Цена безопасности

На многих банковских конференциях по информационной безопасности с разным градусом эмоций обсуждается вопрос поддержки рекомендаций регулятора «Безопасность банковских приложений на всех этапах жизненного цикла». Как принятие этих рекомендаций в качестве стандарта повлияет на банки и разработчиков? Насколько больших ресурсов потребует его внедрение? И зачем это все нужно?

Вендоры не напрягаются

Как полагает начальник отдела систем информационной безопасности компании РДТЕХ Олег Ерошин, хотя его компания и не разрабатывает АБС, введение этого стандарта ЦБ неизбежно окажет влияние и на их бизнес. «Учитывая тот факт, что в банках будет усиливаться внимание к безопасности IТ-инфраструктуры, однозначно можно сказать – стандарт ЦБ «Безопасность банковских приложений на всех этапах жизненного цикла» будет влиять на всех поставщиков IТ-услуг для финансового сектора. Например, внедряемые нами системы управления доступом и системы управления полномочиями не попадают под действие стандарта ЦБ, который направлен на более уязвимое, подверженное хакерским атакам ПО. Но в перспективе действие этого стандарта будет влиять на оказываемые нами услуги, по крайней мере, банки будут более тщательно принимать результаты работы нашей компании. В целом же, полагаю, рано или поздно этот стандарт распространится на более широкий спектр банковского ПО», – комментирует Ерошин.

По оценкам менеджера по развитию бизнеса компании Orange Business Services в России и СНГ Антона Липанина, этот стандарт в первую очередь относится к разработке банковских приложений и ставит целью учесть вопросы безопасности на этапе разработки продукта, чтобы противостоять нарушителям. «Это значит, что если система сетевой безопасности или вспомогательные устройства антивирусной защиты и глубокой инспекции трафика подразумеваются в банках, то в стандарте они никак не регулируются, так как в данном случае выступают уже в роли вспомогательных систем. Таким образом, введение стандарта ЦБ – это отчасти стремление узаконить существующий подход разработки, уже используемый большинством крупных банков», – полагает эксперт.

Ведущий аналитик департамента банковского ПО RS-Bank компании R-Style Softlab Сергей Ветров также считает, что значимых изменений в технологиях безопасности не произойдет, поэтому привлекать дополнительные ресурсы и не понадобится. «Специфика банковской автоматизации такова, что информационной безопасности изначально уделяется исключительное внимание как разработчиками АБС, так и клиентами, и системы с длительной историей развития, такие как наша, давно прошли все этапы становления в этой части. Предметная область информационной безопасности весьма устоявшаяся, придумать в ней нечто революционное, что потребовало бы каких-то специальных усилий, довольно сложно. Новый стандарт тоже не подразумевает радикальных перемен. Его основная ценность – в систематизации и нормативном закреплении того, что уже реализовано в АБС и уже существует в практике обеспечения ее жизненного цикла как на этапах создания, так и в период эксплуатации в банках», – комментирует Ветров.

«Мы поставляем SaaS-решение, основная «начинка» которого находится на наших серверах, поэтому при общении с клиентом мы обязательно имеем дело с его службой безопасности. Однако ограничения нам не грозят – благодаря архитектуре нашего решения. Она такова, что работа с персональными данными происходит на стороне наших клиентов – в браузере или на сервере банка. Соответственно, утечка данных с нашей стороны в принципе невозможна. Следовательно, никакие законодательные препоны затронуть нас не должны», – размышляет руководитель корпоративных продуктов компании «Наносемантика» Анна Зубкова.

«С точки зрения антивирусной защиты документ не предъявляет каких-либо новых требований. Поэтому и для банков, которые уже используют ту или иную антивирусную защиту, и для антивирусных компаний новый документ не потребует каких-либо изменений», – говорит руководитель отдела продуктового и технического маркетинга компании ESET Алексей Оськин.

По мнению начальника управления информационной безопасности компании «Банковские информационные системы» Александра Федорова, поскольку нет работающего механизма контроля за исполнением этих рекомендаций, то и никому от них ни холодно, ни жарко. Но если подойти к вопросу серьезно, а не только на бумаге, то введение этого стандарта перевернет всю сложившуюся информационную инфраструктуру, а также бизнес-процессы банка и разработчиков. «Неизбежно потребуется увеличение персонала на 10–15%, в том числе в Центробанке как контролирующем органе с большим объемом нормативных документов. Нельзя забывать, что будет необходимо дорогостоящее программное обеспечение типа систем обнаружения и предотвращения вторжений, анализа сбора и корреляции событий. Естественно, анализ кода и тест на проникновения. Бюджеты станут миллионными, так как это нужно будет делать достаточно часто. Думаю, что для банков стартовая сумма начнется от 10 млн. рублей», – комментирует эксперт.

