CC BY
32Что сдерживает эффективную реализацию комплексного подхода к информационной безопасности банков
Косарев Владимир Евгеньевич,
кандидат технических наук, доцент Департамента банковского дела и финансовых рынков, Финансовый университет при Правительстве Российской Федерации E-mail: vkosarev@fa.ru
Данная статья посвящена изучению отдельных вопросов ки-бербезопасности банков. Автор присоединяется к тем многочисленным мнениям, что информационную безопасность нужно рассматривать только комплексно. То есть в банках это работа «команды», в которую входят как минимум три типа специалистов: банкиры-финансисты организаторы бизнеса банков; юристы и как законодатели, и как практики правоприменения; инженеры - специалисты по разработке алгоритмов, по созданию программно-аппаратных систем борьбы с киберпреступностью. На конкретных примерах в данной статье демонстрируется «командная» работа. Однако целью стати является не столько демонстрация успехов, сколько выделение сдерживающих факторов эффективной реализации комплексного подхода к информационной безопасности банков, в том числе, имеющих межведомственное происхождение. Автор предлагает читателю свое видение как преодоления отдельных противоречий в организации банковской деятельности в вопросах кибербезопасности; так и взгляд на подготовку в Университетах специалистов, увы, совершенно разных профессий, для решения названных задач: в частности, реализации межкафедрального подхода.
Ключевые слова: банки, информационная безопасность, правовые аспекты информационной безопасности, методики оценки рисков информационной безопасности.
Цифровая трансформация экономики РФ, дид-житализация банковского сектора - все это условия агрессивного возникновения разного рода ки-бермошенничеств, роста киберпреступности и т.д. Государство взяло эту проблематику под свой контроль - так, например, в декабре 2016 года была опубликована «Доктрина информационной безопасности Российской Федерации» [1]. Банк России ни до, ни после принятия этой концепции не прекращал и не прекращает организацию мероприятий, принятие разного рода ведомственных актов (инструкций, стандартов и т.д.) по вопросам защиты финансовой сферы от киберугроз.
Защита от столь изощренного «противника» -кибермошенников, может быть эффективна, если реализуется комплексный подход, который включает организационные, правовые, технические аспекты - одновременно. И здесь мы с очевидностью обнаруживаем, что универсального специалиста по борьбе с кибермоенничеством - нет. Как показывает практика, это «работа команды», в которую входят как финансисты - организаторы деятельности банков; так и юристы - на законотворческом этапе формулирующие правовые нормы, а на этапе борьбы с правонарушителями - реализующие эти правовые нормы; а так же инженеры, информатики - специалисты, разрабатывающие методы, алгоритмы защиты информационной безопасности, а на практике - создающие и внедряющие программно-аппаратные комплексы информационной безопасности банков.
Мы озадачились рассмотрением следующих аспектов развития банковской системы:
- как в организационном плане, в правовом аспекте возникают проблемы во взаимодействии правоохранительных органов и коммерческих банков в вопросах противодействия ки-бермошенничеству; и как их можно и нужно решать;
- как известные методики оценки рисков информационной безопасности находят или могли бы найти применение в банках; и что нужно делать совместно финансистам и инженерам по системам кибербезопасности - что бы это эффективно заработало.
Проблемы во взаимодействии правоохранительных органов и коммерческих банков в вопросах противодействия кибермошенничеству
Финансовые институты, коммерческие банки характеризуются закрытостью. Здесь уместно вспомнить
сз о
со £
m Р
сг
от А
=Е
поговорку «деньги любят тишину». Любые факты выявления кибермошенничества несут с собой, в том числе, и имиджевые риски для банков. Совершенно естественно, что топ менеджмент банков предпочитают не обращаться за помощью в правоохранительные органы. Расследованием хищений денежных средств со счетов клиентов и случаев кибермошенничества занимаются в основном специалисты служб безопасности финансовых организаций. Они проводят внутреннее расследование и фиксируют выявленные нарушения.
С другой стороны, в Государстве существуют правоохранительные органы, одной из задач которых является противодействие, профилактика, расследование киберпреступлений. Этот функционал закреплен за подразделениями МВД РФ.
Уже давно обращают на себя внимание вопросы межведомственных противоречий, конфликт интересов: если банки не хотят давать информацию, и даже не могут давать информацию, когда это определено в правовом смысле как «банковская тайна»; то органы МВД, не получая оперативно информацию о киберпреступлениях, испытывают затруднения в профилактике и расследовании оных.
