Одной из наиболее организованных областей экономики является финансовая. Она прежде других устремилась к разработке и введению в свою практику стандартов, регламентирующих передачу и хранение информации. Вместе с тем на деятельность финансовых организаций сильное воздействие оказывают и государства, выступающие как национальные регуляторы финансовых процессов.
Президент Ассоциации российских банков (АРБ) Гарегин Тосунян, оценивая процессы стандартизации в банковской отрасли России, отметил, что они цивилизуют отрасль, обеспечивая базу доверия и гарантий в отношениях между ее предприятиями и организациями. АРБ, по его словам, придает стандартизации огромное значение, полагая, что в ней отражается стремление банковского бизнеса к саморегулированию, которое только начинает развиваться в российской финансовой сфере. “Важно, — подчеркнул он, — чтобы стандарты не сваливались на нас сверху, а осознанно внедрялись самой организацией по мере возникновения потребности в них”.
Между тем мнения о приоритетах в выборе между национальными и международными стандартами и о целесообразности внедрения последних в российскую практику не всегда совпадают у представителей регулирующих органов и коммерческих финансовых структур. Поводом обсудить эти проблемы для нас стал проект, реализованный в “Банке24.ру” (напомним, что этому банку недавно исполнилось 15 лет, его работа сегодня сосредоточена в Уральском федеральном округе, а нынешней осенью руководство планирует открыть филиалы в Москве и Санкт-Петербурге).
Именно внутренние потребности подвигли “Банк24.ру” первым среди российских финансовых организаций пройти сертификацию на соответствие международному стандарту ISO 27001:2005. Объектом сертификации был выбран комплекс услуг расчетного обслуживания клиентов через Интернет.
Как рассказал Борис Дьяконов, председатель совета директоров “Банка24.ру”, в настоящее время 93% юридических клиентов банка обслуживаются через дистанционные системы доступа к услугам (у других банков, по его оценкам, этот показатель тоже высок — в среднем не ниже 50%), поэтому всё, что связано с дистанционным обменом информацией, для их учреждения критично. “Мы считаем, что именно здесь сосредоточена наибольшая часть рисков нашего банка”, — подчеркнул он.
Согласно данным, опубликованным на сайте www.iso27001certificates.com, в России сертификацию на соответствие стандарту ISO 27001:2005 прошли восемь компаний (и “Банк24.ру” — единственная среди них — финансовая), в то время как в лидирующей по этому показателю Японии таковых аж 2653 (а в стоящей на второй позиции Индии — 422). Что касается динамики, то количество проводимых по этому стандарту сертификаций линейно растет. Так, с июля 2005-го по апрель 2008-го оно выросло с 1700 до 4500.
В “Банке24.ру” действует система финансовой гарантии качества услуг, предполагающая в случае невыполнения обязательств перед клиентами (например, задержку электронного платежа на полминуты) выплату штрафа размером в двойную стоимость транзакции. Поэтому ему важно иметь систему, обеспечивающую необходимое качество. При этом в понятие качества обслуживания включается и сохранность клиентской информации.
Стандарт ISO 27001:2005 был выбран банком, как заявляют его представители, не случайно. Система управления информационной безопасностью (ИБ), построенная на нем, показалась руководству и специалистам наиболее соответствующей их представлениям о защите информации, базирующейся на управлении рисками. Она позволяет создать гибкую и удобную схему процессов, обеспечивающих ИБ не только при дистанционных банковских операциях.
“Наша система ИБ, — сказал г-н Дьяконов, — отличается не неуязвимостью, а тем, что мы следим, чтобы ее уязвимостью не злоупотребили. И работает она не для галочки: в процессе внедрения, за время эксплуатации, в ходе аудита было зарегистрировано около 1000 ошибок и предложений сотрудников. Как только нам становится известно о какой-то уязвимости, мы экстренно принимаем меры, чтобы исправить ситуацию и обезопасить себя и клиентов. Это постоянная работа. ISO 27001:2005 позволяет системно управлять рисками, связанными с ИБ, и своевременно принимать меры по их уменьшению и устранению”.
