Анастасия Харыбина, председатель АБИСС и руководитель AKTIV.CONSULTING, рассказала порталу Cyber Media о специфике государственного регулирования информационной безопасности в финансовой отрасли, актуальных трендах и том, как АБИСС помогает участникам сообщества находить общий язык с регуляторами.

Cyber Media: Расскажите об ассоциации АБИСС, какими задачами она занимается?

Анастасия Харыбина: АБИСС — это площадка для взаимодействия пользователей стандартов по информационной безопасности в широком смысле. И тут под стандартами подразумеваются не только наши национальные ГОСТы, но и вообще вся регуляторика, все требования, которые так или иначе предъявляются в целях обеспечения информационной безопасности. АБИСС собирает под своим крылом не только организации, на которые непосредственно направлены законодательные акты, но и консультантов, аудиторов, аутсорсеров, пентестеров, ИТ/ИБ вендоров, а также представителей регуляторов — Банка России, ФСТЭК, Минфицры, Роскомнадзора и т.д.

АБИСС (от английского Association of Banking Information Security Standards) изначально создавалась для финансовой отрасли, потому что именно она исторически наиболее интересна для мошенников, что обусловило отдельное регулирование отрасли с точки зрения информационной безопасности. Сегодня всем очевидно, что проблемы кибербезопасности вышли на другой уровень, и покрывают все отрасли, которые относятся к критической информационной инфраструктуре.

Повторюсь, АБИСС — это ассоциация пользователей стандартов по информационной безопасности. И наша задача — обеспечить всем участникам сообщества условия для общения, обмена мнениями, экспертизой, что, в конечном итоге, положительно скажется на развитии рынка информационной безопасности. Без этого никак нельзя. Мы уже убедились, что в случае, если регуляторы сами по себе, рынок — сам по себе, а вендоры и интеграторы — сами по себе, то далеко мы не уедем, тем более в текущей сложившейся непростой ситуации.

Cyber Media: Если говорить об уровне «зарегулированности» финансового сектора с точки зрения кибербезопасности, насколько он велик?

Анастасия Харыбина: Как я уже сказала финансовая отрасль в части ИБ, действительно, самая зарегулированная. Однако, ощущение «много или мало» регуляторики зависит от каждого конкретного специалиста по информационной безопасности и от размера организации: для кого-то она кажется избыточной, а для кого-то очевидна ее необходимость и достаточность.

В Сообществе АБИСС участвуют разные финансовые организации — не только банки, но и некредитные финансовые организации (страховые компании, негосударственные пенсионные фонды, профессиональные участники рынка ценных бумаг и т.д.). Для части из них появление нового Положения или ГОСТ — это дополнительная нагрузка для обеспечения комплаенса, а для кого-то — фактическое обоснование для развития службы ИБ внутри организации. То есть, на самом деле тут многое зависит от специалиста, который руководит службой информационной безопасности внутри финансовой организации.

Конечно, регуляторики много, и поставляют ее сразу несколько регуляторов. Основной для финансовых организаций — Банк России в лице Департамента информационной безопасности, но нельзя забывать и о ФСТЭК РФ, ФСБ РФ, Роскомнадзоре, Минцифре, а также о требованиях Федеральных законов, Постановлений правительства, Указов президента и т.д.

Банк России уже более 8 лет планомерно разрабатывает и внедряет три больших пласта законодательных актов. Базовый уровень — это регуляторика, касающаяся защиты информации, описывающая технические и организационные меры (ГОСТ 57580.1-2 и связанные с ним Положения Банка России).

Следующий блок, который сейчас внедряется в финансовых организациях — это процессы, связанные с управлением операционными рисками, в том числе рисками информационных угроз, которые объединяют ИТ и ИБ риски. И здесь, как показал прошлый год, основная проблема в отсутствии достаточного уровня взаимодействия между рисковыми и службой ИБ.

