Когда речь заходит о нашей любимой информационной безопасности, воображение обычного человека часто рисует страшные кибератаки хакеров и утечки данных из каких-то там далеких крупных корпораций. Только когда начинаешь задумываться и анализировать, в голову приходят защита личных данных, безопасность операций, доступность привычных сервисов. И только когда дело доходит до реальных инцидентов, выраженных в денежных потерях, сразу становишься осведомленным хотя бы на минимальном уровне как в профильном законодательстве, так в методах защиты. Схожая ситуация и с корпоративной кибербезопасностью, когда зафиксированные факты прямых убытков кардинально меняют отношение к теме абсолютно всех по всем вертикалям, доходя до необходимости личного погружения в тему непрофильного топ-менеджмента.
Именно поэтому финансовый сектор, как правило, является крупнейшим драйвером развития рынка информационной безопасности во всех странах, ведь здесь все понятно: вот живые настоящие деньги, вот их по-настоящему крадут. Мы все упорно движемся к миру, когда физический обмен наличностью останется в прошлом, посмотрите на некоторые страны (для резидентов во Франции, Португалия – до 1000 евро), которые искусственно ограничивают максимально возможные «натуральные» платежи, тем самым толкая не просто отрасль, но весь привычный жизненный уклад в безвозвратную цифру. В этих условиях значимость проблем ИБ сложно переоценить, о ней будут заботиться все чаще и кропотливее.
Вернемся к нашей специфике, согласно которой никакие мало-мальски значимые процессы в стране не могут обходиться без регулирования со стороны государства. Уже неоднократно в своих заметках я говорил о необходимом балансе между обеспечением национальной безопасности и нормальным функционированием бизнес-процессов в компаниях и, пожалуй, всем остальным отраслям нашей экономики здесь в пример можно поставить регулирование финансового сектора. Еще раз подчеркну, что проблем хватает и тут, однако, политика ЦБ РФ, как мегарегулятора, мне лично весьма импонирует. О причинах такого здравого подхода говорить не будем, гораздо интереснее поговорить о его результатах, применительно, само собой, к направлению информационной безопасности.
Давайте посмотрим на основную идею по иерархии законодательства по ИБ.
Я намеренно ее упростил и убрал ветвления (Указы президента, Нормативные акты региональных правительств, Ведомственные вертикальные приказы и т.п.), чтобы проиллюстрировать посыл: самый основной блок – Отраслевые документы, на этом уровне как раз и должно быть «разжевано» соответствующим организациям (хорошо, не всем, а только тем, которые нуждаются в этом и сами просят, а таких очень немало) что конкретно нужно (рекомендуется) делать во исполнении тех или иных вышестоящих нормативных актов. Вернемся к ЦБ, здесь он выступает сразу в 2-х ролях – Регулятор ИБ и одновременно Отраслевой регулятор. И это очень круто, что ему удалось указанную позицию занять. В итоге – никакая новая тема (сначала ПДн, потом Цифровая экономика, теперь КИИ и ГосСОПКА) не обходится без его участия в рамках поднадзорной сферы.
Общаясь с компаниями из совершенно разных отраслей на тему ИБ, я составил весьма неоднозначное мнение по факту ответов на вопрос: «а как вам помогают головные по вертикали ФОИВ или ГК?». В этой ситуации в пример я уверенно ставлю ЦБ, об адекватном и грамотном подходе которого говорят практически все заинтересованные игроки. Действительно, увидим, как сложится ситуация с коммерческими SOC, самой ГосСОПКОЙ, вендорскими центрами компетенций, но работа ФинЦЕРТа заметна невооруженным взглядом уже сейчас. Приведу пример. На майском заседании ПК1 ТК122 в ЦБ очень живо обсуждали с экспертами формат обмена информацией об инцидентах между финансовыми организациями и ФинЦЕРТом (речь о СТО БР ИБФО–1.5–2018), более того, регулятором были предприняты реальные шаги к тому, чтобы облегчить жизнь представителям отраслям, в частности, путем снятия обязанности передачи напрямую в ФСБ со стороны объектов КИИ без присвоенной категории значимости. Кстати, к таким объектам, по мнению ЦБ, относятся вообще все, включая ломбарды. Кроме того, описываемый формат был уже заранее гармонизирован с подписанным чуть позже законом, вносящим поправки в законодательство об антифроде и отмывании денег (банки получат право приостанавливать денежный перевод на срок до двух дней, если появится подозрение, что эта операция совершается без ведома владельца банковской карты и другие нововведения). И подобных примеров решения конкретных жизненных кейсов немало, важно, что в процессе их решения дается ответ на вопрос «что делать?».
Признаемся честно, до 100% рыночных отношений и чисто «риск-ориентированного» подхода к регулированию нам еще не близко. Однако, среди «отраслевиков» еще раз особенно выделяю ЦБ, как образец максимально адекватного и конструктивного в условиях сегодняшнего политического курса взгляда на проблематику ИБ в финансовой отрасли, который по-настоящему старается.
Оставайтесь на светлой стороне.
