«СёрчИнформ»: Новые директивы инфобезопасности «толковые» банки и так выполняют, формалистов они не исправят

06.06.2019 |
С 1 июня вступило в силу Положение Центробанка № 683-П (за исключением нескольких требований, которые начнут действовать в 2020 и 2021 году), в котором описаны обязательные требования к защите IT-систем и приложений.

Суть защиты сводится к регулярному аудиту этих самых систем и приложений, которые банки используют при открытии вкладов, выдаче кредитов, оформлении и ведении счетов физических и юридических лиц.

В частности, документ обязывает банки один раз в год проводить анализ уязвимостей в ПО с привлечением лицензированных аудиторов по технической защите конфиденциальной информации. И один раз в два года – оценивать соответствие уровня защиты информации требованиям ГОСТа.

У банков уже есть кипа международных, федеральных и отраслевых документов с обязательными требованиями к защите данных. Поэтому банковский сектор в целом лучше других отраслей защищен от киберрисков и инсайдерских угроз. Однако, как показывает свежее исследование, 54% банков уязвимы к хищению клиентских денег. Сразу отмечу, эта цифра связана с правилами игры на рынке, а не с тем, что банки не могут выстроить надежную защиту. Им нужно быстрее запустить услугу или новый продукт – и вопрос безопасности отходит на второй план.

Возможно именно поэтому к длинному набору требований добавилось еще одно – привлекать на аудит внешних подрядчиков. Все логично, аудитор со стороны оценит ситуацию непредвзято, и это пойдет компании на пользу. Но толковые банки итак привлекают внешние команды для оценки уязвимостей и поиска проблемных мест в цифровой защите. То есть те банки, которые действительно беспокоятся об уровне ИБ и своей репутации, уже выполняют требования Центробанка без дополнительных распоряжений.

А вот для банков или их отдельных подразделений, которые подходят к вопросу безопасности формально, документ ЦБ лазейку не закрывает. Положение не дает никаких четких требований к методикам проверки, и по факту банк может выбрать ту компанию, которая обеспечит требуемый от нее результат.

По этой причине положение ЦБ выглядит здравым, но недостаточно директивным. Оно вводит новый процесс, описывает его цель и желаемый результат, а как этот результат должен быть получен – не сообщает. Это создает поле для разночтений. Поэтому важно не погубить хорошую идею посредственной реализацией.

Автор – руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев

Свежее по теме

Гарда первой из российских разработчиков сертифицировала систему для создания ложной инфраструктуры во ФСТЭК
Гарда первой из российских разработчиков сертифицировала систему для создания ложной инфраструктуры во ФСТЭК
Компания «Актив»: 30 лет на рынке кибербезопасности
Компания «Актив»: 30 лет на рынке кибербезопасности

Тематики: Безопасность

Ключевые слова: информационная безопасность, СёрчИнформ