Артем Сычев: «К мнению Центробанка стоит прислушаться»
На конференции “DLP-Russia 2012” Артем Сычев, заместитель начальника Главного управления безопасности и защиты информации Центрального банка РФ, успокоил сотрудников банковских служб безопасности, заявив, что многочисленные письма и рекомендации, рассылаемые Банком России, не нужно воспринимать буквально - как приказ к немедленному исполнению. Но прислушиваться к мнению регулятора все же стоит.
По словам Артема Сычева, в Банке России отлично понимают, что кредитные организации сильно отличаются друг от друга и масштабом и характером бизнеса, и клиентской базой, набором продуктов и так далее. И автоматизированные банковские системы везде используются разные, соответственно различаются и проблемы, связанные с защитой данных.
Центробанк предполагает защищать коммерческую тайну и бороться с утечками конфиденциальных данных из банков несколькими способами. Во-первых, за счет создания некоего общего для всех этих учреждений «стандарта». Он, естественно, не должен меняться слишком часто, дабы не нервировать банкиров, которым нужно потратить время и определенную сумму денег для соответствия требованиям регулятора. Кроме того, «стандарт», по заверению г-на Сычева, не стремятся делать излишне жестким, навязывающим конкретные программные продукты или оборудование для защиты информации и предотвращения утечек.
В стандарте Банка России уже имеется небольшой раздел, касающийся DLP-систем. Он создавался исходя из существовавшей практики. «Ведение архива почтовых сообщений, мониторинг того, что люди делают в Интернете, – все это есть, но этого недостаточно», – поясняет Артем Сычев. По идее, должен появиться методический механизм, который бы помог айтишнику или специалисту в области безопасности получить обоснование для выделения ресурсов на решение той или иной задачи. То есть чтобы он пришел к руководителю банка и сказал: «Есть задача, дайте денег!» Но это не должно носить характера прямого регулирования, подчеркивает Артем Сычев.
Помимо стандарта, Банк России как рассылал, так и продолжит рассылать разного рода письма с инструкциями. Это, как сказал г-н Сычев, «отдельная жизнь». Но банкирам бояться таких писем не стоит. У конкретного банка, по его словам, всегда есть шанс объяснить регулятору, почему кредитная организация поступает по-своему.
Банкиров, а точнее сотрудников банковских служб безопасности, собравшихся на конференции DLP-Russia, как оказалось, волнуют не только проблемы взаимодействия с регулятором, но и реальный эффект от всех тех мер, которые Банк России советует применять для предотвращения утечек и наказания виновных в них лиц. И «наверху», как выяснилось, об этом неплохо осведомлены. Представитель ЦБ заверил коллег-безопасников из коммерческих структур, что отлично их понимает. И в плане того, что денег на внедрение DLP-систем или других полезных решений от руководства не всегда можно добиться, да и внедрив такого рода решения, эффекта можно и не получить. И виноваты здесь частично законодательство, частично подход руководства.
Многие руководители, по данным Артема Сычева, рассуждают следующим образом: кто выявил утечку, тому и в суд идти, доказывать вину конкретного лица. Но в суде обсуждаются правовые вопросы, в которых ни представители служб безопасности, ни «айтишники» не особо компетентны. Соответственно добиться наказания сотрудника, передавшего на сторону информацию, представляющую, к примеру, коммерческую тайну, можно лишь привлекая к участию в процессе представителей юридического департамента.
Но и юристы могут оказаться бессильны. Дело в том, что данные, полученные из DLP-систем, пока еще не считаются в нашем законодательстве неопровержимым доказательством вины. Оттого и уголовных дел, связанных с утечками данных или разглашением коммерческой тайны, пока крайне мало. Чтобы судить инсайдеров стало проще, Банк России делает определенные шаги, направленные на то, чтобы доказательная база из DLP-систем могла считаться таковой в суде. К данному процессу, по утверждению г-на Сычева, привлекаются МВД, ФСБ и ФСТЭК.