Сегодня бизнес банковских организаций во многом построен на цифровых финансовых продуктах. При этом доля внутренних процессов самой организации, основанных на цифре с применением современных технологий, постоянно растёт за счёт активной конкурентной среды. Там, где происходит переход от аналоговых процессов к цифровым, всегда остро стоят вопросы обеспечения информационной безопасности. И если раньше участие руководства банка в их решении было делом добровольным, то сейчас это прямые регуляторные требования.
Персональная ответственность
Прошлый год привнёс множество изменений, в том числе Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Распространяется Указ, в том числе, на субъекты критической информационной инфраструктуры (КИИ), а также стратегические и системообразующие организации российской экономики. Все организации кредитно-финансовой отрасли относятся к субъектам КИИ, а значит действие Указа распространяется и на банки. С точки зрения управления основное изменение, которое вносит данный нормативно-правовой акт (НПА) – это персональная ответственность руководителя организации за обеспечение информационной безопасности (ИБ).
При этом полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, требуется возложить на заместителя руководителя организации.
Постановлением Правительства №1272 утверждено типовое положение о заместителе по ИБ, в котором описаны квалификационные требования, требования к образованию и должностные обязанности ответственного лица. Поскольку требования к знаниям носят глубоко технический характер, возникает вопрос о повышении статуса руководителя службы ИБ до уровня заместителя руководителя банка, либо о найме соответствующего специалиста.
Безопасность при импортозамещении
Ещё одним важным треком, требующим внимания менеджмента организации, является вопрос импортозамещения. И здесь речь идёт об уже упомянутом выше Указе Президента РФ №250, в котором установлено требование по замещению средств защиты информации (СЗИ) из недружественных стран. Требования по импортозамещению прикладного программного обеспечения (ПО) описаны в Указе Президента №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».
Требования по прикладному ПО распространяются на значимые объекты критической информационной инфраструктуры (ЗО КИИ), в связи с чем нельзя не вспомнить о Постановлении Правительства №127, которое внесло изменения в правила категорирования объектов КИИ и критерии значимости. Один из показателей экономической значимости основан на пороговых значениях ущерба бюджетам РФ, то есть на сумме налоговых отчислений. Для ряда банков уровень этого показателя свидетельствует о необходимости повторного прохождения процедуры категорирования, а также о возможном отнесении части информационных систем к ЗО КИИ.
Процесс импортозамещения, особенно прикладного ПО, зачастую связан с перестройкой основных бизнес- и технологических процессов. Поэтому сам процесс перехода с одного ПО на другое должен отвечать принципам безопасности и требует оценки влияния на бизнес. В этой связи со стороны менеджмента организации важно не только инициировать процесс и выделить ресурсы, но и правильно его сконфигурировать, распределить роли в команде, а также управлять рисками. И здесь важно убедиться, что внедряемое ПО соответствует требованиям безопасности: необходимо либо провести соответствующие тестирования перед вводом в эксплуатацию, либо удостовериться, что программное обеспечение разрабатывается в соответствии с принципами безопасной разработки ПО (БРПО или SSDLC). Требования по анализу уязвимостей ПО прописаны в Положениях Банка России, а требования по безопасной разработке предъявляются ФСТЭК к ЗО КИИ.
Операционная надежность
Понятие операционной надёжности близко и понятно руководителю любого бизнеса, так как задача непрерывности операционной деятельности носит критический характер. Для руководителей финансовых организаций это понятие также сопряжено с выполнением требований Банка России. В январе 2022 года было выпущено Положение №787-П «Об обязательных для кредитных организаций требованиях к операционной надёжности…», а в феврале 2023 года был введён соответствующий ГОСТ Р 57580.4, описывающий базовый состав организационных и технических мер по обеспечению операционной надёжности. В совокупности эти два документа дают представление о том, как должна быть выстроена система в целом.
Если проанализировать требования нового ГОСТ, то станет очевидным, что большая часть предлагаемых мер направлена на защиту прав потребителей (доступность переводов, сохранность денежных средств и пр.). При этом основным источником доходов банковской организации является кредитный портфель. А значит, в интересах бизнеса выстраивать систему обеспечения операционной надёжности нужно таким образом, чтобы в скоуп контролируемых процессов попали и те, которые обеспечивают коммерческую эффективность банка. С одной стороны, нет прямых требований по обеспечению непрерывности процессов по выдаче кредитов, но с другой – было бы управленческой ошибкой не распространить систему на соответствующие процессы, раз уж систему всё равно придется внедрять.
С 2024 года необходимо подавать в Банк России квартальные отчёты, в которых должны быть отражены показатели операционной надёжности. Одним из таких показателей является допустимая доля деградации технологического или бизнес-процесса: допустимое отношение общего количества банковских операций, совершённых во время деградации, к ожидаемому количеству операций за этот период. У многих банков возникают проблемы с определением допустимости, так как необходимо проводить анализ влияния на бизнес, а для этого нужно объединить экспертизу специалистов по рискам, ИТ и ИБ специалистов, а также тех, кто знает, какие продукты и как влияют на общий доход организации. Выделить необходимые и достаточные ресурсы на проведение такого анализа – это ответственность и задача менеджмента организации.
Трансформация ИБ в бизнес-функцию
Сегодня на примере финансовой отрасли мы видим, как интегрируются процессы информационной безопасности в процессы достижения целей бизнеса, в том числе финансовых.
В условиях усиления требований по информационной безопасности, для реализации которых необходимо выделять дополнительные ресурсы и, зачастую, внедрять новые процессы, логичным кажется использование их не только для снижения комплаенс-рисков, но и для оптимизации операционных и инвестиционных расходов. Для этого, безусловно, необходимо непосредственное участие менеджмента в вопросах ИБ.
Здесь огромную роль играет новая регуляторика, которая стимулирует эти процессы. Требования по вовлечению руководства банка в процессы информационной безопасности, операционной надёжности и управления операционными рисками, в том числе рисками информационных угроз, обеспечивает более глубокое понимание влияния этих процессов на бизнес организации в целом.
Представители Департамента информационной безопасности Банка России неоднократно за последний год говорили, что видят одной из приоритетных для себя задач – вовлечение руководства финансовых организаций в вопросы ИБ.