16.04.2004Проект национального стандарта по обеспечению информационной безопасности в банках фактически готов к обнародованию
В рамках конференции "Информационная безопасность в кредитно-финансовой сфере: стратегия развития" специалистами в области защиты информации в банках и представителями органов власти вновь обсуждался Проект стандарта по обеспечению информационной безопасности (ИБ) организаций Банковской системы России. На этот раз "лёд тронулся". По мнению многих участников конференции, стандарт увидит свет летом текущего года. Организаторами Второй ежегодной конференции "Информационная безопасность в кредитно-финансовой сфере: стратегия развития" выступили Центральный Банк России, Государственная техническая комиссия при президенте РФ, Ассоциация российских Банков и IT-компания "АНДЭК". В качестве информационных спонсоров были привлечены "Аналитический банковский журнал" и журнал "Банковские технологии". Как и предполагалось, центральной темой конференции стал Проект стандарта по обеспечению ИБ в кредитно-финансовых учреждениях, который активно обсуждался представителями банков (в том числе и Центрального Банка России), Гостехкомиссии и АРБ с одной стороны и IT-общественностью, с другой. Это уже не первая попытка прийти к единому мнению относительно контроля и регулярной оценки уровня ИБ в организациях Банковской Системы РФ (БС РФ). Однако, как заметил Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России, сейчас вопрос стандартизации стоит наиболее остро и медлить с внедрением Проекта нельзя. В частности Андрей Курило сообщил: "Кредитно-финансовые организации РФ сейчас находятся в сложном положении, поскольку российская банковская система не имеет общих унифицированных требований. Именно это подвигло нас сделать революционный шаг и создать для банковской системы России свой национальный стандарт по обеспечению ИБ. Стандарт будет представлять собой пакет документов, во главе которого будет находиться первая книга под названием "Обеспечение информационной безопасности для организаций БС РФ". Сам стандарт, возможно, будет принят уже в этом году". Также на конференции были рассмотрены возможные перспективы развития стандартизации в области ИБ в целом, состояние нормативной базы по этому вопросу и существующие на сегодняшний день угрозы безопасности информации в банках. Развитию стандартизации в российских банковских учреждениях был посвящен доклад Александра Велигуры, председателя комитета по информационной безопасности АРБ, заместителя генерального директора "АНДЭК" по специальным проектам. "Если представить систему банковских стандартов в виде многоуровневой пирамиды, то самым верхним окажется общий национальный стандарт ЦБ. Он задаёт философию всей системе требований и правил, именно поэтому он так важен, - считает г-н Велигура. - Уровнем ниже будут находиться вспомогательные документы, такие как общая схема банковских бизнес-процессов, классификатор угроз ИБ и так далее. Следующий уровень – "Рекомендации по организации ИБ в банке". Далее будут располагаться требования по ИБ для автоматизированных банковских систем. При этом две составляющие каждого уровня (кроме верхнего) - организационно-процедурные и технические требования. Но даже там, где всё, казалось бы, отрегулировано, есть вопросы, не регламентированные общими документами. И эти вопросы необходимо решать в первую очередь". Нормативная база по обеспечению ИБ в банках анализировалась Борисом Скородумовым, заместителем генерального директора Института банковского дела АРБ в докладе "Закон "О техническом регулировании" и информационная безопасность". Г-н Скородумов привёл цитату Уильяма А. Вульфа (Президента Национальной Инженерной Академии США) применительно к теме конференции: "Истина состоит в том, что мы не знаем, как создавать надёжные информационные системы. Главный вывод - необходима разработка совершенно новых методов обеспечения безопасности информационных систем". В своей речи Борис Скородумов заметил, что до недавнего момента в России не существовало адаптированной для российской банковской системы документальной базы. "Сегодня в нашей стране действуют выпущенные Гостехкомиссией документы, которые носят исключительно технический характер. Они регламентируют вопросы несанкционированного доступа, блокировки каналов утечки информации, типы угроз и прочее. Но эти документы касаются не только банков, но и всех остальных компаний, для которых актуальна защита информационных ресурсов. Слабая сторона этих документов в том, что они не учитывают специфики банковской сферы". Резюмируя высказывания, как представителей банковского сообщества, так и специалистов IT-компаний, генеральный директор компании "АНДЭК", председатель комитета АРБ по стандартам и унифицированным правилам, а так же заместитель председателя подкомитета №3 "Защита информации в кредитно-финансовой сфере" Технического комитета №362 "Защита информации" (ПК 3/ТК 362) Федеральной службы по техническому регулировании и метрологии (бывший Госстандарт России) Вячеслав Степанов отметил: "Очевидно, что большая часть работы по Проекту стандарта позади. Я уверен в том, что его обнародование, а затем и внедрение не заставит себя ждать, поскольку в данном случае сроки диктует само состояние нормативной базы кредитно-финансового рынка". Г-н Степанов, как глава компании-организатора, так же поделился своими впечатлениями о конференции в целом: "Мы проводим эту конференцию уже не первый раз и, если сравнивать с прошлогодней, то интерес банков к вопросам информационной безопасности значительно вырос. Об этом можно судить по количеству гостей, увеличившемуся, как минимум, вдвое. Безусловно, позитивным явился тот факт, что участники круглых столов и секционных заседаний не просто выслушивали доклады, а активно вступали в дискуссию и даже полемизировали по наиболее острым вопросам. Говорить об итогах конференции пока рано - результаты нашей работы можно будет оценить спустя несколько месяцев, когда будет вводиться стандарт по обеспечению ИБ. Но уже сегодня я могу сказать, что задачи, поставленные участниками конференции, нашли свои решения, которые уже сейчас могут быть использованы банками в качестве эффективных технологий защиты информационных ресурсов". О компании "АНДЭК"