На этой неделе на общественное
обсуждение был вывешен проект документа Банка России «Управление риском
нарушения информационной безопасности на аутсорсинге», в котором ЦБ указывает на
риски для информационной безопасности банка от привлечения аутсорсеров и выдвигает требования по их минимизации. Риски
от привлечения сторонних организаций, указывает регулятор, в том, что можно
выбрать поставщика, не обладающего нужными знаниями или ресурсами, а также в
том, что сам банк может слабо контролировать его действия. Результатом
некачественной работы таких компаний может стать появление уязвимости в системе
информзащиты банка и даже хищения средств кредитной
организации. Стандарт вступит в силу уже с 1 января 2018 года.
Для снижения рисков в этой сфере
ЦБ требует от банков разработать политику взаимодействия с аутсорсером, то есть четко определить перечень услуг
сторонней компании и список функций, которые осуществляет сам банк. Документ
следует утвердить на совете директоров. Также необходимо четко разделить и
обозначить сферы ответственности банка и компании-аутсорсера. При передаче существенных функций ЦБ требует от
банков проводить периодический мониторинг возможности реализации риска нарушения
информбезопасности (на основании собственной оценки
или привлеченной консалтинговой компании), а также степень тяжести последствий
от реализации риска нарушения информбезопасности
(которая напрямую зависит от сумм операций по переводу денег, остатков на
корсчетах и т. д.). Банкам, признанным ЦБ системно значимыми (сейчас их 11),
регулятор рекомендует о планах передачи определенных функций на аутсорсинг
заблаговременно ставить в известность FinCert.
Повышенное внимание ЦБ к этому
вопросу закономерно, признают участники рынка, однако видят определенные риски
выполнения данных требований. «Стандарт подразумевает разработку банком большого
массива новых документов, которых в большинстве использующих услуги аутсорсеров банков до сих пор не было»,— отмечает эксперт RTM Group
Евгений Царев. С ним солидарен и заместитель гендиректора по сервису «Информзащиты» Максим Темнов. «На
рынке сейчас есть небольшие банки, где информбезопасностью занимаются всего один-два человека, и
они просто не в состоянии проделать тот громадный объем работы, что требует ЦБ
для приглашения экспертов на аутсорсинг и для мониторинга выполнения им своей
работы качественно»,— указывает он. Хотя в целом риски
действительно реальны, признают эксперты. «Нередко бывает, что источником атаки
на банк является некий интегратор, который имеет прямой доступ к среде
разработки в банке, а иногда и доступ к “боевым серверам”»,— отмечает заместитель руководителя лаборатории
компьютерной криминалистики компании Group-IB Сергей
Никитин.
Сами кредитные организации
восприняли документ довольно сдержанно. «По логике стандарт должен исключить
возможность привлечения на аутсорсинг фирм типа “Рога и копыта” с низкими ценами
и таким же качеством услуг,— отмечает руководитель
службы информбезопасности банка из топ-30.— Но
стандарт не исключает подобный риск». Да и в целом нужен ли аутсорсинг в сфере
информбезопасности при таких требованиях регулятора —
большой вопрос, рассуждают банкиры. «В перспективе стоимость аутсорсинга может
быть сопоставима по расходам с содержанием собственной службы информбезопасности»,— отмечает
глава управления информбезопасности ОТП-банка Сергей
Чернокозинский.
Коммерсантъ
14.09.2017