Оценивая результаты внедрения и сертификации, г-н Дьяконов констатировал: “Мне как одному из акционеров банка сертификация дала уверенность в качестве его защищенности. Клиентам она показала, что банк заботится о сохранности их средств”.
Выбор в пользу международного стандарта при том, что Центробанком принят свой стандарт безопасности (СТО БР ИББС-1.0—2006), г-н Дьяконов пояснил следующим образом: “Стандарт, разработанный ЦБ РФ, носит рекомендательный характер, а наш банк выполняет рекомендации ЦБ. Весте с тем официального органа, который проводил бы сертификацию на соответствие стандарту ЦБ, нет. Банк может соответствовать этому стандарту, имея систему ИБ, обеспечивающую разные степени информационной защиты. Сертификация на соответствие ISO 27001:2005 такой градации не предполагает — либо в компании этот стандарт реализован, либо нет. К тому же в стандарте ЦБ есть требования, имеющие объективно декларативный характер”.
Говоря же о том, какую сертификацию нужно пройти, чтобы поднять доверие клиентов, г-н Дьяконова сказал, что доверять больше будут тому банку, который больше потратится на рекламу и при этом не допустит повлиявших на репутацию инцидентов.
Таким образом получается, что официальная сертификация ИБ — это прежде всего средство самоуспокоения собственников бизнеса. Примерно так считает и Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России. По его мнению, сертификация по международным стандартам должна давать банку некоторые преференции на международном уровне. В пределах же страны, как в данном случае, кроме некоторого улучшения внутренней организации работ по обеспечению информационной безопасности, сертификация, считает он, банку ничего не дала.
“Сертификаты, выдаваемые неизвестными Центробанку фирмами (аудит “Банка24.ру” был выполнен компанией “Бюро Веритас Сертификейшн Русь”. — Прим. авт.), регулятором не признаются, так как нам не известны методики, по которым проводились работы, и квалификация специалистов-оценщиков, мы не знаем, как в банке организован внутренний контроль по поддержке достигнутого в ходе сертификации уровня зрелости. Таким образом, официальная значимость подобного сертификата ничтожна, — заключает г-н Курило. — Коль скоро регулятор в содружестве с государственными органами регулирования и крупнейшими банками России выпустил стандарт безопасности, адаптированный к особенностям кредитно-финансовой сферы, то использование в качестве методологии аудита иных стандартов, да еще с ничтожными последствиями сертификации, представляется в принципе избыточным. Так можно было бы поступать, если бы в стране практически не существовало таких стандартов, но это, к счастью, не так”.
Несколько иную точку зрения высказал Андрей Грициенко, начальник службы информационной безопасности банка “Возрождение”: “Сертификация по стандарту ISO 27001:2005, выполненная в отношении даже и не самой критичной части информационной системы банка, далеко не бесполезна и составляет своего рода базис для других видов сертификации по вопросам обеспечения ИБ, которые диктуются регулятором в отношении организаций банковской системы России”. В то же время вопрос об эффективности сертификации, по мнению г-на Грициенко, правомерно рассматривать только вместе с поставленными руководством банка целями, причем как декларируемыми, так и “остающимися за скобками” для общественности, и если целью является PR-акция, то скорее всего такую сертификацию можно считать избыточной. Возможно, более полезным для ИБ банка, считает он, было бы провести аттестацию на соответствие стандарту Банка России СТО БР ИББС-1.0—2006, так как она охватывает всю систему управления информационной безопасностью, а не отдельные ее части.
Тем не менее, по мнению г-на Грициенко, примеру “Банка24.ру” скорее всего последуют и другие российские финансовые учреждения, особенно если принять во внимание грядущее вступление нашей страны в ВТО и связанный с этим импульс для рекламных кампаний, показывающих соответствие международным стандартам (зачастую не особенно важно, каким именно). “Но предполагаемый поток заявлений на сертификацию по стандарту ISO 27001:2005 может приостановиться 1 января 2010 г., когда банки должны будут обеспечить соответствие федеральному закону “О персональных данных”, — напоминает он. — Да и ЦБ не дремлет: скоро обещает новую версию соответствующего стандарта”.