Совместный вебинар, подготовленный Ассоциацией российских банков и партнёрами компании iDSystems на тему «Противодействие современным угрозам безопасности. Необходимый минимум», состоялся 16 апреля 2020 года. В мероприятии приняли участие представители ЦБ РФ, АРБ, ООО «ИЦ Региональные системы», «Код безопасности», руководство банков, служб ИБ и ИТ, эксперты и технические специалисты финансовых организаций.
Большинство сотрудников многих банков перешли на удалённый режим работы и, как следствие этого, к целому ряду информационных систем начали подключаться с домашних компьютеров, которые являются абсолютно не контролируемой зоной для сотрудников ИБ организации.
На этом фоне в банках резко возросла нагрузка на подразделения ИБ и ИТ, которые организовывают удалённый доступ всеми возможными и, что важно, не всегда продуманно безопасными способами. Поэтому эксперты вебинара «Противодействие современным угрозам безопасности. Необходимый минимум», прошедшего 16 апреля, сосредоточились не только на устранении сегодняшних угроз, купирующих какие-то точечные проблемы. Они попробовали системно подойти к устранению того факта, что не все банки ответственно и тщательно подходят к реализации множества положений и требований к организации защиты информации.
Вебинар состоял из двух частей. Его вёл исполнительный директор АРБ Валерий Витальевич Шипилов. В начале участники вместе с генеральным директором компании iDSystems Андреем Федорцом обсудили практический подход к реорганизации инфраструктуры обеспечения безопасности и шаги к формированию защищённой среды для совершения финансовых операций.
Михаил Умницын (ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ») рассказал о практическом опыте реализации требований Положения 683-п. Михаил обратил особое внимание на реализацию первоочередных мер данного документа в банках: анализ уязвимостей по требованиям ОУД-4 и проведение оценки соответствия. Он также дал практические рекомендации по реализации остальных требований.
Павел Коростелев из компании «Код Безопасности» говорил о комплексном подходе к практическому выполнению технических мер ГОСТ 57580. Подход включает в себя защиту конечных точек, защиту и сегментацию сетевой инфраструктуры, защиту каналов связи, а также защиту виртуальной инфраструктуры. На вебинаре эксперт рассказал о влиянии продуктов на итоговую оценку соответствия системы защиты информации по ГОСТ 57580.2-2018.
Во второй части вебинара состоялся полезный диалог участников и экспертов с представителем регулятора — первым заместителем директора Департамента информационной безопасности Банка России Артемом Михайловичем Сычевым.
Валерий Шипилов:
-Банк России выпустил огромное количество нормативных требований по информационной безопасности. Полное исполнение этих положений даже в «мирное время» проблематично, а сейчас тем более губительно для бюджетов всех мелких и средних банков. Более того, ЦБ РФ грозит ужесточить проверки по выполнению этих требований. Как вы прокомментируете, Артём Михайлович, эти три позиции?
Артём Сычёв:
– Центральный банк, в связи со сложившейся ситуацией с коронавирусом, выпустил два информационных письма, из которых следует, что, во-первых, введены явные послабления по сбору отчетности и меры воздействия не будут применяться, если в ситуации, когда все фактически перешли на удаленную работу, мы вдруг не получим отчетности по рекомендуемым нам формам. Второе: всем объяснили давно, еще до момента, когда началась пандемия, что проверочных мероприятий в этот период не намечается. Эта позиция была официально опубликована. И в таких условиях о каких еще послаблениях можно говорить?
Остановимся на моменте дороговизны обеспечения информационной безопасности. Коллеги, банковский бизнес сам по себе недешевый, риски, которые возникают при работе с деньгами, тоже требуют внимательного к себе отношения и тоже дорого обходятся. Если банк работу по обеспечению информационной безопасности вёл, то никто не против, что в плановом порядке вы все необходимые мероприятия сможете довести. Я бы говорил сейчас немного о другом. Никто никогда не требовал от банков выполнения РЕАЛЬНОЙ безопасности и того, что написано в документах не только Банка России, но и других органов. Это применительно к средствам криптографической защиты. От этого и появляется такое удивление у банков: «Как же так? Нас начинают настойчиво заставлять выполнять требования!». Но почему-то в банках, где безопасностью занимались должным образом, таких вопросов не возникает. Поэтому, если вы внимательно посмотрите, что написано в тех документах, которые выпущены Центральным Банком за последнее время, то увидите, что там нет ничего, что не соответствовало бы тем угрозам, которые есть в банковской системе сейчас. Если мы говорим про дорогой банковский бизнес, то, соответственно, и защита его должна быть реализована.
Василий Окулесский (Начальник управления безопасности НСПК):
– Как было сказано, банковский бизнес недешевый. Но за свои финансовые риски отвечает сама кредитная организация. И поэтому в выборе каких-то средств банку надо было бы давать больше свободы, потому что он рискует, в конце концов, своими клиентами. И в этом смысле у кредитных организаций должен быть больший выбор.
Артём Сычёв:
– Во-первых, у банков и сейчас есть выбор вариантов реализации существующих требований. Во-вторых, у него есть выбор исходя их той модели деятельности, которую он ведет. И совершенно необязательно реализовывать ту часть вопросов, которые записаны в виде требований только потому, что они определены. Требуются защита только от тех рисков, по которым у банка есть соответствующий бизнес. Если у банка какого-то типа бизнеса нет, соответственно нет и риска. В-третьих, мы постепенно переходим к кибер учениям, где в основе лежит анализ рисков для финансовых организаций и проецирование этих рисков, точнее, возможности банка вовремя выявить, локализовать и ликвидировать последствия от инцидента и реализованного риска на капитал банка. Положение об информационных рисках Центрально Банка вышло, сейчас оно находится на согласовании в Министерстве Юстиции. Следующие шаги — реализация того, что там намечено. Дальше мы посмотрим, насколько в банке готовы своим капиталом отвечать за те проблемы, которые у них возникают.
Василий Окулесский (Начальник управления безопасности НСПК):
– Рискоориентированный подход к выбору базовых мер и альтернативных методов защиты, который банк должен сделать для себя, явно требует доработки.
Артём Сычёв:
Нам, как регулятору, нужно будет перейти от оценки реализации мер к оценке реализации механизмов прогнозирования, выявления, ликвидации последствий и локализации самих инцидентов и как это в дальнейшем отражается на рисках. Это не проверка антивирусом на сервере! Это слом имеющихся практик по проверкам. Это совсем новая задача.
Подробнее с записью вебинара можно ознакомиться по ссылке.
О компании iDSystems:
iDSystems (ООО «Инновейтив Диджитал Системс») специализируется на разработке и распространении на банковском рынке программных продуктов, обеспечивающих обмен документами в электронном виде между организациями финансовой сферы и государственными органами.
По состоянию на январь 2020 года, клиентами компания iDSystems являются более 160 кредитных организаций, из них 53 Банка из рейтинга TOP-100 по величине активов согласно данным ЦБ РФ, что составляет более 30% банков, работающих на Российском финансовом рынке.
iDSystems выступает технологическим партнёром НП НСФР («Национальный Совет Финансового Рынка») в основной деятельности и при проведении пилотных взаимодействий с ведомствами.
Организационно компания iDSystems входит в консорциум iCAM
