Споры о стандарте информационной безопасности банков продлятся еще долго

Споры о стандарте информационной бе... Споры о стандарте информационной бе...

Вчера в отеле Мариотт Тверская прошла III Всероссийская конференция «IT-безопасность 2007». Ключевой темой, с которой конференция и началась, была стандартизация Банка России, введение единого для всех банков стандарта информационной безопасности.

Докладчиком по этой теме был Валерий Харламов, начальник отдела главного управления безопасности и защиты информации Центрального Банка России.

- Работы по созданию единого стандарта начались в 2000 году. Были поставлены цели: повышение доверия к банковской системе РФ, установление единых требований к информационной безопасности, достижение адекватности мер по противостоянию реальным угрозам, предоставление результатов оценки уровня ИБ различных организаций в сопоставимом виде. И к 2007 году было принято четыре документа – сформирован первичный блок комплекса документов в области стандартизации. Он должен обеспечить единый подход к оценке информационной безопасности.

В. Харламов отметил, что стандарт был положительно воспринят в банковском сообществе, Ассоциация российских банков положительно отреагировала на его внедрение, и ряд кредитных организаций уже ввел его в инициативном порядке.

Однако, как выяснилось далее, картина вовсе не так радужна. Основная проблема заключается в том, что стандарт носит рекомендательный характер. Это создает неопределенность в его восприятии. Из вопросов, задаваемых Харламову представителями банковской сферы стало ясно, что в первую очередь банкиров тревожит, как и что будут спрашивать с банков аудиторы и проверяющие компании.

В Российской Федерации в настоящее время аудит информационной безопасности кредитных организаций проводится путем применения международных и иностранных стандартов, а оценки по этим стандартам несовместимы между собой, а также несовместимы со стандартом Банка России.

Но даже и не это взволновало банкиров больше всего, а то, что аудиторские компании спрашивают так, словно стандарт обязателен, не глядя на его рекомендательный характер.

В. Харламов на это только развел руками – работа аудиторов зачастую проводится неквалифицированно.

Модератор конференции, Василий Окулесский, начальник информационной безопасности Банка Москвы прокомментировал ситуацию: «Как бы то ни было, пришедшей проверке придется что-то отвечать. Даже если стандарт носит рекомендательный характер, и банк имеет право не ответить проверке ничего, выйдет так, как всегда выходит: ничего за это не будет, но осадок у проверяющих останется…»

Следующий выступающий, Андрей Зубков, начальник отдела управления информационной безопасности службы экономической безопасности Альфа-банка, темой доклада которого была проведенная банком самооценка, говорил о соответствии Альфа-банка обсуждаемому стандарту:

- За время проведенной самооценки мы подняли уровень информационной безопасности так, что он приблизился к стандарту ЦБР, но задачи добиться полного соответствия мы не ставили – это слишком дорого и требует слишком больших ресурсов. В настоящее время банки не готовы и не могут выйти на требуемый уровень…

«Как бы то ни было, сейчас можно быть уверенными, что все эти споры о едином стандарте продлятся еще долго», с улыбкой прокомментировал на последующем кофе-брейке руководитель службы безопасности банка Союзный Михаил Левашов.


09 Ноября 2007 14:17
Автор: Елена Смирнова
Источник: 1RRE.ru

Читайте также:





Архив новостей