Зато работы и заказов прибавится аудиторам и компаниям, консультирующим банки по поводу тестов на проникновение. По словам генерального директора компании Digital Security Ильи Медведовского, помимо традиционных систем ДБО, которые сегодня банки уже привыкли анализировать, в область действия стандарта включена вся АБС целиком.

«С появлением данного стандарта банки получат прекрасный дополнительный аргумент для убеждения руководства в необходимости проведения регулярного аудита защищенности ключевых банковских систем, таких как ДБО и АБС. Что касается ресурсов и сложности, то для крупных банков мало что изменится – они и ранее выполняли подобные работы, осуществляя контроль как над собственной, так и над сторонней разработкой. Правда, в основном применительно к системам ДБО, но теперь эта деятельность будет более упорядочена, и область контроля расширится на АБС в целом», – комментирует Медведовский.

Эксперт согласен с тем, что де-юре это просто необязательные рекомендации. Но полагает, что есть несколько важных факторов, которые де-факто делают применение стандартов необходимым. К примеру, 500 банков сами уже приняли СТО БР ИББС, а значит, для них эти рекомендации становятся обязательными с точки зрения аудиторов ЦБ. Кроме того, СТО БР ИББС и стандарт безопасности жизненного цикла АБС гармонизированы не только друг с другом, но и с обязательным 382-П, новая версия которого ожидается в 2015 году. А в нее войдет часть требований из этих двух вышеупомянутых «необязательных» стандартов.

Банкиры спокойны

По оценкам заместителя председателя правления Балтинвестбанка Натальи Поздеевой, новый стандарт основан на принципе «нельзя доверять никому». Сейчас банк покупает в основном коробочные продукты, поэтому прогнозировать изменение уровня вовлеченности подразделения информационной безопасности сейчас сложно. По мнению Поздеевой, можно быть уверенным в том, что загруженность подразделений информационной безопасности как минимум возрастет на этапе эксплуатации: новый стандарт требует регулярного проведения оценки защищенности, построения процесса отслеживания сообщений об обнаруженных уязвимостях, реагирования на такие сообщения.

Как считает начальник департамента автоматизации банка ИТБ Сергей Русяев, для крупных банков влияние будет в меньшей степени – у них, как правило, сильно развито направление информационной безопасности приложений. А вот для средних и мелких банков исполнять все требования этих рекомендаций окажется трудным. По словам эксперта, некоторые требования уже были регламентированы ранее, и по ним банки уже отчитались в 2013 году. Главную задачу эксперт видит в приведении бумажек в порядок и соответствие. «Банкам необходимо будет написать или дополнить уже существующие внутренние положения по информационной безопасности с указанием ссылок на регламент ЦБ. Необходимо будет провести в них внутреннюю классификацию существующих АБС, с указанием процессов, которые могут попадать под требования действующих положений ЦБ», – комментирует эксперт.

Заместитель председателя правления Транскапиталбанка Евгений Ивановский заострил внимание на том, что стандартом является совсем другой документ – «Стандарт Банка России по информационной безопасности», к которому банки присоединяются на добровольной основе. ТрансКапиталБанк присоединился к нему еще в 2011 году. А документ «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» носит рекомендательный характер и даже в своем тексте содержит допущение, что по решению банка отдельные его положения могут быть заменены на эквивалентные, обеспечивающие аналогичный уровень информационной безопасности.

«Мы давно разработали нормативные документы, в числе которых и «Политика обеспечения информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем». Таким образом, появление нового документа для нас некритично и не потребует каких-либо значительных ресурсов в части выполнения его требований. Более того, с введением новых рекомендаций в области стандартизации соблюдение требований станет даже проще – в новом документе они расписаны с большим уровнем детализации, что значительно облегчает их понимание и применение. Конечно, потребуются пересмотр и актуализация внутренних нормативных документов банка, регламентирующих данные процессы, но мы и так планировали это сделать», – рассказал Ивановский.

«Это не стандарт Банка России, а всего лишь рекомендации, которые необязательны для исполнения. Мы участвовали в работе технического комитета, который и согласовывал эти рекомендации еще до момента их принятия», – рассказал председатель правления Златкомбанка Алексей Шитов.

Россельхозбанк тоже участвовал в разработке этих рекомендаций. По мнению экспертов банка, введение этого документа позволит в более упорядоченной форме осуществлять проектную деятельность в кредитных организациях, что положительно скажется на взаимоотношениях с разработчиками IT-ресурсов.

