Источник: Коммерсантъ
Дата публикации: 15 Марта 2007 г.
Банк России отреагировал на прошлогодние скандалы, вызванные утечками баз данных о банковских заемщиках, и намерен проверить уровень информационной безопасности в банках. Как стало известно Ъ, письма с предупреждением о грядущих проверках ЦБ уже разослал участникам рынка. В ходе ревизии Банк России намерен проверить соблюдение банками стандарта информационной безопасности, построенного на западных аналогах. Банкиры опасаются, что проверки выявят огромные объемы утечки конфиденциальной банковской информации, в первую очередь о корпоративных клиентах.
ЦБ начал рассылать в банки письма с сообщением о намерении проверить выполнение стандарта «Обеспечение информационной безопасности организаций банковской системы РФ», утвержденного распоряжением ЦБ №Р-27 от 26 января 2006 года. В Банке России подтвердили намерение проконтролировать соблюдение банками этих стандартов. Информацию о получении писем от ЦБ Ъ подтвердили в целом ряде банков, в частности в Бинбанке. О таких же письма Ъ сообщили в нескольких аудиторских компаниях, консультирующих банки, а также в ряде IT-компаний. «С вопросами по этому письму ЦБ к нам обращались некоторые из наших банковских клиентов»,– сообщил Ъ директор департамента банковского аудита ФБК Алексей Терехов. А директор по маркетингу компании Infowatch Денис Зенкин рассказал Ъ, что в ходе проведения исследования по внутренним IT-угрозам в банковском секторе участники рынка сообщали об ужесточении контроля Банка России за информационной безопасностью. Ранее таких проверок, по словам участников рынка, регулятор не проводил.
Под информационной безопасностью ЦБ понимает систему мер защиты банка от утечки конфиденциальной информации, в первую очередь о клиентах. В стандарте ЦБ по информационной безопасности указывается на то, что наибольшими возможностями для нанесения ущерба банку обладает его собственный персонал, и приводятся конкретные рекомендации по защите от инсайда. В частности, документ регламентирует методики моделирования угроз утечки информации, политику и систему управления информационной безопасностью, требования к программным средствам внутреннего контроля. Однако сейчас эти стандарты ЦБ носят рекомендательный характер и необязательны для исполнения.
Начиная комплексную проверку банков, Банк России среагировал на утечки банковской конфиденциальной информации, участившиеся в последние полгода. С лета 2006 года в продаже на черном рынке стали появляться базы заемщиков–физических лиц (см. Ъ от 16 августа и 12 декабря 2006 года). Источником утечки эксперты и сами банкиры называли службы безопасности банков. По словам руководителя пресс-службы бюро специальных технических мероприятий МВД Ирины Зубаревой, в 80% случаев информация из банка похищается людьми, которые там работают: «Зачастую преступные группы внедряют в банк человека, который является специалистом по взломам IT-систем, и он обеспечивает кражу конфиденциальной информации».
В то же время эксперты в области информационной безопасности говорят, что на практике утечки из банков гораздо значительнее и нелегальные базы данных заемщиков–физических лиц лишь малая их часть. Наибольший интерес для мошенников представляют данные по корпоративным клиентам, а отследить пропажу такой информации гораздо сложнее. «Чаще всего из банков утекает инсайд по корпоративным клиентам, поскольку он гораздо более востребован – например, для получения преимуществ при участии в тендерах,– говорит президент консалтинговой компании в сфере информационной безопасности LETA IT Company Александр Чачава.– Персональным же данным физических лиц сложнее найти применение в мошеннических схемах».
При этом риски банков в случае утечки информации о корпоративных клиентах несопоставимо выше. "Утечка информации о физических лицах может стоить места системному администратору или, максимум, начальнику IT-департамента,– говорит Александр Чачава.– В то время как утечка корпоративной информации чревата потерей клиентов, прино
Комментарии
Книги на GAAPshop.ru
Горящие семинары
Все семинары
на edu.GAAP.RU