ЦБ позволяет построить эффективную систему управления операционными рисками и, следовательно, повысить конкурентоспособность организации. Таким образом, по мнению аналитического центра InfoWatch, все упирается в «цену вопроса». Причем наибольшую озабоченность в этой связи должны испытывать небольшие банки, опасающиеся, что инвестиции в новые информационные продукты и модернизацию технологических процессов окажутся неподъемными.
Источник: InfoWatch, 2006
47 % респондентов считают, что если их организация обеспечит совместимость со стандартом СТО БР ИББС-1.0-2006, то это не обязательно приведет к повышению ее конкурентоспособности. Абсолютно уверена в своем ответе лишь малая часть респондентов (14 %). Однако более чем в два раза большая доля анкетируемых (33 %) остановилась на варианте «Скорее нет, чем да». Дополнительный анализ ответов действительно позволяет выявить корреляцию между размером организации и опасениями, что реализация положений стандарта по ИТ-безопасности «Банка России» окажется слишком дорогой. Как и в предыдущем вопросе, абсолютно все респонденты (47 %), не увидевшие связи между стандартом «Центробанка» и повышением конкурентоспособности, оказались микро-организациями (с числом компьютеризированных рабочих мест до 250). Таким образом, именно самый малый бизнес сомневается в целесообразности внедрения рекомендаций «Банка России» по ИТ-безопасности на практике.
Чтобы разобраться, какие именно бонусы от реализации положений стандарта банки считают наиболее существенными, респондентам был предложен следующий много вариантный вопрос. Каждый анкетируемый мог указать только три из шести предложенных ему на выбор стимулов.
Источник: InfoWatch, 2006
Наиболее популярными среди респондентов оказались следующие три стимула: эффективная система ИТ-безопасности (63 %), эффективное управление операционными рисками (55 %) и улучшение и защита репутации (55 %). Меньше голосов набрали факторы совместимости с соглашением BaselII (25 %), а также повышения привлекательности в глазах иностранных инвесторов (25 %). Наконец, минимальная доля ответов пришлась на фактор повышения собственной цены при слияниях и поглощениях (4 %).
По мнению аналитического центра InfoWatch, респонденты очень профессионально подошли к ответу на данный вопрос. Так, в тройку лидеров вошли система ИТ-безопасности и операционные риски, а также такой нематериальный фактор, как имидж организации. Заметим, что угрозы ИТ-безопасности, а особенно внутренние атаки (действия инсайдеров), входят в состав операционных рисков. Таким образом, выбрав первые два стимула, банки продублировали важность эффективного управления угрозами ИТ-безопасности. При этом одна из опасностей инсайдерских атак, как известно, состоит именно в косвенных финансовых потерях вследствие испорченной репутации банка. Здесь респонденты снова проявили понимание взаимосвязи межу ИТ-безопасностью (инсайдерами), стандартом «Центробанка» (позволяющим минимизировать риски) и имиджем (который легко может быть испорчен в результате инцидента безопасности).
Таким образом, хотя российские банки действительно не управляют репутационными рисками, они хорошо ориентируются в природе этих угроз, видят, какая опасность исходит от инсайдеров, и понимают, что именно соответствие стандарту СТО БР ИББС-1.0-2006 позволяет минимизировать шансы успешной реализации данных рисков.
Управление операционными рисками в российских банках
Отвечая на предыдущий вопрос, респонденты указали, что одним из основных стимулов к претворению в жизнь стандарта ЦБ по ИТ-безопасности является построение эффективной системы управления операционными рисками. Отсюда возникает вопрос, есть ли такая система в российских банках уже сейчас и каково ее качество. Чтобы прояснить этот момент, респондентам было предложено оценить эффективность уже существующей в их организациях системы управления операционными рисками. Оказалось, что подавляющее большинство банков (75 %) не довольны эффективностью такой системы: каждый пятый респондент (20 %) сообщил, что операционные риски являются вообще не управляемыми, а чуть больше половины анкетируемых (55 %) указали, что управление осуществляется недостаточно эффективно.
Источник: InfoWatch, 2006
Лишь одна четверть респондентов (25 %) оказалась довольна эффективностью имеющейся системы управления операционными рисками. Следовательно, можно с уверенностью утверждать, что данная категория угроз являются самой серьезной проблемой для российских банков. Заметим, что этот вывод полностью согласуется с результатами исследования «Соглашение BaselII в России 2006», так же приведенными в этом обзоре CNewsAnalytics. Таким образом, можно резюмировать, что именно операционные риски сегодня представляют наиболее серьезную проблему для банковского сектора. Причем как раз на разрешение этой ситуации направлен стандарт по ИТ-безопасности «Центробанка».
Стандарт ЦБ: сейчас и в будущем
На сегодняшний день стандарт СТО БР ИББС-1.0-2006 носит рекомендательный характер. Другими словами, его положения применяются на добровольной основе, и никто не обязывает российские банки обеспечивать совместимость с данным нормативным актом. Вместе с тем в первой главе документа авторы указывают: «Настоящий стандарт может быть введен в действие организаций банковской системы РФ в качестве обязательного к исполнению в случае, если такая необходимость существует». Другими словами, учитывая существующие тенденции рынка (в том числе международного) по усилению контроля как со стороны государственных, так и отраслевых регуляторов и бизнес-сообществ, можно предположить, что данный стандарт из разряда «рекомендательный» вскоре будет рассматриваться рынком как «обязательный для исполнения».
