Д. БИРЮКОВ: «От наличия стратегии ИБ зависит эффективность инвестиций кредитных организаций в обеспечение защиты собственных информационных активов. При ее отсутствия кроме того самые масштабные вложения могут быть неоправданными».
На данный момент отмечается заметное ухудшение последовательности неприятностей в банковском секторе, вызванное не сильный инвестиционным климатом, ростом просроченной задолженности, рисками невозврата кредитов и т.п. Указанные события побуждают топ-менеджеров актуализировать стратегии развития главных и запасных направлений собственного бизнеса.
Наряду с этим повышения уровня и актуальные вопросы обеспечения информационной безопасности банка в них не рассматриваются. Высшее управление кредитных организаций обычно не поймёт важности обеспечения ИБ для успешного развития собственного бизнеса и, как следствие, не выделяет соответствующих ресурсов.
О рисках для того чтобы пути и о том, как сохранить уже инвестированные в ИБ и повысить ее эффективность, расказал журналистам NBJ начальник консалтинга и практики аудита ИБ компании «Астерос Информационная безопасность» Дмитрий БИРЮКОВ.
NBJ: Вы трудитесь на рынке информационной безопасности более 15 лет. Как за это время изменились требования банков к ИБ и в целом их подходы к ответу аналогичных задач? Поделитесь, прошу вас, Вашими наблюдениями.
Д. БИРЮКОВ: Важнейшим, на мой взор, стал выход комплекса стандартов СТО БР ИББС. Первая версия основополагающего документа СТО БР ИББС-1.0 показалась в 2004 году, она собрала воедино все требования Банка ряда и России зарубежных стандартов по обеспечению информационной безопасности.
Непременно, они является рекомендацией, однако большинство кредитно-денежных организаций у нас забрали СТО БР ИББС-1.0 на вооружение и руководствуются его положениями.
За эти годы кроме этого без шуток изменились требования национальных регуляторов (ФСТЭК России и ФСБ России) в сфере защиты информации.
Еще более актуальной задачей для управления кредитно-денежных организаций есть поиск действенных механизмов реализации главных положений стандарта «Базель III», ужесточающего требования к капиталу банков и управлению рисками. В этом контексте принципиально важно донести до сведения управления, что реализация и разработка соответствующей стратегии ИБ окажут очень значительное влияние на управления и результаты оценки операционными, правовыми и репутационными рисками.
Так будет получен ответ на самые острые для работы ИБ вопросы: куда уходят деньги, каковы сроки окупаемости тех либо иных ответов в сфере ИБ и как действенными и нужными для кредитных организаций являются эти решения?
NBJ: Имеется устойчивое убеждение, что большие игроки сектора разрабатывают стратегии ИБ, рассчитанные на три-пять лет, а маленькие и средние банки живут по принципу «от года к году». Как справедливо, с Вашей точки зрения, это умозаключение?
Д. БИРЮКОВ: Различия в подходах к обеспечению ИБ между большими и маленькими игроками, само собой разумеется, имеется. Это обусловлено многими факторами: у них различные ресурсные возможности, масштаб территориально распределенной филиальной сети, уровень зрелости бизнеса.
В маленьких банках до сих пор отмечается такое явление, как сочетание разных компетенций – к примеру, на работу автоматизации возможно возложена и задача обеспечения ИБ либо работа ИБ формируется по остаточному принципу и, в большинстве случаев, складывается из одного-двух сотрудников.
Но направляться осознавать, что требования, каковые выдвигаются национальными регуляторами, однообразны для всех игроков банковского рынка. Исходя из этого помощь управления, грамотное стратегическое планирование, оптимальное распределение денежных и людских ресурсов являются главными факторами успеха в ответе задач по обеспечению информационной безопасности независимо от масштаба деятельности компании.
ИБ-лекторий — Андрей Прозоров (Solar Security): Карьера в информационной безопасности
