Еще раньше должен вступить в силу закон «О национальной платежной системе». Не произойдет ли так, что ресурсов кон
Какие инициативы предстоит реализовать до конца года, чтобы привести ИТ предприятий в соответствие требованиям регуляторов?
В первую очередь необходимо упорядочить разрозненные требования, содержащиеся в различных законодательных и подзаконных актах. Поскольку система регулирования расширяется, то вполне возможно, что регулироваться будут те системы, которые в настоящее время не лицензируются, — например, платежные терминалы или система электронных денег.
Что касается контроля со стороны регуляторов, то не надо думать, что уже завтра регуляторы начнут заниматься повальными проверками. Объем работ таков, что контроль организовать крайне сложно. Надеюсь, что практика, накопленная в отношении закона о персональных данных, будет просто перенесена по аналогии на закон о национальных платежных системах. Речь должна идти о создании саморегулируемых организаций (СРО), обеспечивающих необходимый контроль. Члены этой организации обязуются выполнять требования неких стандартов, в частности стандарта по безопасности. СРО берет на себя функции контроля. Конструкция получается уже не двухуровневая, а трехуровневая: непосредственный контроль выполняет СРО, а вот контроль за ее деятельностью будут осуществлять регуляторы. Для проверки могут быть выбраны несколько организаций — членов СРО, чтобы убедиться, что саморегулируемая система работает нормально. Думаю, что этот подход — единственно возможный в настоящее время, поэтому не стоит опаситься невыполнимых требований со стороны регуляторов.
Сталкиваясь с разнообразием решений в области информационной безопасности (ИБ) в коммерческих структурах, эксперты оказываются в затруднительной ситуации, пытаясь оценивать настройки того или иного неизвестного им решения. На ваш взгляд, какой возможен в данном случае компромисс?
Компромиссными являются две вещи. Во-первых, СРО как способ решения проблемы, а принцип решения проблемы — определяется стандартами безопасности, которыми эта организация будет руководствоваться. Эти стандарты, по крайней мере в банковской сфере, написаны на основании стандартов качества ISO 9000. Стандарт рассматривает вопрос не с технической, а с организационной точки зрения.
Существуют два полярных подхода к тому, как соответствовать требованиям регуляторов: либо инвестировать средства и пройти сертификацию, либо постараться договориться. Второй путь для многих оказывается более понятным. На ваш взгляд, какой подход более оправдан?
Считаю, оба этих подхода — неправильные. Те требования, которые предъявляются регуляторами, должны быть приемлемыми, и требования регуляторов не должны превышать порога разумности. К сожалению, первые документы, которые были разработаны регуляторами, этот порог превышали. Но сейчас, я считаю, их привели в соответствие возможностям. Осознание этого является итогом прошлого года. Мы научились вести диалог с регуляторами.
С другой стороны, состояние средств ИБ нужно отслеживать постоянно. Нельзя сказать, что сертификация является гарантией надежной защиты. В случае изменения, например архитектуры системы, нужно перенастраивать средства безопасности и контролировать эту перенастройку. Как видим, говорить о том, что детерминированного подхода для сертификации систем достаточно, не приходится. Когда некоторые банки пытались проводить сертификацию систем «под требования регуляторов», то, поскольку система постоянно изменяется, они были вынуждены постоянно держать целую организацию для проведения у них сертификации, этот путь — тупиковый.
Нужно просто запускать процедуры мониторинга, контроля и проактивного управления. Не надо думать, что мы первые, кто столкнулись с этой проблемой. Стандарты серии ISO разработаны для того, чтобы выйти из замкнутого круга и обеспечить безопасность в условиях динамичного изменения самого объекта защиты.