|
|
Обозрение подготовлено
В последнее время стало очевидно, что «осилить» требования соглашения Basel II сможет лишь весьма узкий круг российских банкиров. Причин здесь две: дороговизна и отсутствие необходимости у подавляющего числа банков выхода на международные рынки. А для тех, кто оперирует исключительно на территории страны, становится очевидным выбор в пользу Стандарта ЦБ. Тем более что именно регулирование Центробанка должно главенствовать в вопросах обеспечения ИБ на территории страны.
Прошел год после окончания исследования «Стандарт Центробанка по информационной безопасности 2006: регулятор воспитывает банки». Это был первый в России проект, призванный оценить уровень желания и степень готовности банков к внедрению Стандарта Банка России по информационной безопасности (СТО БР ИББС-1.0-2006).
Напомним, Стандарт носит рекомендательный характер и может применяться только на добровольной основе. В нем объединены основные положения международных стандартов по управлению информационной безопасностью (ИБ). В его основе лежит регламентация описания жизненного цикла ПО и критериев оценки уровня эффективности средств безопасности, как от внутренних, так и от внешних угроз.
Источниками наибольших рисков ИБ признаны действия инсайдеров. Для минимизации рисков утечки данных и обеспечения расследований инцидентов стандарт выдвигает ряд требования как организационного, так и технического характера. Однако, учитывая риск-ориентированный подход, используемый в стандарте, выбор конкретных мер, методов и технических или программных средств обеспечения информационной безопасности остается за собственником.
По ряду моментов Стандарт является развитием как ISO 27001, так и требований по управлению операционными рисками в Соглашении Basel II. Эксперты часто задавали вопрос о целесообразности наличия стандарта ЦБ. Долгое время ответ заключался в том, что его существование — это компромисс между российской реальностью и необходимостью более тесной интеграции в международное банковское сообщество.
В последнее время стало очевидно, что «осилить» требования соглашения Basel II сможет лишь весьма узкий круг банкиров. По оценкам аналитического центра InfoWatch, к 2009 году это число не превысит 10-15 российских банков. Причин здесь две: дороговизна и отсутствие необходимости у подавляющего числа банков выхода на международные рынки. А для российских банков, оперирующих исключительно на территории страны выбор в пользу Стандарта ЦБ становится очевидным. Только он учитывает российскую отраслевую специфику, а ISO 27001 больше подходит тем организациям, которые имеют зарубежные операции или готовящимся к IPO за пределами страны.
Но, как известно, правительство «встало насмерть» на защиту национальных интересов в вопросе условий допуска иностранных банков на наш финансовый рынок при возможном вступлении страны в ВТО. Тем самым было признано, что вопрос существования собственной финансово-кредитной сферы является элементом национальной безопасности. А раз так, то главенствовать в вопросах обеспечения ИБ на территории страны должно именно российское законодательство в лице стандартов Центробанка.
Исследование проводилось в период с 12.03.2007 по 11.06.2007 совместно Сообществом ABISS и компанией InfoWatch. Цель — выяснить отношение банков к проблемам развития и продвижения стандартов, положений и методических указаний ЦБ РФ, регламентирующих вопросы ИБ организаций кредитно-финансовой системы. Предложенную анкету из семи вопросов заполнили представители 101 банка.
Число рабочих станций
Источник: InfoWatch, ABISS 2007
По сравнению с количеством банков, принявших участие в прошлогоднем исследовании компании InfoWatch «Стандарт Центробанка по информационной безопасности 2006: регулятор воспитывает банки» (51), нынешнее их количество выросло почти в два раза. Это говорит, во-первых, об увеличении интереса к тематике, а во-вторых, о признании банками деятельности ABISS (необходимо отметить, что эта ассоциация, выступив в этом году соавтором исследования, только одним этим фактом существенно повысила активность респондентов).
