Банки проверят на информационную безопасность
Только 16% банков готовы применять новый стандарт информационной безопасности, предложенный ЦБ для снижения рисков утечки данных о клиентах. Исследования показывают, что банкиры не видят экономической целесообразности внедрять дорогую технологию. В этих условиях регулятор намерен улучшить статистику за счет привлечения к проверкам уполномоченных аудиторов и консультантов. И предупреждает о возможности превращения рекомендаций в требование. Об этом пишет газета "Коммерсант".
В распоряжении "Коммерсанта" оказались результаты исследования готовности банковского сектора к внедрению стандарта Банка России по информационной безопасности, проведенного в марте-июне этого года компанией InfoWatch и сообществом пользователей стандартов Банка России по информационной безопасности (ABISS). Хотя 95% опрошенных банкиров как минимум читали стандарт, к добровольному его внедрению готовы лишь 16% принявших участие в исследовании банков. Внедрен же он в той или иной степени лишь у 5% кредитных организаций. Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49%), бюджетные ограничения (40%) и отсутствие реальных экономических стимулов (31%).
Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" утвержден распоряжением ЦБ #Р-27 от 26 января 2006 года и направлен на снижение рисков инсайдерской утечки информации из банков. Документ носит рекомендательный характер и регламентирует методики моделирования угроз утечки информации, политику и систему управления информационной безопасностью, требования к программным средствам внутреннего контроля в банках.
Исследование было завершено 11 июня. А чуть позже на сайте ABISS были обнародованы долгожданные методические рекомендации по внутренней документации банков (РС БР ИББС-2.0—2007) и самооценке ими системы информационной безопасности (РС БР ИББС-2.1—2007). Однако основным стимулом для банкиров станут не эти документы, а возможность избежать дополнительных проверок со стороны регулятора. Как стало известно изданию, те банки, которые представят в ЦБ заключение уполномоченной аудиторской или консалтинговой компании о соответствии стандарту, ЦБ по этому вопросу в рамках собственных ревизий проверять не будет. При этом круг уполномоченных компаний будет ограничен членами ABBIS — KPMG, "Эрнст энд Янг" и несколькими российскими компаниями. Как сообщил Ъ секретарь совета сообщества и исполнительный директор Метробанка Павел Гениевский, регламент взаимодействия между Банком России и ABISS уже разработан и в ближайшее время будет передан на утверждение в ЦБ, в рамках дальнейшего взаимодействия ABISS c Банком России будет разработан детальный порядок проверок. "В итоге банкам, которые получат заключения консалтинговых компаний-членов ABISS, будет легче при комплексных проверках Центробанка",— пояснил господин Гениевский.
Между тем эксперты опасаются, что проверки банков избранными компаниями не столько уменьшат информационные риски, сколько добавят к ним коррупционные и сомневаются в законности такого подхода. "Безоговорочное принятие заключений одних аудиторских компаний и неприятие других — нерыночный подход,— считает директор департамента банковского аудита ФБК Алексей Терехов.— Даже если Банк России по каким-либо причинам и имеет основания безоговорочно доверять избранным аудиторским компаниям, в законодательстве об этом ничего не сказано, а регулятором аудиторского рынка пока еще является Минфин".
В распоряжении "Коммерсанта" оказались результаты исследования готовности банковского сектора к внедрению стандарта Банка России по информационной безопасности, проведенного в марте-июне этого года компанией InfoWatch и сообществом пользователей стандартов Банка России по информационной безопасности (ABISS). Хотя 95% опрошенных банкиров как минимум читали стандарт, к добровольному его внедрению готовы лишь 16% принявших участие в исследовании банков. Внедрен же он в той или иной степени лишь у 5% кредитных организаций. Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49%), бюджетные ограничения (40%) и отсутствие реальных экономических стимулов (31%).
Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" утвержден распоряжением ЦБ #Р-27 от 26 января 2006 года и направлен на снижение рисков инсайдерской утечки информации из банков. Документ носит рекомендательный характер и регламентирует методики моделирования угроз утечки информации, политику и систему управления информационной безопасностью, требования к программным средствам внутреннего контроля в банках.
Исследование было завершено 11 июня. А чуть позже на сайте ABISS были обнародованы долгожданные методические рекомендации по внутренней документации банков (РС БР ИББС-2.0—2007) и самооценке ими системы информационной безопасности (РС БР ИББС-2.1—2007). Однако основным стимулом для банкиров станут не эти документы, а возможность избежать дополнительных проверок со стороны регулятора. Как стало известно изданию, те банки, которые представят в ЦБ заключение уполномоченной аудиторской или консалтинговой компании о соответствии стандарту, ЦБ по этому вопросу в рамках собственных ревизий проверять не будет. При этом круг уполномоченных компаний будет ограничен членами ABBIS — KPMG, "Эрнст энд Янг" и несколькими российскими компаниями. Как сообщил Ъ секретарь совета сообщества и исполнительный директор Метробанка Павел Гениевский, регламент взаимодействия между Банком России и ABISS уже разработан и в ближайшее время будет передан на утверждение в ЦБ, в рамках дальнейшего взаимодействия ABISS c Банком России будет разработан детальный порядок проверок. "В итоге банкам, которые получат заключения консалтинговых компаний-членов ABISS, будет легче при комплексных проверках Центробанка",— пояснил господин Гениевский.
Между тем эксперты опасаются, что проверки банков избранными компаниями не столько уменьшат информационные риски, сколько добавят к ним коррупционные и сомневаются в законности такого подхода. "Безоговорочное принятие заключений одних аудиторских компаний и неприятие других — нерыночный подход,— считает директор департамента банковского аудита ФБК Алексей Терехов.— Даже если Банк России по каким-либо причинам и имеет основания безоговорочно доверять избранным аудиторским компаниям, в законодательстве об этом ничего не сказано, а регулятором аудиторского рынка пока еще является Минфин".