автор: raven000 Октябрь 12, 2023 0 Комментарии

В своем интервью основному редактору Государственного банковского издания Станиславу Комарову, правящий RTM Group Е. Царев сообщает о специфике аудита субъектов справочной безопасности в банковском сегменте, дает советы экономическим компаниям, на какие условия ЦБ стоит направить особенное внимание в 2021 году, и подчеркивает, какие способы предельно результативны при выявлении уязвимостей банковского ПО, подробнее на https://nbj.ru/publs/evgenii-tsarev-rtm-group-tsb-svoimi-trebovanijami-fakticheski-pytaetsja-izbavit-bankovskii-segment-ot-nedoverennogo-po/34623/.

NBJ: Е. Олегович, RTM Group действует в области права, судейской экспертизы и безопасности с 2015 года. Финансовый раздел также облаплен – вы оказываете юридическую помощь кредитным компаниям, проводите аудиты ИБ и разные экспертизы. На вашем веб-сайте пишется, что любой 5-й отечественный банк – ваш заказчик. Есть некая специфичность деловых отношений с банкирами?

– Так вышло, что с банками я работаю в течение всей собственной квалифицированной карьеры. В отличии от иных отраслей в плане справочной безопасности у банков есть особенная регулирование. Я бы даже заявил, деньги – одна из наиболее зарегулированных областей в части справочной безопасности. В этом-то и заключается основная особенность работы с кредитными организациями.

Цель соответствия условиям регулятора для них весьма существенна, а со стороны ЦБ много условий. Вследствие этого при налаживании отношений с отрядами справочной безопасности банков нужно предоставлять им решения, сопряженные, прежде всего, с регуляторной работой.

Мы не занимаемся поставками технологических решений, а те, кто их проводят, всегда исследуют, как это согласуется с регуляцией. За последнее время у банков существенно повысился уровень комплаенса – отныне на соответствия условиям Банка РФ нужно терять значительно больше ресурсов, чем ранее.

Заявлю больше – банковская безопасность ушла в данную регуляцию с головой. На самом деле, любое решение, которое вводит банк, делается с оглядкой на нынешнее управление. По сути ЦБ в части справочной безопасности собственными условиями обхватил все. Банки же должны отвечать этим условиям обязательно.

NBJ: В 2017 году вы раскрыли назначение аудитов справочной безопасности, ставшее логичным продолжением расследований банковских конфликтов. Сколько за этот период было осуществлено аудитов? Можете предоставить совместную среднюю оценку банкам по уровню их соответствия условиям ИБ?

– Мне трудно представить четкую цифру – она вычисляется сотнями. Лишь за минувший год мы провели порядка 150 разных аудитов.

Давая усредненную оценку, с моей точки зрения, нужно принимать во внимание финансовый уровень кредитной компании. Банки, которые к ТОП-20, занимаются справочной безопасностью энергичнее, инвестируют в нее больше ресурсов, там, конечно же, характеристики существенно лучше. У банков, которые не входят в ТОП-100, картина хуже.

А, по моим чувствам, отечественной кредитной системе можно уверенно установить четверку с минусом.

Да, стоимость справочной безопасности высока. Логично, что она будет увеличиваться. У незначительных банков почти не остается видов. Или они ожидают отклика лицензии, или сами ее сдают, или начинают вкладывать в ИБ.

NBJ: За прошедшие 3 года Банк РФ произвел ряд утверждений по назначению справочной безопасности. Можете поведать более подробно, что нужно сделать банкам в 2021 году?

– Данный год для всего денежного раздела, которого затрагивают условия регулятора, гарантирует быть весьма серьезным. Большинству кредитных организаций нужно привести собственные бизнес-процессы в соответствие с Расположением Банка РФ номер 719-П, которое вводит свежие эталоны снабжения обороны информации для объектов кредитной работы, оказывающих населению экономические услуги, и в том числе по переводу денег в безденежной фигуре.

Для тех, кто не ввел в 2016 г в собственных организациях ГОСТ Р 57580.1-2017 (Государственный стереотип, который устанавливает стандартные условия к уровням обороны информации, поставленные нормативными актами Банка РФ – прим. Ред.), – а подобных очень много, – надо будет заканчивать данную работу в 2021 году.

Нужно делать пентесты, вести анализ уязвимостей в соответствии с условиями ОУД4. У большинства банков подходит к концу оценка Расположения Банка РФ N 382-П «О условиях к снабжению обороны информации при совершении переводов финансовых средств», которая велась 2 месяца назад. Как следствие, аудит по 382-П также надо делать. В связи с распространением системы мгновенных платежей многим нужно работать и с Расположением ЦБ номер 672-П «О условиях к обороне информации в платежной системе Банка России». Аудит сектора единственной биометрической системы также нужно вести.