Когда
речь заходит о нашей любимой информационной безопасности, воображение обычного
человека часто рисует страшные кибератаки хакеров и утечки данных из каких-то
там далеких крупных корпораций. Только когда начинаешь задумываться и
анализировать, в голову приходят защита личных данных, безопасность операций,
доступность привычных сервисов. И только когда дело доходит до реальных
инцидентов, выраженных в денежных потерях, сразу становишься осведомленным хотя
бы на минимальном уровне как в профильном законодательстве, так в методах
защиты. Схожая ситуация и с корпоративной кибербезопасностью, когда зафиксированные
факты прямых убытков кардинально меняют отношение к теме абсолютно всех по всем
вертикалям, доходя до необходимости личного погружения в тему непрофильного топ-менеджмента.
Именно
поэтому финансовый сектор, как правило, является крупнейшим драйвером развития рынка
информационной безопасности во всех странах, ведь здесь все понятно: вот живые
настоящие деньги, вот их по-настоящему крадут. Мы все упорно движемся к миру,
когда физический обмен наличностью останется в прошлом, посмотрите на некоторые
страны (для резидентов во Франции, Португалия – до 1000 евро), которые
искусственно ограничивают максимально возможные «натуральные» платежи, тем
самым толкая не просто отрасль, но весь привычный жизненный уклад в безвозвратную
цифру. В этих условиях значимость проблем ИБ сложно переоценить, о ней будут заботиться
все чаще и кропотливее.
Вернемся
к нашей специфике, согласно которой никакие мало-мальски значимые процессы в
стране не могут обходиться без регулирования со стороны государства. Уже
неоднократно в своих заметках я говорил о необходимом балансе между обеспечением
национальной безопасности и нормальным функционированием бизнес-процессов в компаниях
и, пожалуй, всем остальным отраслям нашей экономики здесь в пример можно
поставить регулирование финансового сектора. Еще раз подчеркну, что проблем хватает
и тут, однако, политика ЦБ РФ, как мегарегулятора, мне лично весьма импонирует.
О причинах такого здравого подхода говорить не будем, гораздо интереснее
поговорить о его результатах, применительно, само собой, к направлению
информационной безопасности.
Давайте
посмотрим на основную идею по иерархии законодательства по ИБ.
Я
намеренно ее упростил и убрал ветвления (Указы президента, Нормативные акты
региональных правительств, Ведомственные вертикальные приказы и т.п.), чтобы
проиллюстрировать посыл: самый основной блок – Отраслевые документы, на этом
уровне как раз и должно быть «разжевано» соответствующим организациям (хорошо,
не всем, а только тем, которые нуждаются в этом и сами просят, а таких очень
немало) что конкретно нужно (рекомендуется) делать во исполнении тех или иных вышестоящих
нормативных актов. Вернемся к ЦБ, здесь он выступает сразу в 2-х ролях –
Регулятор ИБ и одновременно Отраслевой регулятор. И это очень круто, что ему удалось
указанную позицию занять. В итоге – никакая новая тема (сначала ПДн, потом Цифровая
экономика, теперь КИИ и ГосСОПКА) не обходится без его участия в рамках
поднадзорной сферы.
Общаясь
с компаниями из совершенно разных отраслей на тему ИБ, я составил весьма неоднозначное
мнение по факту ответов на вопрос: «а как вам помогают головные по вертикали ФОИВ
или ГК?». В этой ситуации в пример я уверенно ставлю ЦБ, об адекватном и
грамотном подходе которого говорят практически все заинтересованные игроки. Действительно,
увидим, как сложится ситуация с коммерческими SOC, самой ГосСОПКОЙ, вендорскими центрами
компетенций, но работа ФинЦЕРТа заметна невооруженным взглядом уже сейчас. Приведу
пример. На майском заседании ПК1 ТК122 в ЦБ очень живо обсуждали с экспертами
формат обмена информацией об инцидентах между финансовыми организациями и
ФинЦЕРТом (речь о СТО БР ИБФО–1.5–2018), более того, регулятором были предприняты реальные шаги к тому, чтобы
облегчить жизнь представителям отраслям, в частности, путем снятия обязанности
передачи напрямую в ФСБ со стороны объектов КИИ без присвоенной категории
значимости. Кстати, к таким объектам, по мнению ЦБ, относятся вообще все, включая
ломбарды. Кроме того, описываемый формат был уже заранее гармонизирован с
подписанным чуть позже законом, вносящим поправки в законодательство об
антифроде и отмывании денег (банки получат право приостанавливать денежный
перевод на срок до двух дней, если появится подозрение, что эта операция совершается
без ведома владельца банковской карты и другие нововведения). И подобных
примеров решения конкретных жизненных кейсов немало, важно, что в процессе их
решения дается ответ на вопрос «что делать?».
Признаемся
честно, до 100% рыночных отношений и чисто «риск-ориентированного» подхода к
регулированию нам еще не близко. Однако, среди «отраслевиков» еще раз особенно
выделяю ЦБ, как образец максимально адекватного и конструктивного в условиях
сегодняшнего политического курса взгляда на проблематику ИБ в финансовой
отрасли, который по-настоящему старается.
Оставайтесь
на светлой стороне.