Затронутая тема актуальна по многим причинам. Одна из них, по нашему мнению, недостаточное внимание законодателя к проблематике правового регулирования кибербезопасности и информационной безопасности в сфере дистанционного банковского обслуживания. Отсутствие надлежащего нормативного обеспечения в рассматриваемой сфере является в некоторой степени следствием совершения такого специфичного вида правонарушений, как киберпре-ступления. К примеру, в Рф деятельность банков в области дистанционного банковского обслуживания регулируется только отдельными федеральными законами, а также, подзаконными актами - инструкциями, стандартами, письмами Банка России.
Конечно, в стране существует концепция решения вопросов информационной безопасности. В соответствии с Доктриной информационной безопасности РФ [1], банковская сфера признается как наиболее затронутая компьютерной преступностью, потому что именно здесь сконцентрированы финансы физических и юридических лиц, на завладение которыми направлено внимание злоумышленников. Особенно актуальны угрозы кибербезопасности и информационной безопасности в условиях развития электронной коммерции и широкого использования системы оп-Нпе-банк. Технологии, позволяющие совершать покупки дистанционно, используются хакерами для достижения своих целей. ^ Законодатели в целях противодействия ин-= формационным угрозам и обеспечения контро-е ля информационной безопасности в финансовой й сфере приняли Закон № 167-ФЗ от 27.06.2018 [2]. ° Данный законодательный акт содержит положе-ав ния по обеспечению защиты информации при ра-
боте с финансовыми активами и противодействие совершению нелегальных операций с денежными средствами.
Однако мы решили выделить из многих правовых аспектов, так или иначе находящих отражение в реальности - конфликт интересов банковского сообщества и правоохранителей, документооборот. Да, казалось бы не сложный аспект, не требующий вмешательства законодателей в трактовку категории «банковской тайны» - до сего дня остается не решенным.
В июле 2021 года Ассоциация российских банков, как выразитель интересов коммерческих банков РФ, обратилась в МВД России с предложением организовать электронный документооборот и электронное взаимодействие между кредитными учреждениями и МВД России, в т.ч. с использованием системы межведомственного электронного взаимодействия [3].
В письме Ассоциации российских банков обращается внимание на то, что: «... Актуальность указанного вопроса обусловлена стремительным ростом преступлений в кредитно-финансовой сфере, которые, как отмечается правоохранительными органами, занимают особое место в структуре экономической преступности вследствие аккумуляции в этом секторе колоссального количества денежных средств и высокой степени криминализации кредитно-финансовой системы российской экономики. Своевременное выявление, расследование и профилактика вышеназванных преступлений в кредитно-финансовой сфере, на наш взгляд, возможны исключительно при условии оперативного и конструктивного взаимодействия правоохранительных органов, в том числе органов МВД России, с кредитными организациями. Взаимодействие органов Министерства внутренних дел Российской Федерации и банков осуществляется преимущественно путем обмена документацией на бумажном носителе .»
Другими словами, банкиры предлагают правоохранителям внедрять электронный документооборот, не выходя за рамки действующих нормативно-правовых актов. То есть, не требуя вмешательства законодателей в трактовку тех или иных правовых норм.
МВД России в ответном письме [4] продемонстрировало свою готовность к сотрудничеству, однако указало, что «... В ходе проработки вопросов организации обмена информацией в электронном виде с кредитно-финансовыми учреждениями большинство из них отказались от заключения соглашений по причинам правового и (или) технического характера ...».
Так или иначе, но наличие межведомственных противоречий на лицо. По мнению автора, выход из подобной межведомственной разобщенности видится только один: это реализация инициатив на государственном уровне - внедрение системы межведомственного электронного документооборота, которым сейчас занимаются.
Известные методики оценки рисков информационной безопасности и их применение в банках
Современные условия развития цифровые технологий все в большей степени подвергают банковскую систему определенным угрозам и рискам, при этом цифровая экономика вывела их на новый уровень, что обуславливает необходимость повышения требований к состоянию информационной безопасности кредитных организаций и банковской системы в целом. Систематическая трансформация системы мер, реализуемых кредитными и иными финансовыми организациями, выступает в качестве закономерного процесса, актуального в качестве ответа на растущее число киберугроз.
К сегодняшнему дню сформировались некоторые стандарты/рекомендации методики оценки рисков информационной безопасности:
- Рекомендации РС БР ИББС-2-2.2-2009, устанавливающие типовые формы документирования результатов оценки. Рекомендации разработаны Банком России в 2009 году [5].
