|
|
Стандартизация банковской отрасли пока откладываетсяБанковский сектор в нашей стране пока находится на стадии формирования полноценной кредитно-финансовой системы. Одним из основных показателей ее зрелости могло бы стать введение единого стандарта в области информационной безопасности. Большинство банкиров признают его необходимость и преимущества, однако с внедрением пока не торопятся. Банковский сектор России дошел до той ступени своего развития, когда клиентов, кроме величины процентов, интересуют и другие, качественные данные о банках. Например, способность кредитной организации сохранить конфиденциальность информации. В свою очередь надзорные органы стали требовать выполнения федеральных законов о защите персональных данных. Оба эти фактора вполне могут послужить толчком для массового внедрения стандарта ЦБ в России. Однако последнее исследование, проведенное сообществом ABISS и компанией InfoWatch, показало, что сами банкиры, хотя и не отрицают преимуществ принятия стандарта, пока не спешат с его внедрением. В ходе опроса, в котором приняли участие представители 101 российского банка, выяснилось, что с основной мыслью стандарта СТО БР ИББС — 1.0 — 2006 — переходу от принципа традиционного построения систем безопасности к построению систем управления безопасностью — знакомо как минимум 95% респондентов, а 16% банков готовы внедрять его по собственной инициативе. Пик активности по внедрению СТО БР ИББС-1.0–2006 эксперты ожидают в 2007-2009 годах. Именно такие сроки перехода определяет для себя 71% банков. На сегодняшний день стандарт внедрен у 5% финансовых организаций, и в перспективе с 2010 к ним присоединятся еще 4%. 15% банков заявили о том, что не собираются участвовать в этом процессе, однако подобную категоричность можно подвергнуть сомнению. Раз они приняли участие в опросе — значит, интерес к теме у них существует. Очевидно, к этой группе относятся те, кто не ясно представляет себе возможности решения этой задачи. В некоторых случаях неопределенность вызвана "грузом прошлого", ожиданием смены правил игры после очередных выборов парламента или президента страны. Вполне возможно, что после мая 2008 года количество "колеблющихся" и "пока не собирающихся" значительно сократится. Международный опыт на российской почве Предлагаемый ЦБ стандарт носит рекомендательный характер и может применяться только на добровольной основе. В нем объединены основные положения международных стандартов по управлению информационной безопасностью (ИБ). В его основе лежит регламентация описания жизненного цикла ПО и критериев оценки уровня эффективности средств безопасности как от внутренних, так и от внешних угроз. Источниками наибольших рисков ИБ называются действия инсайдеров. Для минимизации рисков утечки данных и обеспечения расследований инцидентов выдвигается ряд требований как организационного, так и технического характера, однако выбор конкретных мер, методов и технических или программных средств обеспечения информационной безопасности остается за собственником. По ряду моментов стандарт является развитием как ISO 27001, так и требований по управлению операционными рисками в соглашении Basel II. Эксперты часто задавали вопрос о целесообразности наличия стандарта ЦБ. Долгое время ответ заключался в том, что его существование — это компромисс между российской реальностью и необходимостью более тесной интеграции в международное банковское сообщество. В последнее время стало очевидно, что «осилить» требования соглашения Basel II сможет лишь весьма узкий круг банкиров. По оценкам экспертов, к 2009 году это число не превысит 10-15 российских банков. Причин здесь две: дороговизна и отсутствие необходимости у подавляющего числа банков выхода на международные рынки. ISO 27001 больше подходит тем организациям, которые имеют зарубежные операции или готовятся к IPO за пределами России. Для российских банков, оперирующих исключительно на территории страны, более целесообразным является выбор в пользу стандарта ЦБ, так как он учитывает российскую отраслевую специфику. Однако правительство "встало насмерть" на защиту национальных интересов в вопросе условий допуска иностранных банков на наш финансовый рынок при возможном вступлении страны в ВТО. Тем самым было признано, что вопрос существования собственной финансово-кредитной сферы является элементом национальной безопасности. А раз так, то главенствовать в вопросах обеспечения ИБ на территории страны должно именно российское законодательство в лице стандартов Центробанка. Госвласть требует прозрачности Банковская система в современной России находится в процессе трансформации от вспомогательной отрасли экономики бывшего СССР к полноценной финансово-кредитной системе, способной к всестороннему обслуживанию быстро растущей экономики страны и к конкурентной борьбе с иностранными банками. Этим объясняется относительная слабость этого вертикального рынка по сравнению со странами Запада и Японией. Хотя суммарные активы всей банковской системы страны выросли за последние пять лет с 30% от ВВП до 45% (на начало 2006 года), они все равно меньше либо сопоставимы с активами любого банка, входящего в мировые Топ 10 (например, Citigroup, J.P.Morgan или ABN Amro). Суммарный