Статьи

Інформаційна безпека в банках. Загальний погляд

Основна мета дослідження - вивчити загальний стан ІБ в російських банках і виявити найбільш яскраві тенденції розвитку. // Спільне дослідження компанії і.

Вступ

Увага фінансових організацій до питань інформаційної безпеки (ІБ) з кожним роком збільшується. З ростом витрат на придбання ІБ-продуктів, ростуть і внутрішні проблеми, пов'язані з ними. Відносна молодість галузі ІБ призводить до різноманітності різних підходів до забезпечення захисту інформації. Крім того, нинішнім банкам катастрофічно не вистачає фахівців, щоб побудувати захисні системи, а в подальшому кваліфіковано їх обслуговувати.

На відміну від підприємств ряду інших секторів економіки, російські банки мають власний галузевий стандарт по ІБ. Як наслідок, особливу роль набуває можливість вивчення кращих практик вітчизняних банків, які успішно пройшли процедуру оцінки відповідності з методиками Центрального Банку РФ.

Але для вивчення методик потрібні спеціалізовані заходи - майстер-класи, тренінги та конференції - а їх в Росії катастрофічно недостатньо. На жаль, не дуже добре відомі широкому загалу і персоналії фахівців в області ІБ, що мають максимальний авторитет в галузі. В умовах відсутності достатнього досвіду у фахівців галузі в цілому, думка експертів є надзвичайно цінним і корисним.

Складнощі з кадрами поглиблюються і регіональною специфікою. Рівень ІБ в московських банках разюче відрізняється від аналогічних показників на Далекому Сході. Так, в столиці найбільшим попитом користуються керівники в області ІБ, оскільки безпека активно інтегрується з ризик-менеджментом. У регіонах до цього ще далеко, там великий попит на інженерів.

У Москві і Санкт-Петербурзі легко можна зустріти позиції з рівнем оплати фахівців середньої ланки від $ 2500 в місяць і вище. Але, незважаючи на це, ряд опитаних банків має до десяти відкритих вакансій, а у кандидатів не вистачає практичного досвіду роботи. На сьогоднішній день більше третини російських банків відзначають гострий дефіцит кадрів з ІБ.

Але є і банки-щасливчики. Таких виявилося 2,9%. Їм не потрібні додаткові люди, і у них немає якихось особливих претензій до ВНЗ, які готують фахівців з ІБ. Але, тим не менш, вони або вже будують комплексні системи ІБ, засновані на стандартах ЦБ, або збираються приступити до цього найближчим часом. У чому успіх їх кадрової політики, а також управління ІБ в цілому?

Даний проект покликаний відповісти хоча б на частину поставлених питань. Основна мета дослідження - вивчити загальний стан ІБ в російських банках і виявити найбільш яскраві тенденції розвитку. Результати опитування будуть корисні широкому колу зацікавлених осіб - фахівців з ІБ, ВНЗ і навіть регулятору ринку.

Ключові висновки

· Банки вкладають чималі гроші в ІБ. Майже половина (49,5%) банків витрачають на ІБ більше 5% ІТ-бюджету, при середньому міжгалузевому рівні в Росії 1,5%.

· Зарплата фахівців з ІБ як і раніше залишається досить низькою. У більшості банків (61,8%) середня зарплата співробітників ІБ не перевищує і півтори тисячі доларів, а ще чверть банків платить своїм службовцям в сфері ІБ в середньому від півтора до двох тисяч доларів.

· Банкам не вистачає фахівців в області ІБ. 86,1% респондентів мають відкриті вакансії технічних фахівців з ІБ, а 75,7% - менеджерів по ІБ. В цілому російському банківському сектору потрібні близько 4 тисячі технічних фахівців і 2 тисячі управлінців в сфері ІБ.

· Основна причина «кадрового голоду» пов'язана з низькими зарплатами, а не зі слабкою роботою ВНЗ. Низький рівень зарплат відзначили близько половини (49,0%) респондентів, а на навчальні заклади поскаржилися лише 16,3% опитаних.

· Більшість банків рухається в напрямку стандарту Банку Росії по ІБ. 41,7% банків вже впровадили деякі положення стандарту, а ще 40,8% прийняли рішення про їх реалізацію в найближчому майбутньому.

