ЦБ ви­дит риск на сто­роне

Ре­гу­ля­тор уже­сто­ча­ет тре­бо­ва­ния к ки­бер­без­опас­но­сти

Kommersant - - ПЕРВАЯ СТРАНИЦА - Ве­ро­ни­ка Го­ря­че­ва

Банк Рос­сии раз­ра­бо­тал новые тре­бо­ва­ния к ин­форм­без­опас­но­сти, со­блю­дая ко­то­рые бан­ки долж­ны ми­ни­ми­зи­ро­вать рис­ки ки­бе­ру­гроз. Речь идет о при­вле­че­нии бан­ка­ми для ре­а­ли­за­ции этих функ­ций сто­рон­них ком­па­ний. Но да­ле­ко не все бан­ки смо­гут вы­пол­нить тре­бо­ва­ния ре­гу­ля­то­ра по ни­ве­ли­ро­ва­нию рис­ков. И в то же вре­мя стандарт не ис­клю­ча­ет пол­но­стью при­вле­че­ния недобросовестных иг­ро­ков на аут­сор­синг, пре­ду­пре­жда­ют экс­пер­ты.

На этой неде­ле на об­ще­ствен­ное об­суж­де­ние был вы­ве­шен про­ект до­ку­мен­та Бан­ка Рос­сии «Управ­ле­ние риском на­ру­ше­ния ин­фор­ма­ци­он­ной без­опас­но­сти на аут­сор­син­ге», в ко­то­ром ЦБ ука­зы­ва­ет на рис­ки для ин­фор­ма­ци­он­ной без­опас­но­сти бан­ка от при­вле­че­ния аут­сор­се­ров и вы­дви­га­ет тре­бо­ва­ния по их ми­ни­ми­за­ции. Рис­ки от при­вле­че­ния сто­рон­них ор­га­ни­за­ций, ука­зы­ва­ет ре­гу­ля­тор, в том, что мож­но вы­брать по­став­щи­ка, не об­ла­да­ю­ще­го нуж­ны­ми зна­ни­я­ми или ре­сур­са­ми, а так­же в том, что сам банк мо­жет сла­бо кон­тро­ли­ро­вать его дей­ствия. Ре­зуль­та­том некачественной ра­бо­ты та­ких ком­па­ний мо­жет стать по­яв­ле­ние уяз­ви­мо­сти в си­сте­ме ин­форм­за­щи­ты бан­ка и да­же хи­ще­ния средств кре­дит­ной ор­га­ни­за­ции. Стандарт всту­пит в си­лу уже с 1 ян­ва­ря 2018 го­да.

Для сни­же­ния рис­ков в этой сфе­ре ЦБ тре­бу­ет от бан­ков раз­ра­бо­тать по­ли- ти­ку вза­и­мо­дей­ствия с аут­сор­се­ром, то есть чет­ко опре­де­лить пе­ре­чень услуг сто­рон­ней ком­па­нии и спи­сок функ­ций, ко­то­рые осу­ществ­ля­ет сам банк. До­ку­мент сле­ду­ет утвер­дить на со­ве­те ди­рек­то­ров. Так­же необ­хо­ди­мо чет­ко раз­де­лить и обо­зна­чить сфе­ры от­вет­ствен­но­сти бан­ка и ком­па­нии-аут­сор­се­ра. При пе­ре­да­че су­ще­ствен­ных функ­ций ЦБ тре­бу­ет от бан­ков про­во­дить пе­ри­о­ди­че­ский мо­ни­то­ринг воз­мож­но­сти ре­а­ли­за­ции рис­ка на­ру­ше­ния ин­форм­без­опас­но­сти (на ос­но­ва­нии соб­ствен­ной оцен­ки или при­вле­чен­ной консалтинговой ком­па­нии), а так­же сте­пень тя­же­сти по­след­ствий от ре­а­ли­за­ции рис­ка на­ру­ше­ния ин­форм­без­опас­но­сти (ко­то­рая на­пря­мую за­ви­сит от сумм опе­ра­ций по пе­ре­во­ду денег, остат­ков на кор­с­че­тах и т. д.). Бан­кам, при­знан­ным ЦБ си­стем­но зна­чи­мы­ми (сей­час их 11), ре­гу­ля­тор ре­ко­мен­ду­ет о пла­нах пе­ре­да­чи опре­де­лен­ных функ­ций на аут­сор­синг за­бла­го­вре­мен­но ста­вить в из­вест­ность FinCert.