Чтобы выявить мнение российских банков относительно трансформации характера стандарта, респондентам было предложено выбрать приблизительные сроки этого события. Как оказалось, подавляющее большинство (72 %) кредитно-финансовых организаций ожидают перехода стандарта из разряда «рекомендательный» в «обязательный» уже в ближайшие четыре года. Причем почти одна треть (31 %) респондентов уверены, что это произойдет в течение 2006-2007 годов, а практически каждый второй (41 %) считает, что этот процесс может растянуться на 2006-2009 годы.
Источник: InfoWatch, 2006
Небольшая группа респондентов (14 %) полагает, что трансформация характера стандарта начнется только с 2010 года. При этом практически каждый седьмой (14 %) участвовавший в опросе банк сомневается, что это произойдет вообще.
По мнению аналитического центра InfoWatch, мнение подавляющего большинства (72 %) относительно четырехлетнего цикла по ужесточению регулирования основывается на приближении даты вступления России в соглашение BaselII. Другими словами, именно ключевой 2009 год рассматривается банками как финишная черта, к которой необходимо успеть обеспечить эффективное управление операционными рисками. Вполне логично стремление «Банка России» трансформировать свой стандарт в обязательный для исполнения как раз к 2009 году, чтобы урегулировать проблему ИТ-безопасности в преддверии соглашения BaselII.
Планы российских банков
Заключительным вопросом исследования респондентам было предложено определиться с планами по реализации положений стандарта ЦБ по ИТ-безопасности в ближайшие годы. Оказалось, что большинство (61 %) российских банков собирается обеспечить совместимость с данным стандартом уже в ближайшие четыре года. Причем 39 % анкетируемых планируют сделать это уже в течение 2006-2007 годов, а 22 % опрошенных в течение 2006-2009 годов. На долгосрочную перспективу (после 2010 года) данный проект отложили лишь 10 % респондентов, однако существенная доля банков (29 %) сообщила, что совместимость со стандартом «Центробанка» вообще не является приоритетной задачей.
Источник: InfoWatch, 2006
По мнению экспертов InfoWatch, в течение ближайших четырех лет действительно существенно возрастет спрос на продукты и услуги по управлению операционными рисками и обеспечению совместимости со стандартом по ИТ-безопасности «Центробанка». Российские кредитно-финансовые организации постараются быть во всеоружии к моменту вступления в силу соглашения BaselII и заранее минимизировать свои расходы на нормативное регулирование. Тем же банкам, которые будут не в состоянии удовлетворить требованиям надзирающего органа, придется уйти со сцены, так как они либо потеряют конкурентоспособность по сравнению с прогрессивными в области операционных рисков организациями, либо будут наказаны регулирующим органом за несоблюдение обязательных правил.
Банковский сектор поддерживает стандарт «Центробанка» по ИТ-безопасности. Подавляющее большинство респондентов (78 %) указали, что отрасли необходим данный стандарт, а более половины всех опрошенных банков (53 %) сообщили, что реализация положений этого нормативного акта в их организации автоматически приведет к повышению ее конкурентоспособности. Тем не менее, существенная часть российских банков (47 %) опасается, что совместимость со стандартом будет стоить слишком дорого и затраты ресурсов в конечном счете перевесят выгоды от внедрения положений данного нормативного акта. Углубленный анализ показал, что серьезные опасения на этот счет испытывают лишь микро-банки (с числом компьютеризированных рабочих мест менее 250). По мнению аналитического центра InfoWatch, части этого сегмента удастся аккумулировать необходимые ресурсы и претворить в жизнь стандарт «Центробанка», но уже в долгосрочной перспективе.
Наиболее существенными стимулами, подталкивающими российские банки к исполнению стандарта ЦБ, являются: возможность построить эффективную систему ИТ-безопасности (63 %) и управления операционными рисками (55 %), а также улучшение и защита репутации (55 %). Таким образом, банковское сообщество отчетливо понимает основные выгоды от внедрения стандарта и ориентируется в природе инсайдерских угроз ИТ-безопасности, которые приводят к потере репутации и осуществлению операционных рисков.
Основной проблемой отечественных банков является неэффективное управление операционными рисками. Подавляющее большинство (75 %) опрошенных банков указало, что оно недовольно эффективностью существующей системы управления данными рисками. Таким образом, подтвердились результаты исследования «Соглашение BaselII в России 2006: операционные риски — основная проблема банков».
Большинство российских кредитно-финансовых организаций (72 %) в краткосрочной перспективе ожидают трансформации рекомендательного характера стандарта «Банка России» в обязательный. Более того, почти одна треть всех банков (31 %) уверена, что это произойдет уже в 2006-2007 годах. Таким образом, у отечественных кредитно-финансовых организаций появляется еще одна причина обеспечить совместимость со стандартом ЦБ по ИТ-безопасности: в ближайшем будущем это, судя по всему, придется сделать всем и каждому.
Более половины российских банков (61 %) планируют реализовать стандарт «Банка России» в своей организации уже в течение ближайших четырех лет. Причем более одной трети респондентов (39 %) собираются это сделать уже в 2006-2007 годах. Таким образом, аналитический центр InfoWatch прогнозирует серьезный рост рынка информационных продуктов и услуг по обеспечению нормативной совместимости и созданию эффективной системы управления операционными рисками. Более того, наибольшие темпы роста данный сегмент рынка достигнет уже в ближайшие два года.
Денис Зенкин / для CNews Analytics
|