Методологія дослідження та портрет респондента

Дане дослідження проводилося шляхом анкетування начальників відділів і служб ІБ в банках, а в разі відсутності виділеної структури - анкетування тих співробітників, які відповідають за ІБ в банку. За сприяння Товариства ABISS з 17 грудня 2007 року по 27 лютого 2008 року аналітичному центру компанії Perimetrix вдалося опитати представників 105 російських банків.

Велика частина респондентів (89,4%) становлять порівняно невеликі банки, які мають менше 5000 робочих станцій. При цьому максимум припадає на сегмент 251-1 000 робочих станцій, в якому зосереджено 28,8% респондентів.

Наскільки це репрезентативна вибірка? Звернемося до рис. 2, де представлено розподіл банків в залежності від кількості співробітників (на основі даних Росстату за 2006 рік).

Легко бачити, що пропорції двох розподілів практично збігаються. Хоча 105 опитаних банків складають лише 11% від загальної кількості кредитних організацій в Росії за станом на 1 лютого 2008 року, можна вважати, що база респондентів відображає реальний розподіл банків за кількістю робочих станцій. При цьому логічно припустити, що кількість персональних комп'ютерів прямо пропорційно до кількості співробітників.

Друге питання ставив собі за мету визначити географію бізнесу респондентів. Звернемося до рис. 3. Аудиторія поділилася на три частини. При цьому дві з них (тільки регіони - 41,3%) і (тільки Москва + Москва і регіони - 38,5%) практично однакові. Це говорить про те, що дослідження аналітичного центру Perimetrix і Товариства ABISS викликало серйозний відгук у регіонах. Надалі специфіці проблем із забезпеченням ІБ в регіональних банках буде приділено особливу увагу.

Надалі специфіці проблем із забезпеченням ІБ в регіональних банках буде приділено особливу увагу

Відзначимо, що опитування зацікавило і міжнародні банки, частка яких склала 20,2%. Для банків міжнародного масштабу безпеку роботи в Росії є пріоритетом за умовчанням, однак, судячи з відповідей, складності є і у них.

Бюджети і зарплати

Дослідження показало, що російські банки в більшості своїй (69,9%) мають виділені відділи ІБ (рис. 4). Судячи з усього, це продиктовано тим, що Стандарт Банку Росії по ІБ чітко вимагає від кредитних організацій мати саме виділену службу ІБ. Дана гіпотеза буде підтверджена далі, коли респондентам буде запропоновано висловитися на предмет планів по впровадженню Стандарту Банку Росії по ІБ.

Дана гіпотеза буде підтверджена далі, коли респондентам буде запропоновано висловитися на предмет планів по впровадженню Стандарту Банку Росії по ІБ

Аналіз бази респондентів відповідно до отриманих відповідями дозволив виявити кореляцію між розміром банку та наявністю виділеної служби ІБ. Легко здогадатися, що місця для окремої служби ІБ не знайшлося тільки в самих маленьких банках. За словами представників таких організацій, настільки дороге «задоволення» їм не по кишені, і «безпекою там займається ІТ-підрозділ або весь персонал повністю». Середні і великі банки, навпаки, віддають ІБ на відкуп фахівців, створюючи виділені служби ІБ.

Опитування показало, що банки готові не тільки вкладати гроші в ІБ (рис. 5), але і говорити про неї публічно. З коментарів респондентів, зокрема, випливає, що безпека стала невід'ємною частиною ризик-менеджменту організації. Вона стає таким же точно елементом бізнес-процесів банку, як і всі інші. У зв'язку з цим, для управління процесом ІБ потрібні вже кількісні, а не якісні оцінки. Більш того, приховувати ці оцінки вже немає сенсу. До того ж, в деяких випадках величина витрат на ІБ може розглядатися банком, як серйозне маркетингове перевага.

Частка витрат на безпеку в банках традиційно виявилася досить високою. Фінансові організації завжди активно внядрялі найсучасніші технології, вкладаючи в них суттєві кошти. Згідно з даними CNews Analytics, за часткою витрат на ІБ банківський сектор ділить перше місце в Росії разом з вертикальним ринком телекомунікацій. За відомостями того ж аналітичного агентства, частка витрат на ІБ у всіх секторах російської економіки рідко перевищує 1,5% від всіх ІТ-витрат. Тут же ми бачимо (рис. 5), що майже половина (49,5%) організацій витрачає на безпеку більше 5% від загального ІТ-бюджету.

