В распоряжении Ъ оказались результаты исследования готовности банковского сектора к внедрению стандарта Банка России по информационной безопасности, проведенного в марте--июне этого года компанией InfoWatch и сообществом пользователей стандартов Банка России по информационной безопасности (ABISS). Хотя 95% опрошенных банкиров как минимум читали стандарт, к добровольному его внедрению готовы лишь 16% принявших участие в исследовании банков. Внедрен же он в той или иной степени лишь у 5% кредитных организаций. Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49%), бюджетные ограничения (40%) и отсутствие реальных экономических стимулов (31%).
Исследование было завершено 11 июня. А чуть позже на сайте ABISS были обнародованы долгожданные методические рекомендации по внутренней документации банков (РС БР ИББС-2.0-2007) и самооценке ими системы информационной безопасности (РС БР ИББС-2.1-2007). Однако основным стимулом для банкиров станут не эти документы, а возможность избежать дополнительных проверок со стороны регулятора. Как стало известно Ъ, те банки, которые представят в ЦБ заключение уполномоченной аудиторской или консалтинговой компании о соответствии стандарту, ЦБ по этому вопросу в рамках собственных ревизий проверять не будет.
Между тем эксперты опасаются, что проверки банков избранными компаниями не столько уменьшат информационные риски, сколько добавят к ним коррупционные и сомневаются в законности такого подхода. "Безоговорочное принятие заключений одних аудиторских компаний и неприятие других -- нерыночный подход",-- считает директор департамента банковского аудита ФБК Алексей Терехов.
По мнению участников рынка, повышенная активность ЦБ в разработке многочисленных рекомендательных документов свидетельствует о том, что скоро они станут обязательными.
Будущую обязательность сегодняшних рекомендаций не отрицает и заместитель начальника главного управления безопасности и защиты информации ЦБ Андрей Курило. Недавно он сообщил о возможности "нормативного внедрения" стандартов информационной безопасности.
Светлана Ъ-Дементьева
Исследование было завершено 11 июня. А чуть позже на сайте ABISS были обнародованы долгожданные методические рекомендации по внутренней документации банков (РС БР ИББС-2.0-2007) и самооценке ими системы информационной безопасности (РС БР ИББС-2.1-2007). Однако основным стимулом для банкиров станут не эти документы, а возможность избежать дополнительных проверок со стороны регулятора. Как стало известно Ъ, те банки, которые представят в ЦБ заключение уполномоченной аудиторской или консалтинговой компании о соответствии стандарту, ЦБ по этому вопросу в рамках собственных ревизий проверять не будет.
Между тем эксперты опасаются, что проверки банков избранными компаниями не столько уменьшат информационные риски, сколько добавят к ним коррупционные и сомневаются в законности такого подхода. "Безоговорочное принятие заключений одних аудиторских компаний и неприятие других -- нерыночный подход",-- считает директор департамента банковского аудита ФБК Алексей Терехов.
По мнению участников рынка, повышенная активность ЦБ в разработке многочисленных рекомендательных документов свидетельствует о том, что скоро они станут обязательными.
Будущую обязательность сегодняшних рекомендаций не отрицает и заместитель начальника главного управления безопасности и защиты информации ЦБ Андрей Курило. Недавно он сообщил о возможности "нормативного внедрения" стандартов информационной безопасности.
Светлана Ъ-Дементьева
SIA.RU: Главное
