Смутный стандарт
Без эффективной системы информационной безопасности сегодня невозможна деятельность ни одной крупной компании. В банковском секторе, где информация является едва ли не главным активом, решение этой проблемы видится во внедрении стандарта ЦБ, позволяющего обезопасить банки от утечек конфиденциальных данных и увеличить их ответственность перед клиентами. На сегодняшний день стандарт внедрен лишь в 5% российских банков, но по прогнозам специалистов, в ближайшие три года это число вырастет до 80%.
Добровольно-принудительный порядок
Действующий сегодня стандарт Центробанка по информационной безопасности был введен 26 января 2006 года как обновленная версия его же 2004 года выпуска. В этом документе содержатся основные положения международных стандартов IT-безопасности и дается прямая инструкция по управлению операционными рисками и предотвращению утечек информации. Внедрение этого стандарта может обеспечить банкам соответствие положениям Базельского соглашения по капиталу Basel II (к которому Россия планирует присоединиться уже в 2009 году), а следовательно,- соответствие реалиям мирового финансового рынка. Важным аргументом в пользу стандарта эксперты считают и маркетинговый аспект: отвечая требованиям ЦБ, он служит своего рода гарантией защищенности и надежности банка, а значит, позволяет привлечь новых клиентов.
Официально стандарт Банка России носит чисто рекомендательный характер, то есть не является обязательным для введения. Тем не менее, как показало исследование "Стандарт Центробанка по IT-безопасности 2006", проведенное аналитическим центром InfoWatch совместно с порталом "Банкир.ру", большинство российских банков (72%) уверено, что в ближайшие три года его внедрение станет для них "обязаловкой".
Связано это в первую очередь с тем, что стандарт прямо или косвенно требует от банков создания систем защиты от утечек конфиденциальной информации. Дело в том, что в России, в отличие от США и стран Европы, до сих пор нет ни одного нормативного акта, который бы обязывал банк оповещать граждан в случае потери их персональных данных. Пользуясь этим, руководство компаний может просто сокрыть факт утечки и от правоохранительных органов, и от прессы, и даже от пострадавших. В противном случае репутации банка будет нанесен серьезный урон. "Когда об инциденте становится известно, портится имидж банка. Это, в свою очередь, приводит к потере лояльных клиентов и трудностям в привлечении новых. В результате снижается конкурентоспособность организации. Так что лучше предотвратить утечку, чем потом страдать от ее последствий",— комментирует Денис Зенкин, директор по маркетингу компании InfoWatch.
Известно, что угрозы IT-безопасности компании могут быть как внешними, так и внутренними. Долгое время бизнес в целом и банки в частности игнорировали внутренние риски, концентрируя внимание только на хакерских атаках, вредоносных кодах и спаме. Однако сейчас ситуация в корне изменилась: банкиры осознали, что инсайдерская утечка гораздо более опасна и менее контролируема. Согласно исследованию "Внутренние IT-угрозы в российском банковском секторе 2006", в ходе которого аналитический центр InfoWatch опросил более 300 отечественных кредитно-финансовых организаций, внутренние угрозы превалируют над внешними в соотношении шесть к четырем. В этом смысле введение стандарта ЦБ будет иметь двойной эффект — позволит не только повысить ответственность банка перед клиентами, но и защитить его от внутренних рисков.
5% вне опасности
На сегодняшний день стандарт Банка России введен лишь в 5% кредитно-финансовых организаций. Однако по результатам недавнего исследования "Стандарт ЦБ по IT-безопасности: внедрять или не внедрять?", в котором принял участие 101 российский банк, в 2007-2009 годах к ним планируют присоединиться еще 74%.
Между тем 16% опрошенных заявили о том, что не собираются участвовать в процессе еще как минимум два года. Представитель одного из таких банков объяснил это решение ожиданием результатов парламентских и президентских выборов, после которых ситуация в российском банковском секторе может резко измениться.
Как показало то же исследование, процесс внедрения стандарта по IT-безопасности тормозят сразу несколько факторов. Во-первых, около 50% российских банков до сих пор весьма смутно представляют себе, в чем суть этого документа и что им даст его принятие. Поскольку опыт тех мизерных 5% коллег едва ли можно считать наглядным примером, Центробанку следовало бы разработать пакет документов, детально разъясняющих всю методологию процедуры. Остальная часть опрошенных объяснила свое нежелание вводить стандарт большими материальными издержками (40%), отсутствием реальных экономических стимулов (31%), незаинтересованностью высшего руководства (30%) и неправильной политикой надзорного органа (17%).