Как и в прошлом году, в качестве основного критерия для сегментации банков, был выбран принцип разделения по количеству рабочих станций. По мнению аналитического центра InfoWatch, именно количество служащих, имеющих доступ к вычислительным ресурсам, является мерилом уровня внутренних рисков в банке, поскольку однозначные зависимости этих рисков от величины активов или прибыльности выявить не удалось.
Масштаб деятельности
Источник: InfoWatch, ABISS 2007
Кроме того, методика была расширена за счет введения и учета сегментации кредитно-финансовых организаций по величине территориального масштаба бизнеса. Сделано это было по трем причинам. Во-первых, уровень рисков ИБ резко повышается при территориально — распределенной структуре организации. Во-вторых, при наличии международного бизнеса вероятность сертификации по тому или иному стандарту безопасности становится близкой к единице. И, наконец, банк из российской «глубинки» редко может похвастаться наличием резервов для столь значительных инвестиций в противоположность желанию соответствовать требованиям стандарта.
Усилия Правительства страны и ЦБ РФ по укреплению банковской системы набирают обороты. В качестве одного из примеров можно привести изменение в начале июня 2007 года оценки страновых и отраслевых рисков (BICRA) российской банковской системы и перевод ее в более надежную группу Рейтинговым агентством Standard & Poor's (S&P). При этом Стандарт Банка России определенным образом оказал положительное влияние на снижение уровня рисков в банковском секторе, т.к. стандарт направлен на улучшение управления кредитной организации в целом.
Оказалось, что с основной мыслью Стандарта СТО БР ИББС — 1.0 — 2006 — переходу от принципа традиционного построения систем безопасности к построению систем управления безопасностью — знакомо, как минимум, 95% опрошенных. Любой стандарт делает банк более прозрачным для взаимодействующих с ним контрагентов, так как становятся доступными данные о том, в какой степени организация соответствует определенным нормативным требованиям. Это повышает лояльность всех участников финансовых взаимоотношений друг к другу, что в условиях еще не полностью сформировавшегося этого сектора российской экономики положительно сказывается на стабильности бизнеса и его рыночной стоимости. Опрос показал, что 81% респондентов это прекрасно понимают. Как следствие, выяснилось, что значительная часть (16%) банков готова по собственной инициативе к внедрению Стандарта ЦБ.
В последнее время в качестве контрагентов кредитных организация все чаще выступают физические лица. Это связано, в том числе и с тем, что растет доверие к отечественным банкам со стороны населения. Соответственно, налицо усиливающаяся конкуренция на розничном сегменте рынке. А одним из маркетинговых рычагов может стать внедрение Стандарта ЦБ.
19% опрошенных банков работают за пределами страны и признают, что границы бизнеса постепенно размываются вслед за стиранием экономических границ между различными государствами. Интернациональный бизнес и международная специализация — уже объективная реальность. А раз так, то приходится учитывать международные требования, как к методам ведения бизнеса, так и к способам защиты данных. Внедрение Стандарта ЦБ — один из путей интеграции в эту реальность.
Банковская система в современной России находится в процессе трансформации от вспомогательной отрасли экономики бывшего СССР к полноценной финансово-кредитной системе, способной к всестороннему обслуживанию быстро растущей экономики страны и к конкурентной борьбе с иностранными банками. Этим объясняется относительная слабость этого вертикального рынка по сравнению со странами Запада и Японией. Хотя суммарные активы всей банковской системы страны выросли за последние пять лет с 30% от ВВП до 45% (на начало 2006 года), они все равно меньше либо сопоставимы с активами любого банка, входящего в мировые Топ 10 (например, Citigroup, J.P.Morgan или ABN Amro). Суммарный же капитал российских банков меньше примерно в 22 и 14 раз, чем в США и Великобритании соответственно. Эти цифры красноречиво объясняют причину политики Центробанка РФ по отношению к наращиванию минимального собственного капитала банков.
