О дуализме Центробанка в контексте банковской ИБ

О дуализме Центробанка в контексте банковской ИБ
Пока ехал вчера в метро с курсов по НПС, думал о дуализме роли Банка России в области информационной безопасности банковской среды. С одной стороны ЦБ нередко закручивает гайки в части установления требований по ИБ. "Хорошим" примером этого является п.2.13.1 положения 382-П Банка России, согласно которому кредитная организация обязана ежемесячно направлять оператору платежной системы информацию об инцидентах ИБ. Ну должна и должна, в чем проблема-то? А в том, что кредитная организация должна слать такие отчеты ежемесячному КАЖДОМУ оператору платежной системы, членом которой он является. Хочет, например, банк предоставить своим клиентам возможность переводить деньга через CONTACT, MIGOM, ЮНИСТРИМ, Анелик, WebMoney, Western Union, Яндекс.Деньги, пожалуйста. Только вот и об инцидентах надо будет сообщать оператору каждой из этих платежных систем. Ежемесячно ;-( Не очень-то удобно. Особенно в условиях нехватки персонала. Получается, что все усилия и так немногочисленных сотрудников службы ИБ будут сосредоточены на подготовке и отправке ежемесячной отчетности, а не на обеспечении реальной безопасности банковских систем. Но это одна сторона медали. Есть и другая.

На что часто жалуются банковские службы ИБ (да и не только они)? На нехватку ресурсов на обеспечение ИБ. А почему их не хватает? Не дают. А почему не дают? Потому что безопасники не могут показать деньги. Я про это аккурат в понедельник писал . Отдельные Ибоши (это в FB термин такой случайно родился ;-) твердили, что я теоретик и не понимаю реалий, что оценить ущерб в деньгах невозможно и что этого никто не делает, и т.д. И вот появляется новая форма отчетности 0409258 об инцидентах с платежными картами, где в явной форме надо ежемесячно указывать количество и сумму несанкционированных операций по картам; причем по разным срезам. По 203-й форме ЦБ также планирует, о чем говорилось в Магнитогорске, ввести графу по похищенным или намеченных к хищению денежных средств.

Что нам дают эти нововведения? То, чего так ждут службы ИБ, до конца и не подозревая об этом. Показ денег! Вот он ущерб от деятельности мошенников, хакеров и иных протиправных личностей! Причем по разным срезам и помесячно. И тут же информация по инцидентам, которая так нужна для оценки вероятности нанесения ущерба. Опять же вероятность для каждого инцидента своя с распределением по времени года. И ведь все эти данные не притянутые за уши, и не взятые с потолка, и никто их не копипастил из статистических отчетов консультантов. Реальные цифры по конкретному банку. Одним выстрелом сразу двух зайцев.

Вот и получается, что с одной стороны ЦБ навязывает новые формы отчетности, сильно бюрократизируя ИБ, а с другой это позволяет сделать то, что так нужно банковским безопасникам. Нужно, конечно, не только им, но в других отраслях нет такого регулятора ;-) Дуализм, однако. И не знаешь, хорошо это или плохо... Каждый выбирает для себя.
управление инцидентами экономика цена безопасности НПС Банк России
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену