5.3.20

Как ДИБ и ФинЦЕРТ могли бы улучшить кибербезопасность финансовых организаций?

Одним из часто звучащих вопросов от руководства, которое мало что смыслит в ИБ, но хочет держать руку на пульсе, среди прочих, является: "Как мы соотносимся с конкурентами?" За этим, казалось бы простым и сложным одновременно, вопросом скрывается вполне понятные управленческие решения. Мы хуже других - значит надо "наказать" виновных и инвестировать в улучшения. Мы лучше других - надо наградить "непричастных" и хвалиться этим.
Но если отбросить в сторону болтовню, то знание своего уровня безопасности по сравнению с другими, позволяет безопаснику фокусироваться на тех процессах и проектах, которые позволят улучшить свою ИБ как в целом, так и в отдельных направлениях.

Чтобы узнать свой уровень можно обратиться к "большой четверке" и они в рамках Security Benchmarking смогут оценить вас, как по отношению к "коллегам" в вашей отрасли, так и по отношению с компаниями из других сфер деятельности. Схожую задачу могут решить и просто крупные международные аудиторы, которые за время своей работы накопили статистику и могут оценивать зрелость своих клиентов и сравнивать ее со "средней температурой по больнице" (мы, например, такое делаем при аудите SOCов, сравнивая их между собой).

А теперь вернемся к заголовку заметки. Как эту задачу мог бы помочь решить Банк России для своих поднадзорных организаций? А все просто. В ЦБ стекается на протяжении уже нескольких лет 202-я форма отчетности (а до этого отчетность по СТО БР, а сейчас еще и отчетность по ГОСТ 57580.2), которая содержит всю нужную информацию. Раньше ГУБЗИ уже публиковало сводную статистику по числу кредитных организаций, достигших того или иного уровня соответствия по 202-й форме. Но в последнее время уже ДИБ перестал это делать, уделяя внимание только данным по мошенническим операциям (свежий отчет) и атакам.

А ведь, что может быть проще, раз в год, публиковать сводную радарную диаграмму по средним уровням соответствия требованиям того же ГОСТа. Можно пойти еще дальше и делать выборку по разным типам финансовых организаций - банки с базовой лицензией, крупняк, операторы платежных систем, разные типы НФО и т.п.     


Никакой тайны в этом случае не раскрывается, репутация финансовых организаций не страдает, а у последних появляется ценнейший источник информации, на который можно ориентироваться в своей деятельности. И на вопрос руководства: "А как мы соотносимся с конкурентами?" всегда можно быстро подготовить один слайдик с радарной диаграммой и правильно его преподнести.

И ЦБ - единственный из всех регулятор, кто способен это сделать. У ФСТЭК нет этих данных, хотя если аккумулировать результаты аттестаций, то может получиться тоже неплохая аналитика. ФСБ/НКЦКИ все по привычки засекречивает и делится только данными о десятках миллионов атак, отраженных на сайт Президента России. И только ЦБ в лице ДИБ не только имеет все необходимые данные, но и может их публиковать, так как уже делал это раньше и делает сейчас по смежным направлениям своей деятельности. Думаю, вот за это ДИБу бы реально сказали "спасибо". А то попытка вынести тему ИБ на уровень Правления, предпринятая в проекте положения по системе управления операционными рисками в принципе неплоха, но очень уж сложна для восприятия и реализации. Я уже дважды прочитал именно эту редакцию проекта, но пока в голове не уложил всю схему того, что хочет сделать ЦБ и как это соотнести с уже имеющимися мероприятиями по ИБ, требуемыми по другим нормативным актам регулятора.