Только 16% банков готовы применять новый стандарт информационной безопасности, предложенный ЦБ для снижения рисков утечки данных о клиентах. Исследования показывают, что банкиры не видят экономической целесообразности внедрять дорогую технологию. В этих условиях регулятор намерен улучшить статистику за счет привлечения к проверкам уполномоченных аудиторов и консультантов. И предупреждает о возможности превращения рекомендаций в требование.
В распоряжении Ъ оказались результаты исследования готовности банковского сектора к внедрению стандарта Банка России по информационной безопасности, проведенного в марте--июне этого года компанией InfoWatch и сообществом пользователей стандартов Банка России по информационной безопасности (ABISS). Хотя 95% опрошенных банкиров как минимум читали стандарт, к добровольному его внедрению готовы лишь 16% принявших участие в исследовании банков. Внедрен же он в той или иной степени лишь у 5% кредитных организаций. Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49%), бюджетные ограничения (40%) и отсутствие реальных экономических стимулов (31%).
Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" утвержден распоряжением ЦБ #Р-27 от 26 января 2006 года и направлен на снижение рисков инсайдерской утечки информации из банков. Документ носит рекомендательный характер и регламентирует методики моделирования угроз утечки информации, политику и систему управления информационной безопасностью, требования к программным средствам внутреннего контроля в банках.
Исследование было завершено 11 июня. А чуть позже на сайте ABISS были обнародованы долгожданные методические рекомендации по внутренней документации банков (РС БР ИББС-2.0-2007) и самооценке ими системы информационной безопасности (РС БР ИББС-2.1-2007). Однако основным стимулом для банкиров станут не эти документы, а возможность избежать дополнительных проверок со стороны регулятора. Как стало известно Ъ, те банки, которые представят в ЦБ заключение уполномоченной аудиторской или консалтинговой компании о соответствии стандарту, ЦБ по этому вопросу в рамках собственных ревизий проверять не будет. При этом круг уполномоченных компаний будет ограничен членами ABBIS — KPMG, "Эрнст энд Янг" и несколькими российскими компаниями. Как сообщил Ъ секретарь совета сообщества и исполнительный директор Метробанка Павел Гениевский, регламент взаимодействия между Банком России и ABISS уже разработан и в ближайшее время будет передан на утверждение в ЦБ, в рамках дальнейшего взаимодействия ABISS c Банком России будет разработан детальный порядок проверок. "В итоге банкам, которые получат заключения консалтинговых компаний--членов ABISS, будет легче при комплексных проверках Центробанка",— пояснил господин Гениевский.
Между тем эксперты опасаются, что проверки банков избранными компаниями не столько уменьшат информационные риски, сколько добавят к ним коррупционные и сомневаются в законности такого подхода. "Безоговорочное принятие заключений одних аудиторских компаний и неприятие других — нерыночный подход,— считает директор департамента банковского аудита ФБК Алексей Терехов.— Даже если Банк России по каким-либо причинам и имеет основания безоговорочно доверять избранным аудиторским компаниям, в законодательстве об этом ничего не сказано, а регулятором аудиторского рынка пока еще является Минфин".
По мнению участников рынка, повышенная активность ЦБ в разработке многочисленных рекомендательных документов свидетельствует о том, что скоро они станут обязательными. "Обратите внимание на оговорки, уже сейчас заложенные во все рекомендации ЦБ по информационной безопасности,— говорит представитель IT-департамента крупного банка.— Там сказано, что все они применяются на добровольной основе, если иное не установлено, в частности, нормативным правовым актом ЦБ".
Будущую обязательность сегодняшних рекомендаций не отрицает и заместитель начальника главного управления безопасности и защиты информации ЦБ Андрей Курило. Недавно он сообщил о возможности "нормативного внедрения" стандартов информационной безопасности. Оценить, во что выльется трансформация рекомендательного подхода к информационной безопасности в обязательный, участники рынка затруднились. По разным оценкам, затраты могут составить от десятков до сотен тысяч долларов и грозят мелким банкам разорением.