В декабре 2021 года Ассоциация пользователей стандартов по информационной безопасности АБИСС отмечает юбилей со дня основания. 10 лет – серьёзная дата: есть повод подвести итоги, обозначить планы на будущее. Какими были эти годы для АБИСС, что сделано, что ещё предстоит сделать, в интервью главному редактору NBJ Станиславу Комарову рассказывает председатель АБИСС, директор по развитию AKTIV.CONSULTING (Компания «Актив») Анастасия Харыбина.
Как у любой другой живой организации история АБИСС долгая, сложная, тернистая и интересная. АБИСС создавалась как некоммерческое партнёрство, некое сообщество представителей финансовой сферы, пользователей стандартов ЦБ России. Учредили АБИСС Ассоциация российских банков и несколько коммерческих организаций. В сообщество также входили кредитные и некредитные организации – участники Национальной платёжной системы.
Участники АБИСС принимали активное участие в разработке первого стандарта по ИБ для финансовой отрасли. Эксперты ассоциации инициировали официальный перевод на русский язык зарубежного стандарта PCI DSS (стандарт безопасности индустрии платёжных карт), практически открыв его для рынка России. Примерно в то же время, как раз по приглашению АБИСС, состоялся визит главы Совета PCI SSC Джереми Кинга в Россию. В рамках задачи интеграции российской НСПК «Мир» в мировое финансовое пространство при поддержке АБИСС состоялся визит генерального директора, председателя правления НСПК Владимира Комлева в Лондон.
В тот момент, когда в нашей стране вступило в силу Положение 382-П Банка России о требованиях к обеспечению защиты информации, рынок задумался о необходимости проведения обязательного внешнего аудита ИБ в банках. Участники АБИСС предполагали, что потребуется система сертификации аудиторов. Для этого в АБИСС начали вести реестр специалистов по СТО БР ИББС. Но предположение об обязательном аудите тогда не подкрепилось требованиями ЦБ. И эта деятельность АБИСС постепенно потеряла свою актуальность.
Об истории АБИСС я рассказываю с огромным уважением и пиететом. Энтузиасты, начинавшие эту деятельность, уже тогда понимали, насколько чувствительными и болезненными могут быть процессы, связанные с информационной безопасностью в финансовых организациях. Именно банки в первую очередь были и остаются объектами самого пристального внимания мошенников и киберпреступников.
NBJ: Около двух лет назад деятельность АБИСС была перезапущена, и Вы возглавили Ассоциацию. Наблюдатели и эксперты отмечают, что с Вашим появлением значительно возросла активность этой организации. Инициативы следуют одна за другой. Почему этот, по сути, некоммерческий проект так важен лично для Вас?
А. Харыбина: На тот момент стало очевидно, что сменилось целое поколение специалистов по ИБ вообще, и в АБИСС в частности. Мы осознали: у тех, кто пришёл им на смену, хватит ресурсов и инициатив, чтобы возродить деятельность ассоциации, выйти на рынок с новыми идеями, заодно достав с полки хорошо забытые старые и наполнив их актуальными смыслами. Мы начали делать первые робкие шаги. Для неформального общения привлекли к своей работе регулятора, коллег по рынку, всех тех, кто занимается вопросами информационной безопасности.
В отличие от большинства других отраслевых ассоциаций в АБИСС нет внутренних специалистов, которые бы занимались исключительно работой в этой организации. Все эксперты АБИСС параллельно работают в других коммерческих структурах. Для нас это важная социальная и общественная нагрузка, которую мы с удовольствием взяли на себя, понимая, что наша работа важна для развития всего рынка информационной безопасности. В России мало площадок, где все его представители могли бы общаться на равных.
Естественно, команда анализирует, какие инициативы ей под силу, что мы реально можем сделать, чтобы не заниматься популизмом. Для меня эта деятельность – личный вклад в общее дело. Дело людей, которых я уважаю и считаю профессионалами. Признание важности информационной безопасности, равноценной в современных условиях безопасности физической, своего рода социальный проект.
Сейчас АБИСС – это инфраструктурная площадка для продуктивного общения трёх сторон: консультантов и аудиторов по ИБ, представителей финансовых организаций и регулятора. Ключевая задача АБИСС: обеспечить постоянный диалог, в ходе которого можно развивать и совершенствовать сферу применения стандартов информационной безопасности. В рамках Ассоциации продвигаются совместные инициативы представителей консалтинговых и аудиторских компаний, все они специалисты в области ИБ комплаенса.
