12 мая 2006 г
Первое российское исследование «Стандарт ЦБ по ИТ-безопасности 2006: регулятор воспитывает банки»
Компания InfoWatch и проект Банкир.Ру объявляют о результатах первого российского исследования «Стандарт Центробанка по информационной безопасности 2006: регулятор воспитывает банки», призванного выявить отношение кредитно-финансовых организаций к стандарту Банка России по информационной безопасности и готовность к реализации его принципов на практике.
Компания InfoWatch, разработчик систем защиты от инсайдеров и член Ассоциации российских банков (АРБ), и проект Банкир.Ру, популярный ресурс о банках, опросили более 50 российских кредитно-финансовых организаций, чтобы выяснить их отношение к последней нормативной инициативе Банка России, эффективность управления информационными и операционными рисками в отечественных банках и планы бизнеса по реализации положений стандарта ЦБ. С портретом респондентов, методологией исследования и полной версией отчета можно ознакомиться на сайте InfoWatch. Далее приведены основные результаты исследования.
Исследование «Стандарт ЦБ по ИТ-безопасности 2006» показало, что российские банки воспринимают стандарт даже более чем позитивно: подавляющее большинство респондентов (78%) поддержали принятие и высказались за его развитие. Более половины всех опрошенных банков (53%) сообщили, что реализация положений этого нормативного акта в их организации автоматически приведет и к повышению ее конкурентоспособности, а также будет способствовать интеграции в мировую банковскую систему.
По мнению аналитического центра InfoWatch, в России действительно назрела необходимость принятия соответствующего стандарта, возможно, даже в федеральном и межотраслевом масштабе. Более того, на подходе уже международное соглашение Basel II, к которому Россия намерена присоединиться в 2009 году. Среди прочего Basel II регулирует еще и управление операционным рисками, львиную долю которых в финансовых компаниях составляют угрозы ИТ-безопасности. Таким образом, российским банкам необходимо было указать, в каком направлении двигаться, чтобы обеспечить эффективное управление операционными рисками и подготовиться к более глубокой интеграции в мировую банковскую систему. Искомой дорожной картой как раз и послужил стандарт Центробанка по ИТ-безопасности.
Однако не все так гладко: главный недостаток стандарта – его высокая стоимость, особенно для небольших организаций. Существенная часть российских банков (47%) опасается, что совместимость со стандартом будет стоить слишком дорого и затраты ресурсов в конечном счете перевесят выгоды. Наиболее серьезные опасения на этот счет испытывают самые малые банки (с числом компьютеризированных рабочих мест менее 250). Они не могут воспользоваться эффектом масштаба при построении эффективной системы управления ИТ-безопасностью. К тому же подобные организации фокусируются на внутрироссийских операциях и не имеют серьезных перспектив для выхода на мировой рынок.
Следующим важным результатом исследования стало выявление главных стимулов, подталкивающих российские банки к внедрению стандарта ЦБ. Наибольшее признание респондентов получили следующие драйверы: возможность создания эффективной системы ИТ-безопасности (63%) и управления операционными рисками (55%), а также улучшение и защита репутации (55%). Меньше голосов набрали такие мотивы, как совместимость с соглашением Basel II (25%) и повышение привлекательности в глазах иностранных инвесторов (25%). Наконец, самая доля ответов пришлась на повышение собственной цены при слияниях и поглощениях (4%).
По мнению аналитического центра InfoWatch, банки специально продублировали важность эффективной защиты от информационных угроз, отдав свои голоса системе ИТ-безопасности и управления операционными рисками, в состав которых входят, например, инсайдерские атаки. При этом одна из опасностей инсайдерских атак, как известно, состоит именно в косвенных финансовых потерях вследствие испорченной репутации банка. Здесь респонденты снова проявили понимание взаимосвязи между ИТ-безопасностью (инсайдерами), стандартом Центробанка (позволяющим минимизировать риски) и имиджем (который легко может быть испорчен в результате инцидента безопасности).
Основной проблемой отечественных банков остается неэффективное управление операционными рисками. Подавляющее большинство (75%) опрошенных банков указало, что оно недовольно эффективностью существующей системой управления этим видом рисков. В целом же каждый пятый респондент (20%) заявил, что операционные риски являются вообще не управляемыми в его организации. Заметим, что к такому же выводу пришли эксперты InfoWatch и Национального Банковского Журнала в ходе исследования «Соглашение Basel II в России 2006: операционные риски – основная проблема банков». Экспертам удалось выяснить, что ровно половина опрошенных банков (50%) практически не использует управление, ориентированное на риски, а существенная доля респондентов (38%) сообщила, что элементы всесторонней системы управления рисками используются на практике, но управление операционными рисками осуществляется неэффективно. Наконец, 12% банков указали, что операционные риски являются неуправляемыми. Таким образом, все участвовавшие в исследовании организации разделились на две равные группы (по 50%): первые вообще не используют управление, ориентированное на риски, а вторые используют его лишь частично, причем существенной проблемой являются именно операционные риски.
Сегодня стандарт Центробанка по ИТ-безопасности носит рекомендательный характер. Другими словами, его положения могут внедряться только на добровольной основе. Тем не менее, как показало исследование, подавляющее большинство респондентов (72%) ожидает трансформации характера стандарта в обязательный для исполнения уже в ближайшие четыре годы. Более того, почти одна треть всех банков (31%) уверена, что это произойдет в 2006-2007 годах. По мнению аналитического центра InfoWatch, мнение подавляющего большинства (72%) относительно четырехлетнего цикла по ужесточению регулирования основывается на приближении даты вступления России в соглашение Basel II. Другими словами, именно ключевой 2009 год рассматривается банками как финишная черта, к которой необходимо успеть обеспечить эффективное управление операционными рисками. Вполне логично стремление Банка России трансформировать свой стандарт в обязательный для исполнения как раз к 2009 году, чтобы урегулировать проблему ИТ-безопасности в преддверии соглашения Basel II.
Заключительным вопросом исследования InfoWatch и Банкир.Ру выяснили планы респондентов относительно внедрения положений стандарта. Так, более половины российских банков (61%) планируют реализовать стандарт Банка России по ИТ-безопасности уже в течение ближайших четырех лет. Причем более одной трети респондентов (39%) собираются это сделать уже в 2006-2007 годах.
По мнению экспертов InfoWatch, в течение ближайших четырех лет действительно существенно возрастет спрос на продукты и услуги по управлению операционными рисками и обеспечению совместимости со стандартом по ИТ-безопасности Центробанка. Российские кредитно-финансовые организации постараются быть во всеоружии к моменту вступления в силу соглашения Basel II и заранее минимизировать свои расходы на нормативное регулирование. Тем же банкам, которые будут не в состоянии удовлетворить требованиям надзирающего органа, придется уйти со сцены, так как они либо потеряют конкурентоспособность по сравнению с организациями прогрессивными в области операционных рисков, либо будут наказаны регулирующим органом за несоблюдение обязательных правил.
|