Автор: Сергей Чертопруд

Банк России впервые разработал и предложил всем кредитным организациям страны комплекс мер по выстраиванию эффективной системы мониторинга и контроля информационных потоков с целью минимизации риска утечки информации. С 1 мая 2016 года вступают в силу «Рекомендации по обеспечению информационной безопасности организаций банковской системы Российской Федерации» (РС БР ИББС-2.9-2016).

Согласно этому документу «наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ (банковской системы — прим. ред.) и (или) ее клиентам в части возможного нарушения конфиденциальности обрабатываемой информации обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации, — возможные внутренние нарушители информационной безопасности». Более того, «утечка информации является одной из актуальных угроз нарушения информационной безопасности (далее – ИБ), которую могут реализовать возможные внутренние нарушители ИБ».

Фактически регулятор рынка официально признал общеизвестный факт. В большинстве случаев причиной утечки информации, умышленно или нет, становятся действующие или уже уволенные сотрудники кредитных организаций. Разумеется, банки и до этого принимали конкретные меры по минимизации данной угрозы, вот только каждый решал эту задачу по-своему. Что же рекомендует сделать регулятор?

Во-первых, руководители подразделений отвечающих за информационную безопасность и IT смогут, скажем так, на законных основаниях просить у руководства и акционеров банков дополнительных ресурсов, не только финансовых, но и, например, административных, на усовершенствование существующей системы ИБ. Так, регулятор рынка рекомендует установить персональную ответственность каждого сотрудника банка «за соблюдение правил обработки информации в АБС и ответственность руководителей структурных подразделений организации БС РФ за организацию соблюдения указанных правил».

Во-вторых, все внутренние нарушители будут разделены на несколько категории. Например, категория А1 — «высшее руководство банка», а категория Г — аудиторы, подрядчики или представители судебных госорганов. И соответственно, подробно расписан перечень угроз утечки информации с учетом каждой из категорий. Например, нарушители из категория В (технический и вспомогательный персонал) находясь около «рабочих станций пользователей» (персональных компьютеров) могут вынести оборудование за пределы банка или произвести «визуальное или слуховое ознакомление с информацией». Соответственно, перед подразделением ИБ стоит задача по недопущению таких возможностей.

В-третьих, регулятор рынка подготовил «Примерный состав категорий информации, рекомендуемых для включения в класс «информация конфиденциального характера»». Кроме традиционных сведений, которые рекомендовано квалифицировать как «коммерческую тайну» (например, «информация о планировании объемов и структуры размещения активов»), есть и «нестандартные». Например, «информация о конфликтах среди работников» банка или «информация о результатах социологических и психологических исследованиях, проводимых среди работников» кредитной организации. Хотя с позиции ИБ понятно зачем такие сведения нужно защищать. Что бы затруднить злоумышленникам возможность использовать методов социальной инженерии.

В-четвертых, ЦБ РФ подготовил «Пример рекомендаций по приоритизации выполнения работ по защите информации от потенциальных утечек информации». Говоря другими словами, указал банкам, какие мероприятия в сфере ИБ следует провести в первую очередь, а какие могут чуть подождать. Хотя те и другие все равно выполнять придется.