По словам Александра, основные задачи подразделения информационной безопасности «Златкомбанка» лежат в сфере выполнения требований регуляторов – стандарта СТО БР ИББС, положение 382-П, 152-й ФЗ о персональных данных и др., а также различных приказов ФСТЭК, ФСБ в области обеспечения информационной безопасности.
Что касается практических аспектов информационной безопасности, в этом вопросе, по мнению эксперта, необходим баланс в использовании технических средств и организационных мер. Здесь многое зависит от бюджета, выделяемого тем или иным банком на информационную безопасность. Если бюджет невелик, то значительная часть задач закрывается оргмерами. Если же у банка есть целевой бюджет на ИБ, тогда можно выбирать технические средства защиты, тестировать, внедрять. При этом в небольших банках часто рождаются самописные ИБ-системы или же используются open source-решения. Иногда выстраивают эшелонированную защиту – ставят различные средства защиты на разные узлы системы. При этом многие банки опасаются передавать ИБ на аутсоринг, несмотря на очевидную экономическую выгоду, поскольку видят в этом подходе риски мошенничеств, невыполнения подрядчиком своих обязательств и т.п.
Александр Виноградов констатирует, что для руководства банков необходимым условием для выделения бюджета на информационную безопасность является четкое обоснование необходимости закупки средств защиты, а одним из самых убедительных обоснований по-прежнему являются требования регуляторов.
Среди наиболее актуальных угроз информационной безопасности банков гость назвал атаки на системы ДБО, а также атаки на АРМ КБР через общую банковскую сеть (живейший пример – увод денежных средств с корреспондентских счетов более 20-ти российских банков в начале 2016 года). Постоянно появляются новые угрозы и уязвимости, от которых невозможно полностью обезопаситься, можно лишь снизить риски с помощью технических средств и оргмер.
Обсудили участники программы и деятельность нескольких ИБ-объединений в финансовой сфере, в частности – неформальное объединение банковских ИБ-специалистов Антидроп-клуб и открытый чуть больше года назад FinCERT. Последний, по мнению Александра Виноградова, не нужно было создавать в рамках Центробанка. «Банк России является оператором платежной системы, а также осуществляет надзорные функции. И если какому-либо банку нужно отправить информацию об инциденте в Центробанк, то сразу встает вопрос, а не придет ли в этот банк на следующий день надзорный блок ЦБ с проверкой, все ли требования по обеспечению информационной безопасности в этом банке соблюдены. Эти опасения работают. Если бы FinCERT был отделен от ЦБ, то доверия к центру со стороны кредитно-финансовых организаций было бы больше».