По­вы­шен­ное вни­ма­ние ЦБ к это­му во­про­су за­ко­но­мер­но, при­зна­ют участ­ни­ки рын­ка, од­на­ко ви­дят опре­де­лен­ные рис­ки вы­пол­не­ния дан­ных тре­бо­ва­ний. «Стандарт под­ра­зу­ме­ва­ет раз­ра­бот­ку бан­ком боль­шо­го мас­си­ва но­вых до­ку­мен­тов, ко­то­рых в боль­шин­стве ис­поль­зу­ю­щих услуги аут­сор­се­ров бан­ков до сих пор не бы­ло»,— от­ме­ча­ет экс­перт RTM Group Ев­ге­ний Ца­рев. С ним со­ли­да­рен и за­ме­сти­тель ген­ди­рек­то­ра по сер­ви­су «Ин­форм­за­щи­ты» Мак­сим Тем­нов. «На рын­ке сей­час есть неболь­шие бан­ки, где ин­форм­без­опас­но­стью за­ни­ма­ют­ся все­го один-два че­ло­ве­ка, и они про­сто не в со­сто­я­нии про­де­лать тот гро­мад­ный объ­ем ра­бо­ты, что тре­бу­ет ЦБ для при­гла­ше­ния экс­пер­тов на аут­сор­синг и для мо­ни­то­рин­га вы­пол­не­ния им сво­ей ра­бо­ты ка­че­ствен­но»,— ука­зы­ва­ет он. Хо­тя в це­лом рис­ки дей­стви­тель­но ре­аль­ны, при­зна­ют экс­пер­ты. «Не­ред­ко бы­ва­ет, что ис­точ­ни­ком ата­ки на банк яв­ля­ет­ся некий ин­те­гра­тор, ко­то­рый име­ет пря­мой до­ступ к сре­де раз­ра­бот­ки в бан­ке, а ино­гда и до­ступ к ” бо­е­вым сер­ве­рам“»,— от­ме­ча­ет за­ме­сти­тель ру­ко­во­ди­те­ля ла­бо­ра­то­рии ком­пью­тер­ной кри­ми­на­ли­сти­ки ком­па­нии Group-IB Сер­гей Ни­ки­тин.

Са­ми кре­дит­ные ор­га­ни­за­ции вос­при­ня­ли до­ку­мент до­воль­но сдер­жан­но. «По ло­ги­ке стандарт дол­жен ис­клю­чить воз­мож­ность при­вле­че­ния на аут­сор­синг фирм ти­па ” Ро­га и ко­пы­та“с низ­ки­ми це­на­ми и та­ким же ка­че­ством услуг,— от­ме­ча­ет ру­ко­во­ди­тель служ­бы ин­форм­без­опас­но­сти бан­ка из топ30.— Но стандарт не ис­клю­ча­ет по­доб­ный риск». Да и в це­лом ну­жен ли аут­сор­синг в сфе­ре ин­форм­без­опас­но­сти при та­ких тре­бо­ва­ни­ях ре­гу­ля­то­ра — боль­шой вопрос, рас­суж­да­ют бан­ки­ры. «В пер­спек­ти­ве сто­и­мость аут­сор­син­га мо­жет быть со­по­ста­ви­ма по рас­хо­дам с со­дер­жа­ни­ем соб­ствен­ной служ­бы ин­форм­без­опас­но­сти»,— от­ме­ча­ет гла­ва управ­ле­ния ин­форм­без­опас­но­сти ОТП-бан­ка Сер­гей Чер­но­ко­зин­ский.

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.