В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
В мае 2007 г. Банк России принял последнюю редакцию стандарта по обеспечению информационной безопасности организаций банковской системы Российской Федерации, но споры в банковском сообществе относительно необходимости его внедрения по-прежнему не утихают. Звучит множество различных аргументов "за" и "против". И хотя стандарт носит рекомендательный характер и вопрос, внедрять или не внедрять, - дело добровольное, сотрудники банковских организаций периодически говорят о вероятности того, что стандарт могут законодательным образом сделать обязательным к исполнению. Какая доля российских банков принимает этот стандарт и собирается его внедрить, читайте в исследовании, приведенном ниже.
С основной мыслью Стандарта СТО БР ИББС-1.0-2006 - переходу от принципа традиционного построения систем безопасности к построению систем управления безопасностью - знакомо, как минимум, 95% опрошенных.
Любой стандарт делает банк более прозрачным для взаимодействующих с ним контрагентов, так как становятся доступными данные о том, в какой степени организация соответствует определенным нормативным требованиям. 81% респондентов это прекрасно понимают. Как следствие, выяснилось, что значительная часть (16%) банков готова по собственной инициативе к внедрению Стандарта ЦБ.
19% опрошенных банков работают за пределами страны и признают, что границы бизнеса постепенно размываются вслед за стиранием экономических границ между различными государствами. Интернациональный бизнес и международная специализация -уже объективная реальность. Внедрение Стандарта ЦБ - один из путей интеграции в эту реальность.
Банки должны доказать клиентам, как существующим, так и потенциальным свою компетенцию и деловую состоятельность. Путь здесь один - внедрение современных стандартов управления, в том числе и ИБ.
Кроме того, существует и российская специфика, связанная с созданием "электронного правительства". Ее суть заключается в обеспечении прозрачной деятельности государственных органов, в том числе и Центрального Банка. Это одна из причин, по которой ЦБ много лет выстраивал систему централизованного управления как собственной структурой, так и инфраструктурой всего банковского сектора. Теперь очередь за коммерческими банками. И не вызывает сомнений предположение, что те, кто будут тянуть с внедрением Стандарта ЦБ, рискуют оказаться на обочине рынка.
Как видно из рис. 1, банкиров, слабо знакомых со Стандартом практически не нашлось. Львиная доля респондентов (95%) ответила, что находится в промежутке между доскональным знанием его положений и "читал и обсуждал с коллегами". Хотя, конечно, обращает на себя внимание доля высказавшихся за последний тезис - 26%. Очевидно, что во многих банках усилия по дальнейшему изучению положений Стандарта приостанавливаются до момента принятия окончательного решения об его внедрении.
Пик активности по внедрению СТО БР ИББС-1.0-2006 приходится на 2007-2009 гг. Именно в этот период готовы заявить о своем соответствии, как минимум 71% ответивших на вопрос о предполагаемых сроках работ. Уже внедрен стандарт у 5% финансовых организаций, и в перспективе к ним присоединятся еще 4% - с 2010 г. 15% банков заявили о том, что не собираются участвовать в этом процессе (рис. 2). Что это за банки? Раз они участвуют в этом вопросе - значит, интерес к теме у них существует. Очевидно, речь идет о тех, кто не ясно представляет себе возможности решения этой задачи. По словам представителя одного из банков, неопределенность в его организации вызвана "грузом прошлого" - ожиданием смены правил игры после очередных выборов Парламента или Президента страны. Большой труд специалистов ЦБ и внушительные затраты коммерческих банков по внедрению стандарта ясно подчеркивают комплиментар-ность Стандарта и ISO: организациям, успешно прошедшим сертификацию по первому, будет совсем несложно получить и второй. Но, несмотря на это, некоторые банки все же буждать выборов. Очевидно, что после мая 2008 г. количество "колеблющихся" и "пока не собирающихся" значительно сократится.
Что же еще мешает банкам окончательно определиться в своем решении о начале внедрения Стандарта? 49% респондентов на этот вопрос ответили, что до сих пор не полностью обладают методической информацией. На довольно специфическом банковском рынке принято чуть ли не под микроскопом рассматривать опыт коллег. Но поскольку уже внедривших стандарт банков еще не так уж и много, остальным приходится искать дополнительной информации. Что интересует людей: сами аспекты -с чего начать, к кому обратиться, как строить отношения с консультантами, какие продукты выбрать и так далее. Вопросов на эту тему так много, что около 27% так и не смогли однозначно их сформулировать и оказались в категории "другое". Среди тех, кому всё более-менее понятно, очень много тех, кто сетует на дороговизну процедуры (40%), отсутствие экономических стимулов (31%) и, как следствие, незаинтересованность высшего руководства в этом процессе (27%). Группа "колеблющихся банков" оказалась представлена и здесь (17%). В условиях пока необязательного характера Стандарта ее представители
беспокоятся о том, "не изменится ли в будущем политика надзорного органа?". Ведь в этом случае они могут потерять инвестиции, "поставив не на ту лошадь" (рис. 3).
Весьма единодушное мнение выразили банкиры в ответе на вопрос о "связи внедрения Стандарта и повышения эффективности деятельности организации". О прямой зависимости в сумме высказалось (81%) респондентов, против - 5%, воздержались - 14%. Кардинально мнения разошлись только в вопросе о величине эффективности: 34% набрал ответ "да, очень способствует" против 47% с ответом "способствует, но не очень". Это объясняется, во-первых, тем, что банков, успевших внедрить этот стандарт еще мало. Поэтому все расчеты носят теоретический характер, основанный на видении вопроса специалистами ИБ и ИТ, так как в 30% случаев высший менеджмент не хочет сам этим заниматься (рис. 4).
Во-вторых, характер взаимосвязи между повышением эффективности деятельности и фактом внедрения может проявиться в том случае, когда банк рассматривает Стандарт не только как способ избежать давления ЦБ, но и как маркетинговый инструмент. Ведь с его помощью появляется возможность привлечь дополнительное количество новых клиентов, показав им, что они защищены в соответствии с требованиями, которые выдвигает ЦБ. Если банк ориентирован на обслуживание всего нескольких ключевых клиентов, то эффективность будет гораздо ниже, чем у розничного банка.
В-третьих, для части крупных кредитных организаций этот Стандарт научит финансистов приемам управления операционными рисками и станет переходным этапом к присоединению к Соглашению Basel II. А ведь даже солидные международные банки видят в нем не столько средство повышения экономической эффективности, сколько механизм управления рисками и соответствия жестким международным стандартам в этой сфере.
И, наконец, для некоторого количества банков соответствие стандарту в большей степени нужно лишь для повышения своей рыночной стоимости и привлекательности в процессе предпродажной подготовки.
Что нужно сделать, чтобы Стандарт ЦБ стал доступнее? На этот вопрос респонденты предлагают целый набор методов для облегчения процесса внедрения. Наибольший спрос существует на услуги по разработке типовых форм документов (политик безопасности, регламентов и т.д.). Второй по величине (78%) блок предложений связан с разъяснением и уточнением ряда положений Стандарта. По форме подачи информации наиболее удачными оказались "семинары" (38%) и обмен опытом с организациями, реально внедрившими стандарт (48%). Примечательно, что 2% респондентов ответили, что им ничего не нужно, кроме времени и денег (рис. 5).
Полный текст исследования, проведенного компанией InfoWatch и Сообществом ABISS, опубликован на сайте www.infowatch.ru.
Опубликовано: Журнал "Технологии и средства связи" #5, 2007
Посещений: 6489
В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
