На фоне недавней громкой утечки из «Сбербанка» данных то ли 60 млн., то ли «всего» ста клиентских банковских карт самое время еще раз обратить внимание на ГОСТ Р
Стоит ли ожидать с введением в обиход нового ГОСТа улучшения ситуации с ИБ в кредитно-финансовой сфере страны и сколько может стоить кредитно-финансовой организации выполнение госстандарта? На эти вопросы искали ответы участники круглого стола «Как реализовать требования ГОСТ Р 57580?», организованного специалистами консалтингового направления компании «Актив».
Несмотря на общую в условиях цифровой трансформации тенденцию сделать ИБ инструментом бизнеса (так, ЦБ РФ как регулятор намерен внести киберриски в список операционных банковских рисков), приходится признать, что новый ГОСТ адресован вовсе не бизнес-руководству банков, а их ИБ-службам. Но, как отмечают технические эксперты, стандарт оказался непрост для осмысления и для них. Вопросы начинаются с интерпретации в стандарте ряда технических терминов и распространяются на положения некоторых технических требований к обеспечению ИБ.
ГОСТ предполагает применение трех уровней защиты. Первый, самый строгий, предъявляет к инфраструктуре финансовой организации более ста требований (для второго и третьего уровней требований меньше, но не значительно). Все они завязаны на использование тех или иных организационных мер или средств защиты информации (СЗИ). В числе СЗИ системы DLP, SIEM, IDM, MDM и др. Решение задачи соответствия новому ГОСТу «в лоб», т. е. через закупку и внедрение этих систем, требует, по экспертным оценкам, десятков миллионов рублей, поскольку все из упомянутых систем недешевы.
Вместе с тем предложенная регулятором система оценки соответствия стандарту предусматривает пять уровней, что формально позволяет избежать использования дорогих СЗИ за счет полного отказа от некоторых из их ИБ-функций и выполнения других, наиболее важных, за счет применения более дешевых СЗИ. Например, некоторые функции систем IDM могут взять на себя службы каталогов Microsoft.
Пойти путем такой «экономии» можно, однако стоит учесть, что все эти дорогие СЗИ появились на рынке как средства автоматизации работы специалистов ИБ, и вполне вероятно, что сэкономленные деньги придется потратить на поддержку корпоративной ИБ-системы. Трудозатратность и сложность выполнения многих ИБ-функций спрятана у продвинутых СЗИ внутри, а наружу они предъявляют дружественные интерфейсы, снижающие требования к квалификации ИБ-персонала и освобождающие его от рутинных операций.
ЦБ РФ как отраслевой регулятор прилагает немало усилий для повышения ИБ подведомственных организаций: разрабатывает обязательные к исполнению отраслевые ИБ-требования и контролирует их исполнение. Однако со стороны банковского бизнес-руководства несоответствие регуляторным требованиям зачастую рассматривается сегодня как приемлемый риск. В первую очередь это относится к среднему и малому бизнесу. Разумеется, политика укрупнения банков приносит свои результаты: количество небольших банков сокращается. Однако общее число российских банков (их сегодня около пятисот) все еще оценивается экспертами как избыточное.
Создается впечатление, что у ЦБ РФ пока не получается перейти на регулирования ИБ в банках механизмами наказаний за инциденты (в соответствии с размером причиненного ущерба), и он продолжает идти неэффективным путем регулирования технического.