NBJ: За последние годы сформировался достаточно широкий список ежегодных мероприятий по информационной безопасности. Почему Ассоциация АБИСС приняла решение проводить свою конференцию?
А. ХАРЫБИНА: По сути, Конференция АБИСС – это первое мероприятие, которое посвящено исключительно обсуждению регуляторных вопросов по информационной безопасности. Действительно, сейчас проводится немало мероприятий по ИБ вообще и, в частности, для финансовой отрасли. Но даже когда на них присутствуют представители регуляторов, вопросы практической реализации ИБ-требований, к сожалению, не доходят до обсуждения.
При этом финансовая отрасль наиболее зарегулирована с точки зрения ИБ. Свои требования предъявляет не только Банк России, но и другие регуляторы и ведомства: ФСТЭК, ФСБ, Роскомнадзор, Минцифра, Национальная система платёжных карт (НСПК). Также для многих организаций, хоть и вызывают вопросы, но остаются актуальными международные требования, включая требования межбанковской системы совершения платежей SWIFT и требования стандарта безопасности платёжных карт PCI DSS.
Конференция АБИСС по вопросам регуляторики ИБ задумывалась как площадка для трёхстороннего общения всех пользователей стандартов по информационной безопасности. Кто эти пользователи? В первую очередь те, к кому эти регуляторные требования обращены – финансовые организации. Во-вторых, все те, кто работает на стороне ИТ и ИБ, предоставляют свои продукты и услуги для финансовых организаций. Вендоры, интеграторы, аудиторы, консультанты, аутсорсинговые компании – все они должны учитывать ИБ-требования в своих продуктах и услугах. И, конечно же, сами представители регуляторов: они также являются пользователями этих стандартов, потому что каждый день работают с ними. И здесь, на мой взгляд, очень важна обратная связь от рынка. Чем больше будет возможностей для свободного обсуждения регуляторных вопросов и проблем, тем эффективнее будет происходить взаимодействие. Не скажу, что нам будет проще и легче жить, но, по крайней мере, процесс будет более эффективным и учтёт интересы всех сторон.
NBJ: Вы сказали, что финансовая отрасль наиболее зарегулирована. Какие концептуальные изменения в части регуляторики ИБ произошли в этом году?
А. ХАРЫБИНА: Банк России достаточно давно выстраивает определённую концепцию по управлению информационной безопасностью в финансовых организациях. Она складывается из трёх крупных блоков: защита информации, операционные риски, операционная надёжность.
Базовые изменения в первом блоке произошли с выходом ГОСТ 57580 в 2017 году, описывающим технические и организационные меры по защите информации. Последние пят лет финансовые организации поэтапно внедряли соответствующие инструменты и процессы.
Следующий блок – это управление операционными рисками, требования к которому описаны в Положении Банка России № 716-П. Основные изменения для функции ИБ заключаются в том, что теперь риски информационной безопасности относятся к операционным рискам, и под их реализацию необходимо резервировать средства. В концепции Банка России первые два блока направлены на обеспечение третьего – операционной надёжности финансовых организаций. Это и является самой главной целью. В октябре 2022 года вступили в силу два соответствующих положения на эту тему. Один для кредитных, другой – для некредитных финансовых организаций.
Вопросы операционных рисков и операционной надёжности остаются сейчас наиболее актуальными и сложными с точки зрения соответствия регуляторным требованиям. Следующий год также будет подчинён реализации этих вопросов. Проблема заключается в том, что процессы, которые необходимо перестроить, носят общеорганизационный характер и подразумевают интеграцию функции управления всей организацией в процессы обеспечения информационной безопасности. В этой связи в ближайшее время выйдут два новых ГОСТ, по которым финансовые организации должны будут, в том числе, проходить обязательный внешний аудит.
NBJ: Как, на ваш взгляд, сказались на финансовой отрасли два известных указа Президента, вышедших в 2022 году и призванных укрепить кибербезопасность?
А. ХАРЫБИНА: Реалии этого года привели к появлению двух Указов Президента: №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Финансовые организации полностью подпадают под действие этих Указов, что увеличивает объём предъявляемых к ним требований по ИБ.
Как и у других субъектов КИИ, у финансовых организаций возникли сложности с реализацией новых требований. Какие-то из этих сложностей носят условно технический характер, какие-то организационный. Например, по Указу №166 установлены конкретные сроки по импортозамещению. При этом нужно понимать, что финансовые организации в этом году оказались в ситуации, когда большая часть западных вендоров оперативно ушла с российского рынка (отказ систем, невозможность поддержки). И это касается как прикладного программного обеспечения, так и средств защиты информации. Основные силы были брошены на поддержание операционной деятельности, и это в условиях постоянных атак. Указ №166 требует перехода на отечественные ПО и ПАК, при этом не для всех западных решений есть аналоги. И сейчас Банк России вместе с Минцифрой и Минпромторгом решают эти вопросы, привлекая бизнес в лице финансовых организаций и вендоров. Но нужно помнить, что все новые внедряемые системы должны соответствовать требованиям по ИБ, а на это понадобится дополнительное время.
Примером организационных сложностей является требование Указа №250 возложить ответственность за информационную безопасность на заместителя руководителя организации. При этом аппарат управления банка имеет определённую иерархию, и среди заместителей председателя правления сложно найти человека, обладающего экспертизой в вопросах обеспечения информационной безопасности.
NBJ: Как вы сказали, помимо ЦБ к банкам предъявляют требования и другие регуляторы. Известно, что по линии ФСТЭК сейчас ожидается утверждение правок в Постановление Правительства №127, которые внесут изменения в порядок категорирования объектов КИИ. Готовы ли финансовые организации к новым требованиям?