У АБИСС довольно широкий круг партнёров – это родственные по своим задачам ассоциации, учебные организации, средства массовой информации, пишущие об информационной безопасности в финансовой отрасли.
NBJ: Что конкретно удалось сделать за почти два года ренессанса АБИСС? Какие проекты стартовали?
А. Харыбина: Наш ключевой подход – это создание рабочих групп из представителей рынка ИБ и регулятора под конкретные инициативы, которые прорабатываются членами и экспертами АБИСС. Сейчас мы активно привлекаем представителей финансовых организаций к работе в ассоциации. Для них преимущества участия очевидны: доступ к базе знаний, общение с экспертами и представителями Банка России, выдвижение и проработка собственных инициатив, участие в тематических мероприятиях АБИСС и её партнёров. Подчеркну: участие финансовых организаций в работе нашего сообщества бесплатно и сугубо индивидуально. Специалисту ИБ банка нет необходимости проходить бюрократические процедуры вступления в нашу ассоциацию, достаточно уметь формулировать важные для рынка идеи. В остальном мы поможем.
За это время в АБИСС начали работать четыре рабочие группы. Первая занимается созданием прозрачной инфраструктуры аудита ИБ. Вторая – готовит базу знаний по тематике применения стандартов ИБ в финансовой отрасли. Третья – отвечает за гармонизацию требований регуляторов. Четвёртая – разрабатывает методологию переобучения специалистов в области аудита и консалтинга ИБ в финансовой отрасли. Например, в январе на базе Академии информационных систем (АИС) запустится созданный экспертами АБИСС курс для специалистов, прошедших обучение по ГОСТ 57580 более двух лет назад. За это время много воды утекло, вышли новые положения, появилась правоприменительная практика. На днях завершилась работа над новым сайтом Ассоциации, где подробно описаны наши инициативы, а также есть возможность присоединиться к рабочим группам.
Мы стараемся поддерживать постоянный живой диалог с представителями Департамента информационной безопасности Банка России. Причём он идёт в двух направлениях – члены АБИСС предоставляют экспертизу по проектам нормативных документов и параллельно транслируют в ДИБ Банка России собственные инициативы относительно соблюдения стандартов информационной безопасности.
АБИСС активно участвует в отраслевых конференциях по ИБ, ключевых мероприятиях банковской направленности, проводит в их рамках тематические секции. К примеру, в ближайшее время, 2 декабря, участвуем в конференции АИС AntiFraud Russia.
Очень хотим организовывать собственное ежегодное мероприятие – конференцию для пользователей стандартов ИБ различных отраслей. В связи с этим ждём новые инициативы от сообщества АБИСС, членов ассоциации и партнёров.
Сегодня АБИСС выступает одним из инициаторов создания при Минцифры Совета по информационной безопасности. Развиваем эту идею вместе с ассоциациями АПКИТ, РОСЭУ, РУССОФТ и другими. Планируем активизировать просветительскую деятельность в сфере информационной безопасности россиян: создать портал цифровой гигиены, где доступным языком будем рассказывать о личной кибербезопасности граждан. К сожалению, сегодня неграмотность населения в части ИБ – это огромная проблема не только для банков, но и для государства. 70–90% мошеннических действий совершается по причине незнания жертвами правил защиты и противодействия. Мы хотим начать решать и эту задачу.
NBJ: Как у председателя АБИСС у Вас есть профессиональная мечта?
А. Харыбина: К счастью или к несчастью для себя и окружающих – я перфекционист. Мне бы очень хотелось, чтобы Ассоциация АБИСС могла с уверенностью сказать: стандарты информационной безопасности соответствуют потребностям бизнеса. Убеждена: это амбициозная история вдолгую. Мы никак не можем признаться себе, что без информационной безопасности уже никуда. Как любителю фантастики мне рисуются самые разные картины мира на ближайшие 20–30 лет, но так или иначе информационная, а если брать шире, то и цифровая безопасность – это уже реалии сегодняшнего дня.
Для меня было бы идеальной моделью, чтобы представители сообщества воспринимали стандарты информационной безопасности не как отягощающую формальность, а как инструмент обеспечения ИБ, соответствующий их бизнес-потребностям. И это задача общая, требующая участия в её решении как со стороны финансовых организаций, так и со стороны регулятора.