- Стандарт ISO/IEC27005 [6]. Особенности стандарта заключаются в том, что он содержит полный пакет стандартов управления рисками информационной безопасности и предполагает возможность получения сертификата соответствия. В международной практике у стандарта ISO/IEC27005 «Information technology -Security techniques - Information security risk management» известны несколько версий: 2005, 2011, 2018 годов.
- Иные рекомендации и стандарты по информационной безопасности.
Здесь мы не ставим перед собой задачу раскрыть весьма внушительный пласт инженерной науки - стандартов и рекомендаций по информационной безопасности. Хотелось бы обратить внимание читателя на международный, глобальный аспект этой проблематики, а также на то, что Банк России не остается «в стороне», от этих проблем. Просто глобальные вопросы информационной безопасности - явно выходят за рамки деятельности национального банка.
В инженерных науках разработки методик оценки рисков информационной безопасности ведутся несколько десятилетий. Это именно инженерные науки, раздел которых раньше было принято называть «кибернетика», хотя это и слишком общее название.
Мы хотим обратить внимание читателя на две методики оценки рисков информационной безопасности в контексте их применения к коммерческим банкам:
Методика CRAMM [7] (the UK Goverment Risk Analysis and Managment Method) была разработана Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Она используется, начиная с 1985 года, правительственными и коммерчески-
ми организациями Великобритании, за прошедшие более чем 35 лет приобрела популярность у крупных корпораций, торговых сетевых компаний во всем мире.
Методика ГРИФ - это отечественная разработка, ее вхождение в рынок относится к 2005 году. Данная методика имеет некоторые преимущества, по отношению к вышеназванной британской, в частности, в относительной простоте использования. Однако за внешней простотой скрывается сложный алгоритм анализа рисков, который позволяет на выходе дать точную оценку существующих в информационной системе рисков. Продвижению этой методики мы обязаны Digital Security [8] - основанной в 2003 году российской консалтинговой компании в области информационной безопасности (ныне представлена на рынке как ООО «Дид-житал Комплаенс», г. Санкт-Петербург). Компания работает по договорам, в том числе, с крупными российскими коммерческими банками, такими как: ПАО Сбербанк, Банк ГПБ (АО), АО ЮниКре-дитБанк, ПАО Росбанк и другими.
Если методика CRAMM, программные продукты, построенные на применении методики - изначально создавалась и используется за пределами нашей страны; то методика ГРИФ - отечественная разработка, фактически применяется только в российских корпорациях и, отчасти, банках.
В целом, в отношении исследованных нами методик, которые на рынке представляются программными продуктами, можно сформулировать системные недостатки:
- Сложность. Для использования методик необходима специальная подготовка и высокая квалификация специалиста (специалистов).
- Трудоемкость. Использование методик может потребовать несколько месяцев непрерывной работы специалиста (специалистов).
- Долгая адаптируемость программного продукта под конкретного заказчика, привязки к его бизнесс-процессам. Программный инструментарий генерирует большое количество как запросов на получение информации, так и итоговых отчетов, которые не всегда оказываются полезными для анализа конкретного бизнеса. В то же время, настраиваемость программного продукта на потребности заказчика - остается исключительной компетенцией компании разработчика.
- Лицензируемость программного продукта. Что несет с собой как издержки заказчика, так и зависимость заказчика от компании разработчика; в том числе, информационная уязвимость в части доступа разработчика к деталям бизнес-процесса заказчика.
Как промежуточный итог рассуждений: с одной стороны, Банк России поддерживает и оказывает регуляторной воздействие на банковскую систему - в части применения методик оценки рисков информационной безопасности. С другой стороны, применение тех или иных программных продуктов, построенных на названных методиках -находится в компетенции топ менеджмента бан-
сз о со от m Р от
от А
=Е
ка, который определяет: как целесообразность их применения, так и уровень единовременных (на приобретение) и текущих (на эксплуатацию) инвестиций.
Выводы
Подводя некоторые итоги, хочется обратить внимание на следующие сдерживающие факторы:
1. Для эффективной реализации комплексного подхода к вопросам информационной безопасности в банках, по нашему мнению, сегодня все острее и острее обозначаются межведомственные противоречия. Вышеприведенный пример обращения Ассоциации российских банков в МВД РФ, и ответ МВД по вопросу оптимизации электронного документооборота. Если здравый смысл подсказывает, что мероприятия по поиску киберпреступников, профилактике киберпресту-плений - требует оперативного взаимодействия государственных институтов (банков и правоохранительных органов), то этот вопрос нужно было бы уже решить. Но это частное мнение автора, а на сегодняшний день мы имеем проявление межведомственных противоречий, которые, скажем справедливости ради, строятся как на юридическом аспекте применения института банковской тайны, так и на технических аспектах создания аппаратно-программных комплексов оперативного обмена закрытой информацией между названными выше государственными институтами.