Відзначимо, що відповіді респондентів на це питання однозначно вказують, що російський банківський сектор по своїх витратах на ІБ не відстає від кредитно-фінансового сектора країн з розвиненою економікою. Наприклад, згідно з дослідженням «2007 Global Security Survey», в ході якого компанія Deloitte опитала 169 міжнародних фінансових компаній, 1-3% від ІТ-бюджету на ІБ витрачають 44% компаній, а 4-6% - 36% організацій.

Здавалося б, істотну частину ІБ-витрат повинні складати витрати на персонал, якого, як буде показано далі, дуже не вистачає. Однак результати дослідження (рис. 6) спростовують цю гіпотезу.

Виявляється, в більшій частині банків (61,8%) співробітники відділів ІБ не отримують в середньому і півтори тисячі доларів, а ще в чверті банків мають дохід від півтора до двох тисяч доларів. Подібний рівень зарплат можна сміливо назвати низьким - адже ми говоримо про банківську сферу і маємо досить «сильну» вибірку респондентів (38,5% учасників опитування працюють на Московський регіон і ще 20% присутні на міжнародній арені). З урахуванням кадрового голоду, про який мова піде нижче, можна сміливо стверджувати, що найближчим часом зарплати фахівців з ІБ в банківській сфері повинні істотно зрости.

Безпека і стандарти

Вище ми вже говорили, що однією з ключових особливостей забезпечення ІБ в фінансовій сфері є порівняно жорстке регулювання. Російські банки можуть підпадати під дію цілого ряду законів і стандартів, однак найбільший вплив на галузь надають рекомендації Банку Росії.

Незважаючи на рекомендаційний характер даних стандартів, забезпечення ІБ в банку без їх використання вже практично неможливо. Абсолютна більшість (понад 80%) респондентів вивчили положення Стандарту ЦБ по ІБ і планують впроваджувати їх на практиці. Як наслідок, відбувається активне зростання ринку в цілому, який супроводжується закупівлею обладнання, програмного забезпечення, а також супутніх послуг. Проте, на думку респондентів, відносно високі величини ІБ-бюджетів в банківській сфері викликано не фінансовими потребами стандартизації, а тієї критичної роллю, яку ІБ грають в банках. Як зауважив один з респондентів: «Банківська інформація це гроші». Цим, мабуть, все сказано.

Труднощі при забезпеченні ІБ

Незважаючи на відносно хороше матеріальне забезпечення, складнощів у банків хоч відбавляй. Давно відомо, що однією з наиболе гострих проблем ІТ-галузі в цілому є катастрофічний брак фахівців. Саме тому велика група питань дослідження стосувалася питання дефіциту кадрів в банківських ІБ-відділах.

Як показують дані на рис. 8, сьогодні кадровий голод відчувають майже 80% банків, причому про гостру необхідність у фахівцях заявили 35% респондентів. Аналіз показує, що регіональні банки відчувають нестачу людей, перш за все, через їх відтоку в обидві столиці. Організації федерального масштабу «голодують» з іншої причини - вони пред'являють досить жорсткі вимоги, під які підходять тільки поодинокі кандидати.

Організації федерального масштабу «голодують» з іншої причини - вони пред'являють досить жорсткі вимоги, під які підходять тільки поодинокі кандидати

Прямим підтвердженням дефіциту кадрів є велика кількість відкритих позицій в області ІБ. Легко помітити, що переважна більшість банків (86,1%) мають хоча б одну ваканскію в відділі ІБ. 4-6 фахівців зараз потрібні в 17,7% банків, а про наявність 7-10 вакансій заявлено в 3,8% випадках. Є й чемпіони по неукомплектованість - близько 8% організацій мають більше 10 відкритих інженерних вакансій. Але є і ті, у кого проблем немає.

Але є і ті, у кого проблем немає

Ситуація з менеджерами з безпеки може здатися не настільки сумної (рис. 10) - вакансії в цій галузі мають «тільки» 75,7% організацій. На практиці ж кадровий дефіцит ІБ-менеджерів проявляється набагато яскравіше, оскільки вакансій подібного типу менше, а фахівців в окремо взятому місті і зовсім можна перерахувати по пальцях однієї руки.

На практиці ж кадровий дефіцит ІБ-менеджерів проявляється набагато яскравіше, оскільки вакансій подібного типу менше, а фахівців в окремо взятому місті і зовсім можна перерахувати по пальцях однієї руки

В цілому, отримане розподіл відображає ситуацію, представлену на рис.7, де йдеться про плани щодо впровадження Стандарту ЦБ в області ІБ. У 24,3% респондентів немає вакансій для фахівців в області менеджменту ІБ, оскільки планів по впровадженню стандарту теж немає.

