07.03.2013

О дуализме Центробанка в контексте банковской ИБ

Пока ехал вчера в метро с курсов по НПС, думал о дуализме роли Банка России в области информационной безопасности банковской среды. С одной стороны ЦБ нередко закручивает гайки в части установления требований по ИБ. "Хорошим" примером этого является п.2.13.1 положения 382-П Банка России, согласно которому кредитная организация обязана ежемесячно направлять оператору платежной системы информацию об инцидентах ИБ. Ну должна и должна, в чем проблема-то? А в том, что кредитная организация должна слать такие отчеты ежемесячному КАЖДОМУ оператору платежной системы, членом которой он является. Хочет, например, банк предоставить своим клиентам возможность переводить деньга через CONTACT, MIGOM, ЮНИСТРИМ, Анелик, WebMoney, Western Union, Яндекс.Деньги, пожалуйста. Только вот и об инцидентах надо будет сообщать оператору каждой из этих платежных систем. Ежемесячно ;-( Не очень-то удобно. Особенно в условиях нехватки персонала. Получается, что все усилия и так немногочисленных сотрудников службы ИБ будут сосредоточены на подготовке и отправке ежемесячной отчетности, а не на обеспечении реальной безопасности банковских систем. Но это одна сторона медали. Есть и другая.

На что часто жалуются банковские службы ИБ (да и не только они)? На нехватку ресурсов на обеспечение ИБ. А почему их не хватает? Не дают. А почему не дают? Потому что безопасники не могут показать деньги. Я про это аккурат в понедельник писал. Отдельные Ибоши (это в FB термин такой случайно родился ;-) твердили, что я теоретик и не понимаю реалий, что оценить ущерб в деньгах невозможно и что этого никто не делает, и т.д. И вот появляется новая форма отчетности 0409258 об инцидентах с платежными картами, где в явной форме надо ежемесячно указывать количество и сумму несанкционированных операций по картам; причем по разным срезам. По 203-й форме ЦБ также планирует, о чем говорилось в Магнитогорске, ввести графу по похищенным или намеченных к хищению денежных средств.

Что нам дают эти нововведения? То, чего так ждут службы ИБ, до конца и не подозревая об этом. Показ денег! Вот он ущерб от деятельности мошенников, хакеров и иных протиправных личностей! Причем по разным срезам и помесячно. И тут же информация по инцидентам, которая так нужна для оценки вероятности нанесения ущерба. Опять же вероятность для каждого инцидента своя с распределением по времени года. И ведь все эти данные не притянутые за уши, и не взятые с потолка, и никто их не копипастил из статистических отчетов консультантов. Реальные цифры по конкретному банку. Одним выстрелом сразу двух зайцев.

Вот и получается, что с одной стороны ЦБ навязывает новые формы отчетности, сильно бюрократизируя ИБ, а с другой это позволяет сделать то, что так нужно банковским безопасникам. Нужно, конечно, не только им, но в других отраслях нет такого регулятора ;-) Дуализм, однако. И не знаешь, хорошо это или плохо... Каждый выбирает для себя.

8 коммент.:

Сергей комментирует...

Алексей, с операторами ПС все проще - они требуют отчеты только в случае инцидента, пустые (в отличии от ЦБ) им не нужны.

angry_fix комментирует...

CONTACT требует ежемесячно.

Алексей Лукацкий комментирует...

Он не может не требовать

ilya комментирует...

Известно, что на практике всегда очень сложно оценить стоимость любого информационного актива, который могут украсть (К), изменить (Ц) или заблокировать к нему доступ (Д).
Кроме одного единственного очевидного случая, когда речь идет напрямую о таком активе как о деньгах - тут все очевидно и ущерб считается напрямую. В реальном мире, где обычно применяется анализ рисков (страховщики, например), таких проблем нет - там не виртуальные активы, а сугубо вещественные, которые очень легко оценить.

Плюс в ИБ огромные проблемы с расчетом вероятности инцидента - привычная в теории анализа рисков железная статистика профильных инцидентов, на которой все и построено на практике (у тех же страховщиков), в ИБ у нас тоже не работает.

Собственно, поэтому на практике в силу сугубо объективных причин теория анализа рисков очень сильно буксует в ИБ и может применяться очень и очень ограничено.

e1am0 комментирует...

По теме -- если б ещё закон о безопасности ТЭК расширили в части 11 статьи.

ЗЫ. про пробуксовку теории рисков в применении к ИБ мне понравилось

doom комментирует...

2 ilya

Управление рисками есть много где. Например, в управлении проектами есть понятие проектных рисков, там еще веселее ситуация: проект - разовое мероприятие и никакой статистики нет. Однако, рисками управляют как-то при этом.
И последствия оцениваются и контрмеры разрабатываются.

ilya комментирует...

Конечно управляют и правильно. Только не как в фундаментальной теории, где риск = ущерб умножить на вероятность реализации угрозы.

doom комментирует...

А кто сказал, что это фундаментальная теория? :)