же капитал российских банков меньше примерно в 22 и 14 раз, чем в США и Великобритании соответственно. Эти цифры красноречиво объясняют причину политики Центробанка РФ по отношению к наращиванию минимального собственного капитала банков. Усилия правительства страны и ЦБ РФ по укреплению банковской системы набирают обороты. В качестве одного из примеров, можно привести изменение в начале июня 2007 года оценки страновых и отраслевых рисков (BICRA) российской банковской системы и перевод ее в более надежную группу рейтинговым агентством Standard & Poor's (S&P). Однако усилия госвласти не способны решить все проблемы банков. Они должны доказать клиентам, как существующим, так и потенциальным, свою компетенцию и деловую состоятельность, что толкает их на путь внедрения современных стандартов управления, в том числе и ИБ. Кроме того, существует и российская специфика, связанная с созданием "электронного правительства". Ее суть заключается в обеспечении прозрачности деятельности государственных органов, в том числе и Центрального Банка. Это одна из причин, по которой ЦБ много лет выстраивал систему централизованного управления и собственной структурой, и инфраструктурой всего банковского сектора. Конечная цель проекта — достижение прозрачности механизмов принятия тех или иных решений на всех уровнях банковской системы. Но для этого необходимо наличие унифицированной и весьма развитой подсистемы ИБ в отрасли. Если говорить о ЦБ — то он практически справился со своей задачей. Теперь очередь за коммерческими банками, большинство из которых осознает необходимость стандартизации. Причем степень вовлеченности банка в инициативу ЦБ напрямую зависит от его величины. Так, например, в банках с количеством рабочих станций от 251 до 1000 ситуация определяется желанием этих учреждений добровольно влиться в среду, определяемую стандартами Банка России. За счет соответствия стандарту они, вероятно, могут решить ряд вопросов, напрямую касающихся конкурентоспособности. В частности, речь может идти о завоевании доверия физических лиц — одного из самых прибыльных сегментов финансовой системы. Банки с количеством рабочих станций от 1001 до 5000 — это стабильно работающие частные российские банки. Они достаточно давно озаботились своей безопасностью и действуют на этом поле основательно и стабильно. И, наконец, сегмент крупнейших банков сегодня ощущает на себе усиление давления со стороны ЦБ, т.к. именно эти организации являются в отрасли системообразующими, и государство располагает значительными пакетами их акций. К тому же ряд уже проведенных и готовящихся масштабных IPO выводят тему стандартизации в области ИБ на первый план для таких банков. Стандарт ИБ глазами банкиров Несмотря на то, что банкиров, слабо знакомых со стандартом, на сегодняшний день практически нет, очень ощутимая их часть (26%) еще не провела его досконального изучения, а ограничилась знакомством с общими положениями. Очевидно, во многих банках усилия по дальнейшему изучению нюансов стандарта приостанавливается до момента принятия окончательного решения о его внедрении. Основным препятствием на пути стандартизации 49% банков считают отсутствие полной методической информации. На довольно специфическом банковском рынке принято крайне пристально изучать опыт коллег. Но поскольку уже внедривших стандарт банков пока не так много, остальным приходится искать дополнительные сведения. Банкиров в первую очередь интересуют сами аспекты — с чего начать, к кому обратиться, как строить отношения с консультантами, какие продукты выбрать и так далее. Другими сдерживающими факторами среди представителей банков считаются дороговизна процедуры — на нее "жалуются" 40%, отсутствие экономических стимулов (31%) и, как следствие, незаинтересованность высшего руководства в этом процессе (27%). Упомянутая ранее группа "колеблющихся банков" составляет здесь 17% от общего числа. В условиях пока не обязательного характера стандарта ее представители беспокоятся о том, не изменится ли в будущем политика надзорного органа. Ведь в этом случае они могут потерять инвестиции. Банки зовут на помощь Любой стандарт делает банк более прозрачным для взаимодействующих с ним контрагентов, так как становятся доступными данные о том, в какой степени организация соответствует определенным нормативным требованиям. Чем могут помочь государство и представители ИТ-сообщества в вопросе перехода банковского сектора на единый стандарт? Наибольшие сложности возникают с методической частью проблемы. В связи с нехваткой примеров внедрения необходима разработка пакета документов, более детально отражающих все тонкости и нюансы процессного подхода к управлению безопасностью. Это скорее задача ЦБ РФ. Что касается предложений банков к консультантам и внедренческим компаниям, то это возможность показа "в деле" ИТ-продуктов, которые могут поддержать технологическую часть управления ИБ. Кроме того, очень важно научить банки оценивать и управлять совокупной стоимостью владения этими системами, так как вопрос экономической целесообразности — не самый последний из списка актуальных. Решение этих трех перечисленных задач и должно стать ключом к переходу российских банков на единый стандарт в области ИБ. Алексей Доля |