ЦБ про аутсорсинг ИБ (цитаты)

ЦБ про аутсорсинг ИБ (цитаты)
В прошлой заметке я писал про появление проекта рекомендаций ЦБ про аутсорсинг ИБ , а в этой хочу напомнить о том, что предшествовало этому. Сделал небольшую подборку цитат Сычева Артема Михайловича (ЦБ РФ) с различных конференций по ИБ, на которых, помимо прочего, он упоминал необходимость и возможность использования банками услуг аутсорсинга ИБ.

Уральский форум (16.02.2016)
  • "Есть проблема, она заключается в том, что у крупных банков, безусловно, есть ресурсы, чтобы заниматься ИБ на системном уровне, а у мелких банков таких ресурсов нет, не было и не будет в ближайшее время. Даже если мы начнем сильно наказывать за ИБ. Выход из этого, на самом деле, есть. И этот выход называется аутсорсинг. Никто не говорит, что его нельзя использовать в рамках той же самой ИБ. Вопрос в том, что и как в рамках аутсорсинга делать."

Форум АЗИ (12.04.2016)
  • "Как минимум 2 услуги [аутсорсинга ИБ] могут присутствовать на рынке. Это обслуживание системы антифрода и системы обеспечения внешней защищенности."
  • "Но, к сожалению, таких услуг на сегодняшний день практически нет. Что в этом смысле может ЦБ и будет делать? А он, по уже сложившейся практике, будет готовить рекомендации в области стандартизации, где попытается описать те особенности аутсорсинговой деятельности и взаимоотношения между аутсорсером и компанией, покупающей его услуги, в части ИБ. Мы прекрасно понимаем, что это один из вариантов, который может способствовать повышению уровня ИБ именно в тех категориях кредитных организаций и, вообще, участников финансового рынка, которые на сегодняшний момент не могут себе позволить в полном объеме заниматься ИБ."
  • "Насколько это может решить проблему? Может, но тогда, когда появится жесткая система сертификации качества тех самых услуг, которые будут предоставлять. И, условно назовем, "система сертификации" того качества обеспечения ИБ, которое будет реализовано в той или иной финансовой организации. Я не могу сказать, в каком формате будет существовать система сертификации, но у ЦБ есть право проверять своих поднадзорных в том числе и по вопросам ИБ, это одна из частей операционного риска."
  • "Если у вас будет предложение аутсорсингового характера, которое может удовлетворить потребности мелких и средних финансовых организаций, я думаю, это будет выгодно и финансовому рынку и вам, как производителю."

CISOForum (18.04.2016)
  • "Я говорю про отсутствие на рынке сейчас предложений в части как раз обсуждаемой ранее задачи по аутсорсингу [ИБ]. Вот таких предложений на рынке практически нет, а рынок, на самом деле, достаточно большой, объемный."
  • "На взгляд регулятора, рынок [аутсорсинга ИБ] есть и достаточно большой."
  • "Это [аутсорсинг ИБ] могут быть разные направления: и защита периметра и работы по защите от НСД, и то, что называется антифродом."
  • "Спасение в аутсорсинге [ИБ] в том, что это часть функционала [ИБ], который банк не может себе позволить. Как атака идет? Идет заброс любыми путями, как правило, это массовая рассылка вредоноса в сеть. Дальше, соответственно, вредонос начинает эту активность уже внутри сети. Вот проблема в том, что эту активность никто внутри кредитной организации не видит. Почему не видит? Потому, что никто за эти не наблюдает, ни информатизаторы, ни безопасность, никто. Почему не наблюдают? А потому, что у них нет на это времени, сил и компетенций. А это та самая задача, которую совершенно спокойно можно выносить на аутсорсинг."
  • Олег Седов: "Я правильно понимаю, что мы сейчас договорились до того, что FinCERT стал частным случаем аутсорсинга ИБ?" Сычев А.М.: "Нет, FinCERT - это не вариант аутсорсинга, у него совершенно другие задачи. А вот в качестве аутсорсинга, компании, которые могут взять на себя хотя бы анализ того самого трафика и предупреждение на периметре, это как раз то, что можно смело двигать в сторону мелких и средних кредитных организаций."
  • Олег Седов: "...Увязан ли с юридической точки зрения этот вопрос [Вопрос о том, что вдруг при передаче на аутсорсинг провайдер получает информацию, составляющую ПДн и БТ. На самом деле, кстати, обычно нет.]"? Сычев А.М.: "Слушайте, а когда банк передает коллекторам свои долги, это ни кого не смущает?! И когда страховые компании привлекают для продажи своих продуктов большое количество агентов. Это ни кого не смущает. Когда сидит агент банка где-нибудь в торговой точке, а с банком он связан лишь той самой информационной системой и правилами выдачи кредитов и совершенно может быть не связан договором. Это тоже ни кого не смущает. То есть юридически варианты работы и с ПДн и с банковской тайной, когда это нужно бизнесу, бизнес всегда находит. А как только дело касается безопасности, то тут, коллеги, извините, включается "тумблер безопасника", который принимает сразу огромное количество различных конструктивных материалов, которые говорят, что так нельзя. И старательно доказывают, что так нельзя. "Так нельзя и все". Но задача не в том, чтобы сказать, что "нельзя", а чтобы найти варианты "как можно"."
Дык вот, проект рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ « Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности » и дает ответ на вопрос "как можно" использовать аутсорсинг ИБ...
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Andrey Prozorov

Информационная безопасность в России и мире