Банки проверят на информационную безопасность

Только 16% банков готовы применять новый стандарт информационной безопасности, предложенный ЦБ для снижения рисков утечки данных о клиентах. Исследования показывают, что банкиры не видят экономической целесообразности внедрять дорогую технологию. В этих условиях регулятор намерен улучшить статистику за счет привлечения к проверкам уполномоченных аудиторов и консультантов. И предупреждает о возможности превращения рекомендаций в требование.

В распоряжении Ъ оказались результаты исследования готовности банковского сектора к внедрению стандарта Банка России по информационной безопасности, проведенного в марте—июне этого года компанией InfoWatch и сообществом пользователей стандартов Банка России по информационной безопасности (ABISS). Хотя 95% опрошенных банкиров как минимум читали стандарт, к добровольному его внедрению готовы лишь 16% принявших участие в исследовании банков. Внедрен же он в той или иной степени лишь у 5% кредитных организаций. Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49%), бюджетные ограничения (40%) и отсутствие реальных экономических стимулов (31%).

Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» утвержден распоряжением ЦБ #Р-27 от 26 января 2006 года и направлен на снижение рисков инсайдерской утечки информации из банков. Документ носит рекомендательный характер и регламентирует методики моделирования угроз утечки информации, политику и систему управления информационной безопасностью, требования к программным средствам внутреннего контроля в банках.

Исследование было завершено 11 июня. А чуть позже на сайте ABISS были обнародованы долгожданные методические рекомендации по внутренней документации банков (РС БР ИББС-2.0-2007) и самооценке ими системы информационной безопасности (РС БР ИББС-2.1-2007). Однако основным стимулом для банкиров станут не эти документы, а возможность избежать дополнительных проверок со стороны регулятора. Как стало известно Ъ, те банки, которые представят в ЦБ заключение уполномоченной аудиторской или консалтинговой компании о соответствии стандарту, ЦБ по этому вопросу в рамках собственных ревизий проверять не будет. При этом круг уполномоченных компаний будет ограничен членами ABBIS – KPMG, «Эрнст энд Янг» и несколькими российскими компаниями. Как сообщил Ъ секретарь совета сообщества и исполнительный директор Метробанка Павел Гениевский, регламент взаимодействия между Банком России и ABISS уже разработан и в ближайшее время будет передан на утверждение в ЦБ, в рамках дальнейшего взаимодействия ABISS c Банком России будет разработан детальный порядок проверок. «В итоге банкам, которые получат заключения консалтинговых компаний—членов ABISS, будет легче при комплексных проверках Центробанка», – пояснил господин Гениевский.

Между тем эксперты опасаются, что проверки банков избранными компаниями не столько уменьшат информационные риски, сколько добавят к ним коррупционные и сомневаются в законности такого подхода. «Безоговорочное принятие заключений одних аудиторских компаний и неприятие других – нерыночный подход, – считает директор департамента банковского аудита ФБК Алексей Терехов. – Даже если Банк России по каким-либо причинам и имеет основания безоговорочно доверять избранным аудиторским компаниям, в законодательстве об этом ничего не сказано, а регулятором аудиторского рынка пока еще является Минфин».

По мнению участников рынка, повышенная активность ЦБ в разработке многочисленных рекомендательных документов свидетельствует о том, что скоро они станут обязательными. "Обратите внимание на оговорки, уже сейчас заложенные во все рекомендации ЦБ по информационной безопасности, – говорит представитель IT-департамента крупного банка. – Там сказано, что все они применяются на добровольной основе, если иное не установлено, в ча