Но это еще не все проблемы в отрасли. Банки должны доказать клиентам, как существующим, так и потенциальным свою компетенцию и деловую состоятельность. Путь здесь один - внедрение современных стандартов управления, в том числе и ИБ. Кроме того, существует и российская специфика, связанная с созданием «электронного правительства». Ее суть заключается в обеспечении прозрачной деятельности государственных органов, в том числе и Центрального Банка. Это одна из причин, по которой ЦБ много лет выстраивал систему централизованного управления, как собственной структурой, так и инфраструктурой всего банковского сектора. Конечная цель проекта - достижение прозрачности механизмов принятия тех или иных решений на всех уровнях банковской системы. Но для этого абсолютно необходимо наличие унифицированной и весьма развитой подсистемы ИБ в отрасли. Если говорить о ЦБ — то он практически справился со своей задачей. Теперь очередь за коммерческими банками. И не вызывает сомнений предположение, что те, кто будут тянуть с внедрением Стандартов ЦБ, рискуют оказаться на обочине рынка.
В связи с этим интересно проследить динамику интереса банков к участию в наших исследованиях. Особый интерес представляют изменения в долях банков (по количеству рабочих станций) и причины, побуждающие банки из разных сегментов, изучать и применять требования Стандарта ЦБ.
Динамика долей банков с разбивкой по количеству рабочих станций в исследованиях 2006 и 2007 гг.
Источник: InfoWatch, ABISS 2007
При увеличении величины выборки в этом году, уменьшилась доля мини-банков с количеством ПК до 250, не изменилась доля сегмента 1001-5000 ПК, и произошел резкий рост в сегментах 251-1000 и более 5000. Какие из этого можно сделать выводы?
По данным Центрального банка РФ количество кредитных организаций, действовавших на 1 января 2005 года (1299), сократилось на начало 2006 года до 1253, а к 1 апреля 2007 их число составило 1134. Как правило, эта участь постигла небольшие банки, лицензии у которых были отозваны за нарушение законодательства и недостаточность нормы капитализации. Можно сказать, что это уже тенденция последних лет, направленная на оздоровление рынка, на котором малые банки имеют очень мало перспектив для развития бизнеса. Они могут быть конкурентоспособны лишь в регионах с низким уровнем развития финансовой инфраструктуры. Поэтому интерес к вопросам принятия обсуждаемого стандарта с их стороны снижается — зачастую вопрос стоит о выживании на рынке.
В сегменте 251-1000 ситуация определяется желанием этих учреждений добровольно влиться в среду, определяемую стандартами Банка Росии. За счет соответствия стандарту ЦБ они, вероятно, могут решить ряд вопросов, напрямую касающихся конкурентоспособности. В частности речь может идти о завоевании доверия физических лиц — одного из самых прибыльных сегментов финансовой системы.
Сегмент 1001-5000 — это стабильно работающие частные российские банки. Они достаточно давно озаботились своей безопасностью и действуют на этом поле основательно и стабильно.
И, наконец, сегмент крупнейших банков, оказался чемпионом по темпам роста числа участников, принявшим участие в обзоре. Это объясняется усилением давления со стороны ЦБ на системообразующие банки, где у государства находятся значительные пакеты акций. Плюс к этому, ряд уже проведенных и готовящихся масштабных IPO выводят тему стандартизации в области ИБ на первый план.
Не смотря на общепринятое мнение, что в России недостаточно высоко знание и уважение к разного рода законам, в том числе и стандартам, уровень знакомства респондентов с содержанием рассматриваемого стандарта ЦБ велико.
Уровень знаний положений стандарта ЦБ по ИТ-безопасности
Источник: InfoWatch, ABISS 2007
По данным опроса, банкиров, слабо знакомых со Стандартом практически не нашлось. Львиная доля респондентов (95%) ответила, что находится в промежутке между доскональным знанием его положений и «читал и обсуждал с коллегами». Хотя, конечно, обращает на себя внимание доля высказавшихся за последний тезис - 26%. Очевидно, что во многих банках усилия по дальнейшему изучению положений Стандарта приостанавливается до момента принятия окончательного решения об его внедрении.