Выход из подобной межведомственной разобщенности видится только один: это реализация инициатив на государственном уровне. Например, по отношению к обсуждаемому вопросу, это должно стать внедрение системы межведомственного электронного документооборота, которым сейчас занялись.
2. Инженерные науки, или, как еще недавно называли это направление инженерии «кибернетика», а теперь чаще называют «информатика» -несколько десятилетий занимается созданием методик оценки рисков информационной безопасности. В начале разработки данные методики нашли применение в сложных производствах и специальных государственных службах, а позже - в бизнесе, у такого рода предпринимательства, как крупные сетевые магазины. Применение названных методик оценки рисков в финансовых институтах, в банках - встречает ряд сдерживающих факторов. Мы называли только некоторые их подобных факторов, среди которых: сложность и трудоемкость их применения; зависимость коммерческого банка от разработчика специальных программных средств - то есть информационная уязвимость банка в части доступа разработчика к деталям
^ бизнес-процесса; а также имиджевые риски для = банков, которые несет в себе любое распростра-е нение информации о киберугрозах для финансо-сч вых институтов.
041 Возможное решение подобных задач видится, ав например, во включении в сферу разработок веду-
щих отечественных 1Т компаний, которые получили признание в банковской сфере - программных продуктов по применению методик оценки рисков информационной безопасности. Это мнение автора, которое основывается на видении менталь-ности банкира, управляющего банком - доверять только отечественным, проверенным, независимым 1Т компаниям, например, создателям «операционного дня» банка.
3. Сама проблематика информационной безопасности в банках, на наш взгляд, имеет, как минимум, три профессиональные составляющие. Мы попробуем рассмотреть их «через призму» специальностей ВАК:
Экономическая или управленческая составляющая. Код специальности ВАК 08.00.10 «Финансы, денежное обращение и кредит». Экономические науки. С этих позиций исследуется как потребность финансов в защите информации, так и оценка реальных потерь бизнеса банков при возникновении разного рода информационных угроз.
Правовая составляющая. Код специальности ВАК 12.00.04 «Финансовое право; налоговое право; бюджетное право» - юридические науки. Для юристов основным стержнем поддержания стабильности для развития общественно-экономических отношений, для предупреждения конфликтов интересов в бизнесе, в том числе, банковском - является формулирование правовых норм и механизмы их соблюдения.
Техническая составляющая. Код специальности ВАК 05.13.19 «Методы и системы защиты информации, информационная безопасность» - технические науки. С позиций инженеров, программистов, специалистов информационной безопасности внедряются известные и создаются новые алгоритмы защиты информации, в том числе, кредитных учреждений.
Если приводимый нами взгляд кому-то покажется упрощением - пусть так. Если сам институт специальностей ВАК постоянно совершенствуется - то мы тоже не претендуем на этот аспект развития. Нам интересно здесь отметить присутствие в проблематике информационной безопасности трех вышеназванных профессиональных подходов.
Для успешной реализации создания систем информационной безопасности в банках специалистам (финансистам, юристам, инженерам) необходимо работать «в команде». А для подготовки специалистов по каждому из трех направлений в Университетах - необходимо формировать у студентов ментальность межкафедрального (для ВУЗов) и межведомственного (для бизнеса) подхода; в том числе, преподавать межкафедральные дисциплины.
