17.11.15

Васаби вам, а не статистику

Пока в Москве вспоминают SOC-Forum, а Банк России подготовил проекты двух новых стандартов для  больших и маленьких некредитных финансовых организаций - СТО БР ИБНФО Б-1.0 и СТО БР ИБНФО М-1.0, я бы хотел вспомнить немного другой другой документ, выпущенный тем же регулятором. Речь идет об Указании 2831-У, который установил обязательную отправку ежемесячной отчетности по инцидентам информационной безопасности.

Первый вариант так называемой 203-й формы отчетности был не очень полезен в практической деятельности, так как допускал очень много неструктурированного текста, который было сложно анализировать (все-таки ежемесячно в ЦБ приходило около 1000 таких отчетов). Вторая версия 203-й формы оказалась на порядок лучше - в ней учли многие недостатки предыдущей редакции, систематизировали многие моменты, а также потребовали указания сумм, похищенных или готовящихся к хищению. Надежды на эту отчетность возлагали многие. И вот тут случился облом. Департамент НПС (ДНПС), который и отвечал за сбор отчетности от участников Национальной платежной системы, полностью провалил (если не сказать хуже) всю идею со сбором отчетности.

Ведь для чего планировали собирать эту отчетность? Для улучшения состояния уровня защиты информации при осуществлении денежных переводов. Каким образом должно было это улучшение состояться? Я вижу всего два варианта. Первый. Банк России, как регулятор, самостоятельно проанализировав популярные места совершения инцидентов, чаще всего страдающие объекты платежной инфраструктуры, опыт взаимодействия с правоохранительными органами, готовит либо рекомендации, либо вносит изменения в обязательный 382-П, направленные на исправление ситуации. Второй вариант мне кажется более правильным. Речь идет о публикации детальной статистики, на основе которой, каждый участник НПС уже сам примет меры по нейтрализации самых типовых проблем с обеспечением ИБ. Ну и комбинацию обоих вариантов никто не отменял, конечно.

Но... вот тут-то нас и поджидает засада. ДНПС забил болт на эту работу. За 3 с лишним года с момента вступления в силу 2831-У было выпущено всего 3 (!) отчета. Первый и второй касались данных по старой версии 203-й формы отчетности и датированы они второй и первой половиной 2012-го и 2013-го года соответственно. Потом был двухлетний перерыв и летом ДНПС разродился еще одним отчетом.

Для PR и выступления перед журналистами этот отчет очень даже солидно выглядит. Вот только в реальной работе применить его нельзя, так как совершенно непонятно, каким образом были похищены или планировались к хищению те средства, о которых пишется в отчете. И если летом у меня еще были надежды, что ДНПС исправится и просто решил поскорее выпустить хоть что-то из обещанного на магнитогорском форуме в феврале, то сейчас надежд простыл и след. Такое впечатление, что в ДНПС не осталось вообще никого, кто способен был бы разобраться в получаемой отчетности (кроме цифр потерь), а отдать всю отчетность в то же ГУБЗИ они боятся - тогда вообще будет непонятно, что делает ДНПС.

В итоге доверие к обязательной ежемесячной отчетности об инцидентах подорвано и та задача, для которой эта отчетность вводилась, была провалена. Жаль... Это же, кстати, будет негативно влиять и на работу ЦБшного FinCERTа - он же тоже собирает данные по инцидентам. Но если одно подразделение ЦБ принимает эти данные как в черную дыру, то где гарантия, что и второе не будет делать тоже самое? Закономерный вопрос, который могут задать банки; особенно удаленные от Москвы.


ЗЫ. Может быть хоть к Уральскому форуму 2016-го года такую статистику опубликуют?

4 коммент.:

Unknown комментирует...

Алексей, вот простой способ получить ответ на Ваш вопрос.
Возьмите три ситуации и прогоните их через существующую 203 форму:
1а)клиент заявил о несанкционированной операции, идет расследование
1б)через месяц к следующей отчетности клиент отозвал заявление - "ошибся"
2а)клиент заявил о несанкционированной операции, идет расследование
2б)через месяц платежная система вернула деньги клиенту
3а)клиент заявил о несанкционированной операции, идет расследование
3б)через месяц расходы легли на банк
А теперь попробуйте обработать получившиеся 6 отчетов автоматизированно чтобы получить желаемый Вами результат - со статистикой и суммами хищений :)
Да и даже неавтоматизированно..

Алексей Лукацкий комментирует...

Это является основанием для того, чтобы ничего не делать?

Unknown комментирует...

Откуда я знаю, это Вы у ЦБ спросите :) Я привел примеры чтобы Вы смогли ответить на свой вопрос, появится ли статистика по существующей форме :)

Алексей Лукацкий комментирует...

Там и без этих вопросов многое можно было бы выложить