Реакция рынка

Итак, ни банки, ни вендоры исполнять рекомендации по принципу «упал-отжался» не обязаны и не намерены. Тем не менее теоретически могут ли в результате применения стандартов АБС€ Или заставит ли это банки больше заниматься собственными разработками по информационной безопасности?

Как рассказала Наталья Поздеева (Балтинвестбанк), собственные разработки по информационной безопасности здесь не ведутся. «Если оценивать ситуацию реально, то при отсутствии у вендора необходимых наработок в соответствии с новым СТО создавать их с нуля, тем более для конкретного банка, если и можно, то это будет стоить дорого и вряд ли позволит значительно усилить безопасность – хотя бы ввиду новизны процессов. Значительно более правильным шагом будет отдать предпочтение вендорам, у которых уже есть устоявшиеся процессы разработки с учетом требований», – размышляет Поздеева.

«Массовой замены не будет. Если говорить о крупных ERP-системах, то их замена достаточно затратная по финансам, ресурсам и времени. Банки будут проводить необходимые доработки, чтобы соответствовать требованиям регламента ЦБ», – прогнозирует Сергей Русяев (Банк ИТБ).

По мнению Олега Ерошина (РДТЕХ), нынешняя тенденция, скорее всего, сохранится: банки вряд ли будут уделять больше внимания собственным разработкам. «На мой взгляд, им более выгодно и более разумно усиливать контроль всего процесса, например, участвовать не только в приемке предлагаемого ПО, но и во всех этапах его разработки. Держать свою IТ-команду зачастую экономически нецелесообразно, поэтому банки по-прежнему будут прибегать к помощи компаний-поставщиков услуг IТ, усиливая над ними контроль», – считает эксперт.

По оценкам Сергея Ветрова (R-Style Softlab), регулятор делает хорошую и нужную работу, благодаря которой банковский сектор является лидером в стране по уровню обеспечения информационной безопасности. И, по мнению эксперта, очень важно, что банки освобождаются от непрофильных для них методологических задач и могут спокойно заниматься своим основным бизнесом.

«Массовая замена АБС не ожидается: как уже упоминалось, системы этого типа в полной мере соответствуют требованиям безопасности. Соответственно, не ожидается и существенное подорожание продуктов. Наверное, какое-то новое движение начнется, то ли по инициативе разработчиков, то ли банков, то ли проверяющих от ЦБ. Но серьезных потрясений ожидать не приходится. Что касается собственных разработок банков по информационной безопасности, то наш опыт свидетельствует о том, что банки, как правило, сами не вмешиваются в интегрированные функции безопасности покупной АБС, а поручают реализацию своих задач разработчикам. Пока ничто не указывает на то, что в этой части следует ожидать перемен», – констатирует Ветров.

«Каких-то принципиально новых проблем при взаимодействии с вендорами мы не ожидаем. Что касается удорожания продуктов, то большинство банков со своими вендорами в рамках существующего сотрудничества уже имеют определенные финансовые договоренности, учитывающие появление возможных изменений, доработок и прочего. Рост цен, скорее всего, более вероятен в области новых партнерств и новых решений. Учитывая вышесказанное, в настоящее время мы не видим необходимости заниматься собственными разработками в этой области», – комментирует Евгений Ивановский (Транскапиталбанк).

«Данные рекомендации распространяются только на кредитно-финансовые организации – не на разработчиков и не на вендоров. Заставить их жить по ним банки не смогут. Нельзя забывать, что данные рекомендации также влияют и на Центральный Банк. Подчеркну, что это рекомендации, и банк вправе использовать или не использовать данный документ», – говорит Алексей Шитов (Златкомбанк).

Как считает Александр Федоров («Банковские информационные системы»), по формальному признаку банкам действительно досталось больше проблем, ведь обсуждаемый документ дополняет предыдущие. И к разработчикам, на его взгляд, получились неплохие требования. «Но! И еще раз но! У нас в России только два регулятора по информационной безопасности, и не нужно делать отраслевых стандартов. Необходимо исполнение законных требований регуляторов, так как лучше не получится. Будет повторение историй с граблями. Во-первых, банки перевалят все проблемы на разработчика. Во-вторых, им придется отказаться от нестандартных заказов и работ в онлайне и немедленно. Код придется тестировать согласно описанным методикам. Если подходить серьезно, то это займет порядка 8 месяцев и выльется в приличную сумму расходов. В-третьих, и самое главное – никто не сможет сделать АБС системой защиты в течение ближайших пятилеток», – заявляет Федоров.