Литература
1. Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 5 декабря 2016 г. N646) - [Электронный
ресурс]. - Режим доступа: https://base.garant. ru/71556224/ (дата обращения 25.04.2022)
2. Федеральный закон от 27 июня 2018 г. N167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» - [Электронный ресурс]. - Режим доступа: https://base.garant.ru/71975424/ (дата обращения 25.04.2022)
3. Письмо АРБ от 12.07.2021 Министру внутренних дел РФ генералу полиции РФ Колокольце-ву В.А. «Об организации электронного взаимодействия и электронного документооборота между кредитными организациями и МВД России» - [Электронный ресурс]. - Режим доступа: https://arb.ru/b2b/docs/pismo_arb_ministru_ vnutrennikh_del_rf_generalu_politsii_rf_kolokolt-sevu_v_a_ob_o-10485265/ (дата обращения 25.04.2022)
4. Ответ МВД России от 16.08.2021 на письмо АРБ «Об организации электронного взаимодействия и электронного документооборота между кредитными организациями и МВД России» - [Электронный ресурс]. - Режим доступа: https://arb.ru/b2b/docs/otvet_arb_mvd_rossii_ ob_organizatsii_elektronnogo_vzaimodeystvi-ya_i_elektronnogo-10493566/ (дата обращения 25.04.2022)
5. Рекомендации в области стандартизации Банка России (РС БР ИББС-2-2.2-2009) «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» - [Электронный ресурс]. - Режим доступа: https://base.garant. ru/590017/ (дата обращения 25.04.2022)
6. Национальный стандарт РФ «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» - [Электронный ресурс]. - Режим доступа: https://base.garant. ru/70350582/ (дата обращения 25.04.2022)
7. Современные методы и средства анализа и контроля рисков информационных систем компаний - [Электронный ресурс]. -Режим доступа: https://www.ixbt.com/cm/ informationsystem-risks012004.shtml (дата обращения 25.04.2022)
8. Digital Security - [Электронный ресурс]. - Режим доступа: https://dsec.ru/solutions-bank/ (дата обращения 25.04.2022)
WHAT HINDERS THE EFFECTIVE IMPLEMENTATION OF AN INTEGRATED APPROACH TO INFORMATION SECURITY OF BANKS
Kosarev V.E.
Financial University under the Government of the Russian Federation
This article is devoted to the study of certain issues of cybersecu-rity of banks. The author joins the numerous opinions that information security should be considered only comprehensively. That is, in banks, this is the work of a "team", which includes at least three types of specialists: bankers-financiers, organizers of banks' business; lawyers both as legislators and as practitioners; engineers -specialists in the development of algorithms, in the creation of software and hardware systems to combat cybercrime. Using concrete examples, this article demonstrates "teamwork" However, the purpose of the article is not so much to demonstrate success, as to highlight the constraining factors for the effective implementation of an integrated approach to the information security of banks, including those with barriers. The author offers the reader his vision of how to overcome certain contradictions in the organization of banking activities in matters of cybersecurity; and a look at the training of specialists in Universities, alas, completely different professions, to solve these tasks: in particular, the implementation of the interdepartmental approach.
Keywords: banks, information security, legal aspects of information security, methods for assessing information security risks.
References
1. The Doctrine of information security of the Russian Federation (approved by the Decree of the President of the Russian Federation of December 5, 2016 N646) - [Electronic resource]. -Access mode: https://base.garant.ru/71556224 / (accessed 25.04.2022)
2. Federal Law No. 167-FZ of June 27, 2018 "On Amendments to Certain Legislative Acts of the Russian Federation regarding Countering the Theft of Funds" - [Electronic resource]. -Access mode: https://base.garant.ru/71975424 / (accessed 25.04.2022)
3. Letter of the ARB dated 12.07.2021 to the Minister of Internal Affairs of the Russian Federation, General of the Police of the Russian Federation Kolokoltsev V.A. "On the organization of electronic interaction and electronic document flow between credit institutions and the Ministry of Internal Affairs of Russia" -[Electronic resource]. - Access mode: https://arb.ru/b2b/docs/ pismo_arb_ministru_vnutrennikh_del_rf_generalu_politsii_rf_ kolokoltsevu_v_a_ob_o-10485265 / (accessed 25.04.2022)
4. The response of the Ministry of Internal Affairs of Russia dated 08/16/2021 to the letter of the ARB "On the organization of electronic interaction and electronic document flow between credit institutions and the Ministry of Internal Affairs of Russia" - [Electronic resource]. - Access mode: https://arb.ru/b2b/docs/otvet_ arb_mvd_rossii_ob_organizatsii_elektronnogo_vzaimodeystvi-ya_i_elektronnogo-10493566 / (accessed 25.04.2022)
5. Recommendations in the field of standardization of the Bank of Russia (RS BR IBBS-2-2.2-2009) "Ensuring information security of organizations of the banking system of the Russian Federation. Methodology for assessing the risks of information security violations" - [Electronic resource]. - Access mode: https:// base.garant.ru/590017 / (accessed 25.04.2022)
6. The National standard of the Russian Federation "Information technology. Methods and means of ensuring security. Information security risk Management" - [Electronic resource]. -Access mode: https://base.garant.ru/70350582 / (accessed 25.04.2022)
7. Modern methods and means of risk analysis and control of companies' information systems - [Electronic resource]. -Access mode: https://www.ixbt.com/cm/informationsystem-risks012004.shtml (accessed 25.04.2022)
8. Digital Security - [Electronic resource]. - Access mode: https:// dsec.ru/solutions-bank / (accessed 25.04.2022)
C3
о
CO
от m Р от
от А
IE
