Центробанк разработал новые стандарты обеспечения информационной безопасности
Эксперты полагают, что только
16 процентов банков готовы применять новый стандарт информационной безопасности, предложенный ЦБ для снижения рисков утечки данных о клиентах.
Банкиры пока не видят экономической целесообразности внедрять дорогую технологию.
Но ЦБ настойчив: к 2009 году рекомендации ЦБ по усилению информационной безопасности превратятся в требования.
Вопросы, связанные с информационной безопасностью банков, вышли на первый план после громких скандалов, связанных с утечками данных о клиентах различных банков, а также поступлением в продажу нелегальной базы данных заемщиков крупнейших российских банков.
При этом жертвами неизвестных мошенников стали 700 тысяч заемщиков.
Все они попали в базы данных компаний, проводящих агрессивный маркетинг.
В России ежегодно происходит как минимум 2-3 крупных скандала, в которых замешаны банки, в частности, занимающиеся экспресс-кредитованием, когда утрачиваются сотни записей.
Выходят на открытый рынок сотни тысяч записей об их заемщиках.
В Америке эти утечки происходят по
10 раз в месяц.
В чем же причина столь низкой активности банков в области безопасности?
Возможно, дело в высокой стоимости внедрения подобных систем — это сотни тысяч долларов.
Такие расходы «не по зубам» не только мелким, но и средним банкам.
Некоторые эксперты, однако, считают, что дело не в стоимости, просто внедрение стандарта — достаточно трудозатратная вещь, сразу ее не осилить.
Как правило, малым и средним банкам сложно разобраться в нем и подготовить весь комплекс защиты.
В 90-х годах, когда банки только озаботились вопросами безопасности, не было ясного понимания, от чего и от кого защищаться.
Защищались от налетчиков, а ведь кража информации гораздо опаснее.
При этом внутренние угрозы информбезопасности, нарушение конфиденциальности и утрата информации имеют больший приоритет перед внешними.
Как же защититься от недобросовестных инсайдеров, своего рода «кротов», подрывающих авторитет собственных банков?
Стандарт ЦБ в первую очередь обращает внимание на организационные меры по защите.
В этом документе прописано все, начиная от подготовки документации, политики информационной безопасности до модели потенциального нарушителя.
В принципе это достаточно стандартный набор, включающий определенные технологические процедуры, в частности, определенные ограничения от доступа, вещи, связанные с шифровкой данных, криптография, также обеспечение процедуры аудита на соответствие стандарта информационной безопасности.
Есть надежда, что стандарт все же станет обязательным требованием в контексте требований международного соглашения «Базель-2» по операционным рискам.
Справка по соглашению «Базель-2».
Свод нормативов, соглашения, содержит рекомендации по совершенствованию техники оценки кредитных рисков и их управлению, а также рекомендации по развитию надзора над рисками, состоянием риск-менеджмента и рыночной дисциплины.
Но пока банки не торопятся укреплять безопасность.
Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49 процентов), бюджетные ограничения (40 процентов) и отсутствие реальных экономических стимулов (31 процент).
Лишь 5 процентов банков в той или иной степени внедрили стандарт ЦБ.
Источник: www.securitylab.ru