А. ХАРЫБИНА: Если ориентироваться на текущую версию правил категорирования, то финансовые организации за исключением крупнейших банков не подпадают под требования к значимым объектам критической информационной инфраструктуры (КИИ). Если же правки в Постановление будут приняты, то тогда практически все финансовые организации автоматически станут субъектами, которые владеют значимыми объектами КИИ (информационными системами). И на них обрушится большое количество новых требований, которые изначально не были предусмотрены нормативными документами ЦБ.
Требования ФСТЭК к КИИ, – я напомню, что к КИИ относится 13 отраслей, включая финансовую, – описывают конкретные меры по их реализации. Аналогичные требования имеются и у Банка России для финансовой отрасли – тот самый ГОСТ 57580. Если сравнивать оба эти документа, то они пересекаются примерно на 70%, а значит, для финансовых организаций новыми будут 30% требований. При этом не будет иметь значение размер банка. Также они автоматически подпадут под дополнительные требования со стороны последних Указов Президента.
В данном случае Банк России, – и это прекрасно, – солидарен с экспертным сообществом: правки в Постановление Правительства об изменении правил категорирования необходимо адаптировать, и выделить финансовую отрасль. Перед многими небольшими финансовыми организациями остро встал вопрос о реализуемости требований, то есть, по сути, об экономической целесообразности ведения деятельности. Особенно, если мы говорим не только о кредитных, но и о некредитных финансовых организациях (страховые компании, негосударственные пенсионные фонды, профессиональные участники рынка ценных бумаг). К последним, скорее всего, в ближайшее время присоединятся микрофинансовые организации и финансовые маркетплейсы.
NBJ: Российские банки активно используют криптографию. Как проходит процесс импортозамещения в этой сфере? Имеются ли отечественные альтернативные продукты?
А. ХАРЫБИНА: Тут уместно отметить, что с финансовыми организациями в области информационной безопасности в России работает ещё один регулятор – это ФСБ. Исторически в его ведении находятся вопросы, связанные с криптографией и средствами криптографической защиты информации (СКЗИ). Последние очень активно применяются российскими банками: например, во всех организациях используются аппаратные модули безопасности (hardware security module, HSM).
Так сложилось, что все банки закупались у французского вендора Thales Group, который в этом году свернул всю работу в России. Сами программно-аппаратные комплексы с криптографией ещё работают, но в какой-то момент они могут перестать функционировать. При этом в России есть отечественные HSM, которые разрабатываются уже не первый год. В части российских требований по криптографии они полностью им соответствуют. Но, например, Национальная система платёжных карт (НСПК) до сих пор предъявляет требования к HSM системам, исходя из международных требований PCI SSC. Это организация, которая объединяет платёжные системы Visa и MasterCard. Но проблема в том, что сейчас отечественным HSM системам невозможно получить международные сертификаты соответствия.
Возникает дилемма: либо банки ждут, когда текущие HSM модули превратятся в железки и перестанут работать, либо они переходят на российские HSM, которые не имеют международного сертификата и не соответствуют в этой части требованиям НСПК. Это тоже регуляторный вопрос, на который требуется найти ответ. На Конференции АБИСС мы с коллегами его также активно обсуждали.
NBJ: Возвращаясь к прошедшей Конференции АБИСС, какие основные темы по регуляторике поднимались в рамках сессий и обсуждений?
А. ХАРЫБИНА: Я бы хотела отметить, что мы сразу определили для себя, что Конференция АБИСС должна носить характер научно-практических конференций. Поэтому мы приняли решение не идти по коммерческому пути и не включать спонсорские доклады. Вся программа формировалась из присланных заявок от экспертов по вопросам регуляторики ИБ финансовой отрасли.
Наибольшее количество поступивших заявок было по вопросам управления рисками ИБ и операционной надёжности, а также по безопасной разработке прикладного банковского программного обеспечения. И это понято, так как первая тема сопряжена с концептуальными изменениями в регуляторике со стороны Банка России, а вторая складывается сразу из нескольких потребностей. Во-первых, с уходом зарубежных решений финансовые организации задумываются о собственных разработках для обеспечения вендоронезависимости. Во-вторых, требования ФСТЭК к КИИ с большой долей вероятности распространятся в том или ином объёме на финансовые организации, а значит нужно будет подтверждать безопасную разработку прикладного программного обеспечения (БРПО). И в-третьих, внедрение БРПО может стать более эффективной альтернативой проведению анализа уязвимости банковского ПО при каждом обновлении, как того требует Банк России.
NBJ: На мероприятии вы говорили, что планируете сделать Конференцию АБИСС ежегодной. Есть ли уже понимание, какой будет следующая конференция?
А. ХАРЫБИНА: В этом году конференция была посвящена финансовой отрасли, в следующем, рассчитываем, станет уже межотраслевой. АБИСС исторически ассоциировался только с финансовыми организациями и Банком России, но сейчас мы занимается вопросами регуляторики по информационной безопасности в более широком смысле. Обязательно будем делать отдельные треки по КИИ, защите АСУ ТП, безопасной разработке с привлечением соответствующих регуляторов и ведомств, в том числе отраслевых.
Конечно, идея конференции с научно-практическим характером останется основной, а значит, всё так же не будет никаких спонсорских докладов. И здесь многое зависит от активности экспертов. В следующем году мы заранее начнем готовить программу конференции, чтобы сделать контент ещё более качественным и практическим.