Банком России с целью повышения уровня информационной безопасности как самого Банка, так и организаций банковской системы Российской Федерации...введен в действие стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (copyright by The Central Bank of the Russian Federation) .

О стандарте писали уже не мало, он постоянно обсуждается на конференциях, всевозможных банковских форумах, написано немало аналитических статей, которые говорят, что стандарт положительно воспринят банковским сообществом. Однако если зайти на сайт ЦБ РФ – Результаты оценки кредитных организаций, либо на сайт ABISS, на котором размещен список организаций, в которых проведена самооценка соответствия информационной безопасности требованиям СТО БР ИББС-1.0, то можно увидеть, что не так много банков заявляют о проведении оценки соответствия ИБ требованиям указанного стандарта, а следовательно и о его внедрении в организации.


Что же сдерживает внедрение стандарта? Какие проблемы возникают у банков при его внедрении?

На мой взгляд, одной из основных проблем, сдерживающих внедрение стандарта Банка России, является непонимание высшего руководства проблемы информационной безопасности, т.е. необходимости обеспечивать не только физическую, но информационную безопасность.

Стандарт Банка России – управленческий. Он описывает то, как должно быть организовано управление информационной безопасностью, рассматривая систему управления информационной безопасностью как часть общей системы управления банка. А без поддержки руководства, без его заинтересованности и понимания проблемы информационной безопасности невозможно (даже при наличии кадрового обеспечения) изменение структуры управления, т.е. создание системы управления информационной безопасностью.

Проблема поддержки руководством вопросов ИБ тесно связана с другой немаловажной проблемой – отсутствием квалифицированных кадров и, как следствие, непониманием того, что же такое «информационная безопасность» и кто этим должен заниматься. Эта проблема в основном касается региональных банков. Пример: очень часто в роли ответственного за ИБ выступает бывший представитель силовых структур, имеющий «средний уровень компьютерной грамотности».

И наконец, отмечу проблему финансового обеспечения. Существует много малых банков, в которых, даже при наличии понимания необходимости стандарта, стоит вопрос нехватки ресурсов для его внедрения. Или иными словами, малые банки опасаются, что совместимость со стандартом будет стоить слишком дорого и затраты ресурсов в конечном счете перевесят выгоды от внедрения положений данного нормативного акта. Хотя серьезные опасения на этот счет испытывают лишь небольшие банки (с числом компьютеризированных рабочих мест менее 250).

Исходя из описанных проблем внедрения стандарта, можно сделать вывод, что в большинстве случаев кредитные организации сами не в состоянии реализовать положения стандарта ЦБ – в банках, особенно региональных, зачастую нет квалифицированных кадров, которые могли бы решить эту задачу (реализовать положения стандарта).

Следовательно, в российском банковском секторе возникает огромная потребность в услугах внешних компаний.

С другой стороны, существующие предложения крупных компаний предоставляющих услуги в сфере ИБ не по карману небольшим региональным банкам, а те деньги, которые готовы заплатить такие банки, не интересны крупным компаниям. Вот такая вот российская действительность...