Планы внедрения стандарта ЦБ по ИТ-безопасности
Источник: InfoWatch, ABISS 2007
Пик активности по внедрению СТО БР ИББС-1.0—2006 следует ожидать в 2007-2009 годах. Именно в этот период будут готовы заявить о своем соответствии, как минимум 71% ответивших на вопрос о предполагаемых сроках работ. Уже внедрен стандарт у 5% финансовых организаций и в перспективе с 2010 к ним присоединятся еще 4%. 15% банков заявили о том, что не собираются участвовать в этом процессе. Что это за банки? Раз они участвуют в этом вопросе — значит, интерес к теме у них существует. Очевидно, речь идет о тех, кто не ясно представляет себе возможности решения этой задачи. По словам представителя одного из банков, неопределенность в его организации вызвана «грузом прошлого» - ожиданием смены правил игры после очередных выборов Парламента или Президента страны. Большой труд специалистов ЦБ и внушительные затраты коммерческих банков по внедрению стандарта ясно подчеркивают комплиментарность Стандарта и ISO: организациям, успешно прошедшим сертификацию по первому, будет совсем несложно получить и второй. Но, несмотря на это, некоторые банки все же будут ждать выборов. Очевидно, что после мая 2008 года количество «колеблющихся» и «пока не собирающихся» значительно сократится.
Препядствия на пути внедрения стандарта*
Источник: InfoWatch, ABISS 2007
Что же еще мешает банкам окончательно определиться в своем решении о начале внедрения Стандарта? 49% респондентов на этот вопрос ответили, что до сих пор не полностью обладают методической информацией. На довольно специфическом банковском рынке принято чуть ли не под микроскопом рассматривать опыт коллег. Но, поскольку, уже внедривших стандарт банков еще не так уж и много, остальным приходится искать дополнительной информации. Что интересует людей: сами аспекты — с чего начать, к кому обратиться, как строить отношения с консультантами, какие продукты выбрать и так далее. Вопросов на эту тему так много, что около 27% так и не смогли однозначно их сформулировать и оказались в категории «другое». Среди тех, кому всё более-менее понятно, очень много тех, кто сетует на дороговизну процедуры (40%), отсутствие экономических стимулов (31%) и, как следствие, незаинтересованность высшего руководства в этом процессе (27%). Описанная ранее группа «колеблющихся банков» оказалась представлена и здесь (17%, в предыдущем вопросе их доля составила 15%). В условиях пока необязательного характера Стандарта ее представители беспокоятся о том «не изменится ли в будущем политика надзорного органа?». Ведь в этом случае они могут потерять инвестиции, «поставив не на ту лошадь».
Способствует ли внедрение стандарта повышению эффективности деятельности банка?
Источник: InfoWatch, ABISS 2007
Весьма единодушное мнение выразили банкиры в ответе на вопрос о «связи внедрения Стандарта и повышения эффективности деятельности организации». О прямой зависимости в сумме высказалось (81%) респондентов, против 5%, при воздержавшихся 14%. Кардинально мнения разошлись только в вопросе о величине эффективности. 34% набрал ответ «да, очень способствует» против 47% с ответом «способствует, но не очень». В аналитическом центре InfoWatch это связывают с несколькими причинами. Во-первых, банков, успевших внедрить этот стандарт еще мало. Поэтому все эти расчеты носят теоретический характер, основанный на видении вопроса специалистами ИБ и ИТ, так как в 30% случаев высший менеджмент не хочет сам этим заниматься.
Во-вторых, характер взаимосвязи между повышением эффективности деятельности и фактом внедрения может проявиться в том случае, когда банк рассматривает Стандарт не только как способ избежать давления ЦБ, но и как маркетинговый инструмент. Ведь с его помощью появляется возможность привлечь дополнительное количество новых клиентов, показав им, что они защищены в соответствии с требованиями, которые выдвигает ЦБ. Если банк, ориентирован на обслуживание всего нескольких ключевых клиентов, то, понятно, что эффективность будет гораздо ниже, чем у розничного банка.