Стоим над душой

Контролируется ли разработка и внедрение ПО не только банковскими «айтишниками», но и службой информационной безопасности?

Как рассказывает Антон Липанин (Orange Business Services), в банках с этим все очень строго. «Безопасники» контролируют и разработку ПО, и его внедрение. И даже часто предпочитают внедрять собственными силами, чтобы обеспечить защиту от стороннего вторжения.

По словам Натальи Поздеевой (Балтинвестбанк), собственные разработки, дополняющие «коробочные» решения, позволяют избежать проблем с внедрением и сопровождением. «Коробочные» решения хотя и менее адаптивны, но позволяют уменьшить затраты на сопровождение, а собственные разработки зависят не только от уровня профессионализма сотрудников, но и от степени их вовлеченности в банковские процессы. А она всегда будет выше, чем при аутсорсинге.

«Если имеется в виду контроль исходного кода, то, по нашему опыту, службы информационной безопасности банков не контролируют внешнюю разработку ПО, даже заказного. И это правильно: передача исходного кода системы, критичной по безопасности, сторонним лицам, является, на наш взгляд, прямой и явной угрозой безопасности системы. На этапах постановки задач, приемки работ и в процессе эксплуатации и развития, разумеется, практика участия служб информационной безопасности самая обширная, и это хороший источник мотивов для совершенствования системы. Но это не контроль исполняемого кода, а нечто более конструктивное: определение и проверка реализации потребностей банка», – говорит Сергей Ветров (R-Style Softlab).

«По нашему опыту, контроль службы безопасности присутствует на начальном этапе проекта, когда выдвигаются требования к системе – выбранные проектные решения перед внедрением обязательно согласуются со службой информационной безопасности. Этап опытной эксплуатации также проходит при активном участии службы информационной безопасности: ее сотрудники изучают систему, тестируют, задают вопросы», - рассказал Олег Ерошин (РДТЕХ).

При этом, по его словам, внутри IT-подразделений самого банка могут возникать противоречия, но они вполне естественны и преодолимы, так как каждый выполняет свою работу, и может существовать несколько точек зрения на один и тот же вопрос. Можно договориться и найти оптимальное решение, соблюдая бизнес-интересы банка. Вопросы, по которым компромисс не найден, могут быть вынесены на уровень дирекции банка, а уж выбранное ею решение по умолчанию подлежит исполнению. Все как у всех, как в любой отрасли.

По словам Евгения Ивановского (Транскапиталбанк), сотрудники департамента информационной безопасности не просто контролируют разработку и внедрение. Они являются непосредственными участниками на всех стадиях процесса, будь то формирование технического задания на АБС, выбор определенного программного обеспечения, его тестирование и внедрение.

«Внесение любых изменений в сложную многоуровневую информационную инфраструктуру, к тому же территориально распределенную, всегда вызывает необходимость согласованных действий всех подразделений, задействованных в процессе. Точек конфликта здесь нет. Скорее, это пересечение функциональных задач подразделений, когда одни должны быстрее внедрить, а другие должны обеспечить стабильность и работоспособность инфраструктуры. Такие вопросы решаются в рабочем порядке. Чаще всего возникают другие вопросы, связанные со сложностями реализации тех или иных требований информационной безопасности. Эффективным механизмом решения таких задач являются совместные заседания двух комитетов банка – технического и по информационной безопасности, в которых принимает участие и топ-менеджмент. Такие заседания позволяют рассмотреть проблему с разных сторон и найти ее оптимальное решение», – рассказывает Ивановский.

По мнению Ильи Медведовского (Digital Security), ничего принципиально нового в связи с выходом данного стандарта в жизни большинства банков не произойдет. Если раньше контроль над внешней или внутренней разработкой осуществлялся исключительно благодаря усилиям службы информационной безопасности, убеждавшей руководство обеспечить безопасность хотя бы ДБО, где риски максимальны, то сейчас появился безусловный аргумент в пользу расширения области контроля на всю АБС.

«Этот стандарт – жизненная необходимость, особенно с учетом того, что вектор атак стремительно смещается с клиентов на ДБО и далее к АБС. Поэтому Банк России вынужден адекватно реагировать на современные угрозы и постепенно стимулировать банки двигаться в нужном направлении, оценивая глобальные риски для всей финансовой системы. Основная цель – вывести отношения банков с вендорами на новый уровень. От слепого доверия, приводящего к абсолютно «дырявым» банковским системам, – к должному уровню контроля и более высокому уровню защищенности ключевых банковских систем», – заключил Медведовский.