10 октября в Москве прошла Вторая межотраслевая конференция по регуляторике в сфере информационной безопасности, объединившая на своей площадке специалистов, отвечающих за обеспечение соответствия ИБ-требованиям. Организатором конференции выступила Ассоциация пользователей стандартов по информационной безопасности АБИСС.
На пленарной сессии «Регуляторика как эффективный инструмент взаимодействия» представители государственных ведомств и отраслевых ассоциаций, а также ИБ-эксперты обсудили вопросы развития эффективного взаимодействия между регуляторами и поднадзорными организациями. Коснулись и темы гармонизации требований и создания инфраструктуры для их реализации.
Зафиксировали позиции
Заместитель директора Департамента обеспечения кибербезопасности Минцифры России Евгений Хасин отметил, что основным регуляторным документом последнего времени стал Указ президента России № 250, направленный на широкий круг компаний. Реализующие исполнение Указа постановления правительства определяют два направления развития ИБ: первое — анализ защищённости; второе — кадровые вопросы, определение компетенций.
За минувший год был проведён анализ результатов аудита защищённости, который показал необходимость развития направления поиска недопустимых событий для организации.
Исследование же кадровых проблем показало, что вопросами ИБ надо заниматься на высоком уровне. Руководителю необходимо знать и понимать проблемы ИТ и ИБ, а также вопросы, связанные с анализом защищённости и понимания бизнес-логики, поиска недопустимых событий для организации.
Всё это вылилось в развитие направления, связанное с недопустимыми событиями, и апофеозом стало развитие программ bug bounty. «Bug bounty неожиданно оказалось дешёвым и эффективным способом поиска уязвимостей и пониманием того, что необходимо искать и от чего защищать», — подчеркнул Хасин.
Александр Баранов, академик Академии криптографии РФ, опираясь на собственный опыт, напомнил, что ИБ — это конфиденциальность, целостность и доступность. Необходимо внедрение требований к современным технологиям в области биометрии или электронных подписей, считает эксперт. «Это тяжелая проблема, где нажать, а где отменить», — отметил Баранов.
О том, что финансовый сектор стал первой регулируемой отраслью КИИ, напомнила модератор сессии Анастасия Харыбина, председатель АБИСС. Она задалась вопросом перераспределением ответственности на физлиц при оценке финансовых рисков банковской сферы.
Андрей Выборнов, заместитель директора Департамента ИБ Банка России, отметил, что «права клиентов должны быть защищены». Он выделил три фактора, которые должны обеспечивать банки: операции без согласия клиентов, операционную надёжность и работу с банковской тайной и персональными данными.
Представитель регулятора подчеркнул, что надеяться на просвещение граждан в области финансовой грамотности неправильно и недостаточно. «Физическое лицо — слабая сторона в отношениях с банком, учитывая широко распространённые методы социальной инженерии. Отсюда вытекает ответственность банка за клиента и страхование ответственности за операции без согласия, поскольку банк имеет и сотрудников, и возможности это делать.
Есть также риски самих финансовых организаций — собственные, системные и сгруппированные. В этом направлении регулирование сводится к минимизации таких рисков. Ещё одно, новое направление регулирования — финтех и связанные с ним риски ИБ. «Выпускать на рынок новые инновационные, но небезопасные технологии — неправильно», — считает Выборнов.
Применение риск-ориентированного подхода к обеспечению ИБ не отменяют ответственности банка перед клиентом, заметил он, отвечая на вопросы Александра Баранова. При этом риск-ориентированный подход в моменте необходим для понимания того, как система защищается, — полагают как представители Банка России, так и сотрудники Минцифры.
Оценка банковского риска формируется из двух составляющих — регулярных потерь и потерь в стресс-сценарии, при этом крупные хищения нечасто происходят. Общая сумма потерь учитывается в общем капитале на покрытие операционного риска и давно введена в банковское регулирование, подытожил Андрей Выборнов.
Саморегулируемые организации и аутсорсинг
Бурная дискуссия разгорелась вокруг вопроса о роли и месте саморегулируемых организаций в области ИБ. Алексей Петухов, руководитель Центра компетенций «Кибербезопасность» НТИ Энерджинет, отметил, что представители отрасли играют большую роль при выработке требований регуляторов. Причём привлекать их и учитывать мнения сообщества необходимо на всех этапах жизненного цикла регуляторных документов. Об этом же говорил и Александр Товстолип, руководитель Управления ИБ Ассоциации ФинТех.
Вопрос саморегулирования имеет большое значение, уверен Александр Баранов. В сфере ИБ его фактически нет, при этом мнение сообщества важно при подготовке законодательных инициатив и технического регулирования, а также в области лицензирования и сертифицирования. Андрей Выборнов привёл пример удачного саморегулирования для микрофинансовых организаций, однако, для крупных финансовых учреждений это неприменимо.
СРО можно организовать для тех, кто поставляет ИБ-услуги и решения — при согласии ФСТЭК России, предположил Евгений Хасин. Для субъектов КИИ говорить о СРО достаточно сложно, считает чиновник. Однако вопрос в целом находится в зачаточном состоянии и требует детальной проработки.
При этом, полагают участники дискуссии, государство может делегировать отрасли ряд функций, в том числе в области повышения квалификации, аттестации и сертификации специалистов.
Также был поднят вопрос аутсорсинга и распределения ответственности. Несмотря на то, что часть услуг подпадает под регулирование, есть серые зоны, которые остаются вне поля зрения регуляторов, но так же требуют решения и целевого регулирования.
Банк России рассматривает законопроект в части передачи части функций на аутсорс и передачи ответственности третьей стороне. Тема передачи функций ИБ на аутсорс для малых банков тоже актуальна, отметил спикер. Эти форматы имеют право на жизнь, считает представитель регулятора. Они регулируются документами Банка России.
«Всё должно быть прописано в договорных отношениях», — заключил Евгений Хасин, отметив, что возможности передачи на аутсорс части функций уже есть в действующих НПА. Рассматриваются изменения в действующее законодательство и прорабатываются вопросы аутсорсинга в области облачных технологий, добавил ко всему спикер, но отказался раскрывать подробности.