15.09.2017

О стандарте ЦБ по ИБ аутсорсинга

Еще несколько лет назад тема ИБ не была в фаворе у журналистов, которые очень редко радовали читателей темой кибербезопасности. Однако время текло и тема стала не просто очень горячей, а регулярно всплывающей на первых страницах ведущих деловых изданий - Коммерсанта, Ведомостей, РБК и т.д. И это привело к тому, что качество многих статей стало очень сильно страдать. Часто материал выпускается без какой-либо проверки фактов, с приглашением непонятных экспертов, а то и вовсе с такими ляпами, что диву даешься. В качестве примера возьмем проект стандарта ЦБ по информационной безопасности аутсорсинга.

Началось все со статьи в "Известиях". Когда я ее прочитал, я выпал в осадок, так как она не просто изобиловала фактическими ошибками, а была построена на изначально неверной базе. Статья почему-то была посвящена стандарту по аутсорсингу кибербезопасности. Но дело в том, что этой теме была посвящена первая версия проекта стандарта, выпущенная в прошлом году. Текущая версия посвящена кибербезопасности аутсорсинга. Слова те же - суть совершенно иная. Я тогда смолчал, просто прокомментировал в соцсетях новости, которые опубликовали специализированные порталы по ИБ с публикацией этой статьи. Я могу понять, когда чушь пишет журналист, мало понимающий в ИБ, но такое нельзя допускать для профессионального СМИ.

Спустя две недели выходит статья в Коммерсанте и она тоже посвящена этому проекту стандарта. К журналисту у меня вопросов нет :-) Есть к эспертам, которые комментируют стандарт в статье. По их мнению есть следующие проблемы у стандарта:
  • он обязательный для банков и что-то требует
  • он развивает бюрократию, требуя разработки множества документов, которых раньше у банков не было
  • он не может быть выполнен мелкими банками, у которых всего 1-2 безопасника
  • он не устраняет риска привлечения некачественных поставщиков услуг и фирм-однодневок.
Как участник рабочей группы, которая писала этот стандарт, хотел бы дать некоторые пояснения, чтобы не возникало иллюзий по поводу этого документа. Во-первых, он не обязателен. Это не ГОСТ, на который даются ссылки из нормативных актов ЦБ. Это СТО, то есть стандарт организации, который принимается по решению самой организации. Хочет - принимает, не хочет - не принимает. Ни заставить, ни наказать за присоединение или неприсоединение к СТО нельзя. Это по сути методические рекомендации, описывающие, на что обратить внимание при обращении к аутсорсингу.

С комментарием про кучу документов я тоже не согласен. Финансовая организация (а не только банк) принимает решение о передаче существенных бизнес-функций (инкассация, ЦОД, облачные вычисления, Call Center, аутстаффинг, разработка ПО и т.п.). Это важное решение, которое может приниматься только при оценке всех существенных рисков, часть из которых касается информационной безопасности. От того, насколько качественно проведена эта оценка, зависит возможность оказания услуг клиентам и партнерам финансовой организации. Поэтому вполне логично, что надо провести достаточно серьезную работу по выбору контрагента и формализации взаимоотношений с ним. Помню, когда мы заключали договор на аутсорсинг ИБ всех промышленных площадок одной из крупнейших мировых нефтяных компаний, мы потратили 9 месяцев на согласование договора. 9 месяцев! Потому что от того, насколько качественно он прописан зависит жизнедеятельность нефтяной компании и наша ответственность.

При этом, когда мы выбираем облачного провайдера для своих нужд, а мы пользуемся услугами около 700 облачных провайдеров по всему миру, то это тоже непростая процедура, которая у нас формализована в так называемой процедуре CASPR (Cloud and Application Service Provider Remediation), состоящей из множества элементов, часть из которых требует определенной формализации и документированию:


И, кстати, такая формализация помогает уменьшить число людей, которые занимаются выбором и оценкой нового провайдера услуг. Не надо ничего придумывать, искать, тратить время - следуй методичке и выбирай между вариантами CASPR Lite, CASPR Standard и CASPR Plus.