З огляду на репрезентативність наявної вибірки, легко оцінити загальну кількість вакансій по ІБ в російських банках. З даних, представлених на рис. 9-10 випливає, що середній російський банк має 3,4 відкритих вакансії технічних фахівців з ІБ і 1,8 відкритих вакансій ІБ-менеджерів (обидва значення отримані як середні зважені оцінки). Множимо отримані результати на тисячі сто тридцять п'ять (саме стільки кредитних організацій діяло в Росії в лютому 2008 року), і отримуємо, що банкам необхідні майже 4 тисячі інженерів і понад 2 тисячі менеджерів у сфері інформаційної безпеки. В цілому, 6 тисяч чоловік.

Причини «кадрового голоду», отримані в результаті дослідження (рис. 11), підтвердили припущення про низький рівень пропонованих зарплат. Таку думку висловила майже половина (49,0%) брали участь респондентів. Претензії до ВНЗ пред'являють 16,3% опитаних, і тільки 11,5% респондентів вважають, що «кадровий голод» є всього лише міфом, придуманим авторами дослідження.

Претензії до ВНЗ пред'являють 16,3% опитаних, і тільки 11,5% респондентів вважають, що «кадровий голод» є всього лише міфом, придуманим авторами дослідження

Відзначимо, що 23,1% опитаних фахівців не змогли відповісти на питання про причини голоду. Іншими словами, майже чверть учасників дослідження усвідомлює проблему, але не може зрозуміти - в чому саме вона полягає. А вирішувати цю проблему доведеться вже в найближчому майбутньому, інакше вона може перерости в жорстку конкуренцію на кадровому ринку з численними консультантами та іншими сервіс-провайдерами.

На думку ряду експертів, проблеми при впровадженні Стандарту Банку Росії з безпеки виникають через недоступність досвіду провідних фахівців. Однак. Спільнота ABISS і Банк Росії прикладають зусилля, щоб ліквідувати інформаційний дефіцит, і регулярно проводять конференції, семінари та майстер-класи. Наступним питанням респондентам було запропоновано вибрати найбільш активних і авторитетних фахівців з ІБ, які найчастіше виступають перед аудиторією і відкрито діляться своїм досвідом.

Лідерами за популярністю серед фахівців ІБ стали Андрій Курило, заступник начальника Головного Управління безпеки і захисту інформації Банку Росії, і Павло Генієвського, секретар спільноти ABISS і виконавчий директор Метробанк. Вони набрали 35% і 25% голосів відповідно. Також респонденти згадали деяких інших фахівців з ІБ, але жоден з них не набрав більше 5% голосів.

висновок

Таким чином, вищий менеджмент кредитних організацій вкрай зацікавлений у впровадженні комплексних систем ІБ і створенні несуперечливої ​​бази для оцінки стану системи управління організацією в цілому. Це, в свою чергу, дозволяє оптимізувати величину ІБ-бюджету, а також збалансувати фонд оплати праці співробітників відповідно до реалій ринку і вимог до кваліфікації. До того ж, вирішується питання довіри до інформації з конкретних компаній як з боку регуляторів ринку, так партнерів і клієнтів.

Як наслідок, бюджети на ІБ в фінансовому секторі в рази перевищують аналогічні показники російського бізнесу в цілому. До чого це призводить? По-перше, до грамотного вибору методології побудови систем управління ІБ, по-друге - до набору і мотивації персоналу, і, по-третє - до пошуку і організації доступу до інформації про кращі практики в галузі.

Що стосується першого пункту, то завдяки зусиллям Банку Росії фінансове співтовариство все менше і менше відчуває дефіцит адаптованих для російських реалій документів. Не будучи обов'язковим для виконання, Стандарт ЦБ вільно конкурує з іншими стандартами в сфері ІБ. Результати дослідження показують (рис. 7), що зусилля регулятора не пропали даром.

Проблеми, пов'язані з персоналом і доступом до інформації є найбільш гострими на сьогоднішній день. Насправді, ці проблеми тісно взаємопов'язані між собою. Росія - країна з сильно вираженою диференціацією доходів службовців, в тому числі, і фінансової сфери. Відтік кваліфікованої робочої сили в Москву і Санкт-Петербург призводить, по-перше, до проблем в регіонах, а, по-друге, до надлишку кадрів, що мають недостатній практичний досвід, в обох столицях.