В-третьих, для части крупных кредитных организаций этот Стандарт научит финансистов приемам управления операционными рисками и станет переходным этапом к присоединению к Соглашению Basel II. А ведь даже солидные международные банки видят в нем не столько средство повышения экономической эффективности, сколько механизм управления рисками и соответствия жестким международным стандартам в этой сфере.
И, наконец, для некоторого количества банков соответствие стандарту в большей степени нужно лишь для повышения своей рыночной стоимости и привлекательности в процессе предпродажной подготовки.
Как облегчить банкам внедрение стандарта?*
Источник: InfoWatch, ABISS 2007
Что нужно сделать, чтобы Стандарт ЦБ стал доступнее? На этот вопрос респонденты предлагают целый набор методов для облегчения процесса внедрения. Наибольший спрос существует на услуги по разработке типовых форм документов (Политик безопасности, Регламентов и т.д.) Второй по величине (78%) блок предложений связан с разъяснением и уточнением ряда положений Стандарта. По форме подачи информации наиболее удачными оказались «семинары» (38%) и обмен опытом с организациями, реально внедрившими стандарт (48%). Примечательно, что 2%-м ответившим оказалось ничего не нужно, кроме времени и денег. В комментариях к этому вопросу респондентами часто упоминалась положительная роль деятельности ABISS. Это сообщество, объединяющее как банки, так и представителей других организаций, проводит огромную просветительскую и пропагандистскую работу.
Банковский сектор России дошел до той ступени своего развития, когда клиентов кроме величины процентов стали интересовать и другие, качественные данные о банках. Например, способность кредитной организации сохранить конфиденциальность информации. В свою очередь надзорные органы стали требовать выполнения федеральных законов о защите персональных данных. То, что это вопрос не праздный, доказывает исследование «Внутренние ИТ-угрозы в России 2006» компании InfoWatch. В его рамках было опрошены более 300 российских банков. Выяснилось, что 44% респондентов в 2006 году допустили минимум одну утечку конфиденциальной информации. Более того, 22% банков допустили более 5 таких утечек. Основной проблемой отечественных банков остается неэффективное управление операционными рисками. Подавляющее большинство (75%) опрошенных банков указало, что оно недовольно эффективностью существующей системы управления данными видами рисков. Таким образом, подтвердились основные результаты исследования «Соглашение Basel II в России 2006: операционные риски — основная проблема банков». Можно смело утверждать, что условия для внедрения Стандарта ЦБ в России созрели. Вопрос теперь нужно ставить не в плане «внедрять или не внедрять?», а «что для этого нужно и как это сделать?». Чем могут помочь государство и представители ИТ-сообщества в этом вопросе? Как показало исследование, наибольшие сложности возникают с методической частью проблемы. В связи с нехваткой примеров внедрения, необходима разработка пакета документов, более детально отражающих все тонкости и нюансы процессного подхода к управлению безопасностью. Это скорее, задача ЦБ РФ. Что касается предложений банков к консультантам и внедренческим компаниям, то это возможность показа «в деле» ИТ-продуктов, которые могут поддержать технологическую часть управления ИБ. Кроме того, очень важно научить банки оценивать и управлять совокупной стоимостью владения этими системами, так как вопрос экономической целесообразности — не самый последний из списка актуальных. По мнению аналитического центра InfoWatch, до выхода Стандарта ЦБ многие банки тратили время и деньги на создание системы ИБ, не удовлетворяющей современным требованиям. Другими словами, вектор развития всей индустрии был направлен немного в сторону: консультанты видели свою задачу одним образом, поставщики решений — совсем другим. Сегодня Стандарт ЦБ позволяет всем идти в одном и том же направлении, формируя картину мира поставщиков, консультантов и самих банков.
Денис Зенкин