Что же касается отсечения фирм-однодневок, то стандарт как раз и призван это сделать. Ну какая однодневка будет иметь квалифицированный персонал, лицензии, подтвержденные проекты по аутсорсингу, соответствие PCI DSS (в отдельных случаях), прохождение регулярного аудита? А все это прописано в стандарте, по которому сейчас запущена процедура голосования.

Возвращаясь к статье Известий, стандарт также упоминает про аутсорсинг ИБ, но в качестве финального раздела, который просто уточняет, на что надо смотреть, если вы решите отдать во внешние руки свои МСЭ, сканирование периметра, мониторинг и т.п. Там же приведен и набор возможных метрик для оценки своего ИБ-аутсорсера. То есть еще раз - стандарт посвящен не аутсорсингу ИБ, а вопросам ИБ при переходе на аутсорсинг. Не пользуетесь аутсорсингом, ну и не применяйте стандарт. Обратились к внешним поставщикам, стандарт дает вам набор рекомендаций и оказывает методическую помощь. Хотите - пользуйтесь, не хотите - не пользуйтесь.

Стандарт состоит из следующих разделов:

  • риск нарушения ИБ при аутсорсинге существенных функций
  • основные требования к управлению риском ИБ при аутсорсинге существенных функций
  • содержание задач и зона ответственности руководства организации БС РФ при аутсорсинге существенных функций
  • требования к проведению оценки поставщика услуг при аутсорсинге существенных функций
  • требования к содержанию соглашений на аутсорсинг существенных функций
  • мониторинг и контроль риска нарушения ИБ при аутсорсинге существенных функций
  • особенности аутсорсинга процессов ИБ
  • приложения, среди которых список практичных вопросов, которые стоит задать аутсорсеру при решении о том, стоит ли с ним работать или нет.

Вот такая картина с этим стандартом, который могут принять в ближайшее время и он вступит в действие с 1-го января 2018-го года.

9 коммент.:

Andrey Bykov комментирует...
Этот комментарий был удален автором.
Maxim Temnov комментирует...

Алексей, это нормально для небольших финансовых организаций: "мы потратили 9 месяцев на согласование договора. 9 месяцев!"? Написанное как раз подтверждает слова эксперта о сложности в реализации стандарта в условиях ограниченности ресурсов. Или проект стандарта создан , чтобы ему никто не мог следовать? Цель имхо другая!

tomato комментирует...

Простите, что влезаю, но вот что не нормально - это сравнивать сроки принятия решений в нефтяном гиганте и в небольшой финансовой организации... Ну и хотеть стандарт - "серебряную пулю", чтоб долго не читать, ничего не делать, и при этом как-то риски приемлемо обработать...

Алексей Лукацкий комментирует...

Maxim: я приводил опыт крупнейшей мировой нефтяной компании, которая для защиты своих интересов потратила 9 месяцев на согласование договора, так как не хотела рисковать. У некрупной финансовой организации нет таких рисков - у нее и время займет все это меньше. Да и опять, повторю. Никто не требует применения ВСЕХ норм стандарта - принимаете все риски на себя, кто ж мешает. Только ЦБ потом спросит с руководства финансовой организации, если что пойдет не так. А стандарт объясняет, на что обратить внимание руководства при переходе на аутсорсинг.

Алексей Лукацкий комментирует...

tomato: да, все верно :-)

Vadim Maksimovch комментирует...

Люди хотят стандарт, который можно быстро выполнить, чтобы соответствовать стандарту для последующего сваливания возникших проблем на стандарт. Мы всё сделали по стандарту и вот справка от проверяющих органов. А то, что от такого, легко выполнимого, стандарта никакого толку - это не важно.

Алексей Лукацкий комментирует...

Люди вообще ничего не хотят исполнять. А уж рекомендательный стандарт тем более. Выполнение его или невыполнение никак не скажется на соответствии для проверяющих органов

Vadim Maksimovch комментирует...

Да, стандарт рекомендательный, но очевидно, что многие этого не понимают, а некоторые, понимая, или перестраховываются (вдруг он станет обязательным), или нагнетают, чтобы дать очередное интервью:)

Алексей Лукацкий комментирует...

Увы