Частково «кадровий голод» пояснюється і проблемами самих роботодавців, які не можуть сформулювати чіткі вимоги для набору, як інженерів, так і менеджерів в області ІБ. В цілому, нові люди потрібні 88,5% брали участь в опитуванні банкам. На практиці ж виходить, що в центрі відсутні кваліфіковані кадри, а в регіонах фахівців з ІБ немає взагалі.

Можна стверджуваті, что дефіціт кадрів виробляти до зниженя темпів Галузі в цілому. Регіональні банки, в Першу Черга, «закрівають» частина найбільш критичних процесів, что допускається стандартами. У Москві ж, проблема вирішується шляхом проведення майстер-класів з гуру вітчизняного ІБ-менеджменту, практичних семінарів та вивчення кращих практик на прикладі успішно сертифікованих банків. Додамо, що важливу роль в цьому процесі відіграє співтовариство ABISS та інші зацікавлені організації.

Про компанію Perimetrix

Компанія Perimetrix розробляє системи захисту корпоративних секретів третього покоління. Завдяки реалізації революційної концепції Secret Documents Lifecycle ™ наші рішення забезпечують гарантовану 100% захист секретних документів, повний контроль над каналами комунікацій і повноцінний аудит електронних операцій.

На відміну від конкурентів Perimetrix концентрує весь свій потенціал, інноваційний підхід і унікальний досвід на вирішенні найважливішої задачі замовників - збереження корпоративних секретів для підвищення конкурентоспроможності, встановлення плідних відносин з інвесторами та партнерами, відповідності державним вимогам.

Компанія заснована в 2007 році інноваційною командою професіоналів, які стояли біля витоків створення сучасних систем захисту від внутрішніх IT-загроз. Perimetrix входить в групу компаній «Компьюлинк» - лідируючий альянс на російському ринку інформаційних технологій. Сталий фінансове становище групи, її унікальний досвід і знання, значна база замовників служать надійним фундаментом розвитку Perimetrix. Завдяки потужній підтримці «Компьюлинк» компанія має можливість виконувати комплексні проекти по внутрішньої IT-безпеки, вийти в лідери російського ринку і створити основу для міжнародної експансії.

Про Співтоваристві ABISS

Спільнота користувачів стандартів Центрального Банку Російської Федерації (далі по тексту «Банк Росії») щодо забезпечення інформаційної безпеки організацій банківської системи Російської Федерації (далі по тексту Спільнота ABISS - [Association for Banking Information Security Standards]) - це cообщество організацій, діяльність яких спрямована на розвиток і просування CТАНДАРТ Банку Росії СТО БР Іббсе-1.0 «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення », його новішим і доповнень, а також інших стандартів, положень та методичних вказівок Банку Росії, що регламентують питання інформаційної безпеки організацій банківської системи Російської Федерації.

Спільнота ABISS публічно і відкрито для співпраці з усіма організаціями, зацікавленими в розвитку і просуванні Стандартів.

мета Товариства

Сприяти розвитку та широкого практичного застосування єдиних стандартів, підвищення рівня інформаційної безпеки організацій фінансового сектора та сприяння стабільності кредитно-фінансової системи Російської Федерації в цілому.

Спільнота і Банк Росії

У своїй діяльності Спільнота ABISS визнає виключно важливу роль Банку Росії як в зв'язку з його законодавчо закріпленої регулюючою функцією в національній банківській сфері, так і як видавця і власника Стандартів. Спільнота ABISS розраховує на підтримку його діяльності з просування Стандартів Банком Росії, і участь Банку Росії в діяльності Товариства ABISS.

Контакти

Штаб-квартира Perimetrix

Російська Федерація, 119607, Москва, Мічурінський проспект, д. 45

Телефон: +7 495 737 99 91 Факс: +7 495 737 99 92

info @ Perimetrix. com

. perimetrix. com

Штаб-квартира ABISS (Association for Banking Information Security Standards)

Російська Федерація, 121151, Москва, вул. Можайський вал, д. 8Б

Телефон: +7 495 745 77 88 Факс: +7 495 730 79 97

abiss @ Abiss. ru

. abiss. ru

У чому успіх їх кадрової політики, а також управління ІБ в цілому?
Наскільки це репрезентативна вибірка?
До чого це призводить?