И третий блок, ради которого выполняются все процедуры первого и второго блока — обеспечение операционной надежности финансовой организации, а, в итоге — устойчивости всей российской банковской системы в целом. Это очень важная задача на государственном уровне, которую Банк России решает, в том числе, путем введения новой регуляторики (например, ГОСТ 57580.3-4). И здесь основной проблемой становится отсутствие вовлеченности руководства финансовых организаций в процессы обеспечения операционной надежности.

Возвращаясь к вопросу, количество регуляторики увеличивается, и задача экспертного сообщества, в том числе Ассоциации АБИСС, приложить усилия для ее гармонизации, а также помочь расставить приоритеты, учитывая мнения всех сторон. Нельзя выполнять комплаенс на 100%, надо выбрать, что действительно сейчас самое важное, особенно в части требований 166 и 250 Указов президента, в которых сформулированы основные требования по импортозамещению и дополнительные требования по обеспечению информационной безопасности. В частности, об этом шла речь на конференции по вопросам регуляторики ИБ в финансовой отрасли, которая состоялась в ноябре 2022 года.

Cyber Media: Вы упомянули мероприятие, организатором которого выступила Ассоциация АБИСС. Чем оно отличалось от других ИБ-ивентов?

Анастасия Харыбина: Действительно, мероприятий по информационной безопасности достаточно много. И тут возникает вопрос: «А зачем делать ещё одно?». И ответ на самом деле очень простой: мы смотрим на вопросы информационной безопасности через призму реализации регуляторных требований. В основном на ИБ-мероприятиях этому либо уделяется совсем небольшое количество времени, либо не уделяется вовсе. При этом у большинства финансовых организаций очень много практических вопросов по реализации требований, именно на этом и строится программа нашей конференции. Помимо этого, мы стараемся делать конференцию в формате нетворкинга для обмена опытом, экспертизой и практическими кейсами. При этом заявиться в программу может любой специалист с рынка абсолютно бесплатно, независимо от своего места работы.

Сейчас комплаенс — это далеко не бумажная безопасность, а реальная перестройка процессов и внедрение технических мер. И если кто-то, как и 15 лет назад, утверждает, что комплаенс — это написать бумажки, чтобы потом показать их регуляторам, он в корне неправ. Так сделать уже не получится хотя бы потому, что на это придется потратить два примерно равных бюджета: один на «реальную ИБ», другой — на соответствие требованиям регулятора, за что бизнес точно не скажет спасибо. Работая в формате нетворкинг и соконсультирования мы можем помочь другу сделать процессы комплаенса более эффективными.

Cyber Media: Ваша ассоциация существует уже десять лет. Как, с точки зрения кибербезопасности, за это время изменилась сама финансовая отрасль?

Анастасия Харыбина: Очевидно произошла весьма значительная цифровая трансформация финансового сектора. Сейчас даже у подростков, пенсионеров есть банковские карты, на их смартфоны загружены приложения. Вместе с возросшим уровнем цифровизации возросло и внимание к информационной безопасности. Регуляторика, количество которой растет, служит драйвером для укрепления функции ИБ в организациях, способствует усилению роли ИБ-руководителей и степени их участия в принятии решений и разработке стратегии развития.

Один из острых вопросов, который можно отнести к косвенным последствиям цифровизации — сильный «кадровый голод» на рынке ИБ специалистов. Это очень серьезная проблема, которая уже начала решаться и будет актуальна ближайшие пять-десять лет, в том числе и на уровне государства. Я говорю не только о выращивании дефицитных ИБ-кадров, но и о повышении «цифровой гигиены», осведомленности простых людей о необходимости собственной цифровой защиты.

Тренд на цифровизацию может снизиться из-за финансового кризиса или геополитических сложностей, но только в краткосрочной перспективе. В конечном итоге он будет расти. И следом за ним будет расти потребность бизнеса в инструментах информационной безопасности и профильных кадрах.

К слову сказать, сегодня многие ИБ-специалисты боятся идти в финансовую отрасль, зная, насколько сильная она зарегулирована, сколько требований им предстоит знать и выполнять. На мой взгляд, это ошибка. Регуляторику нужно понимать, а не бояться: там есть много всего хорошего и полезного.

Источник