Информационная безопасность в банках. общий взгляд
Главная цель изучения — изучить общее состояния ИБ в русских банках и распознать самые яркие тенденции. // Совместное изучение компании Perimetrix и Сообщества ABISS.
Введение
Внимание денежных организаций к вопросам информационной безопасности (ИБ) из года в год возрастает. С ростом затрат на приобретение ИБ-продуктов, растут и внутренние неприятности, которые связаны с ними. Относительная юность отрасли ИБ ведет к разнообразию разных подходов к обеспечению защиты информации.
Помимо этого, нынешним банкам катастрофически не достаточно специалистов, дабы выстроить защитные совокупности, а в будущем квалифицированно их обслуживать.
В отличие от фирм последовательности вторых секторов экономики, российские банки имеют личный отраслевой стандарт по ИБ. Как следствие, особенную роль получает возможность изучения лучших практик отечественных банков, каковые удачно прошли процедуру оценки соответствия по методикам Центробанка РФ.
Но для изучения методик необходимы специальные мероприятия – мастер-классы, конференции и тренинги – а их в Российской Федерации катастрофически не хватает. К сожалению, не отлично известны персоналии специалистов и широкой общественности в области ИБ, имеющих большой авторитет в отрасли. В условиях отсутствия достаточного опыта у экспертов отрасли в целом, вывод специалистов представляется очень полезным и нужным.
Сложности с кадрами усугубляются и региональной спецификой. Уровень ИБ в столичных банках разительно отличается от подобных показателей на Дальнем Востоке. Так, в столице громаднейшим спросом пользуются управленцы в области ИБ, потому, что безопасность деятельно интегрируется с риск–менеджментом.
В регионах до этого еще далеко, в том месте великспрос на инженеров.
В Москве и Санкт–Петербурге легко возможно встретить позиции с уровнем оплаты экспертов среднего звена от $2500 в месяц и выше. Но, не обращая внимания на это, последовательность опрошенных банков имеет до десяти открытых вакансий, а у кандидатов не достаточно практического опыта работы. На сегодня более трети русских банков отмечают острыйдефицит кадров по ИБ.
Но имеется и банки–счастливчики. Таких выяснилось 2,9%. Им не необходимы дополнительные люди, и у них нет каких-то особенных претензий к Институтам, готовящих экспертов по ИБ.
Но, однако, они или уже строят комплексные совокупности ИБ, основанные на стандартах ЦБ, или планируют приступить к этому в скором будущем. В чем успех их кадровой политики, и управления ИБ в целом?
Этот проект призван ответить хотя бы на часть поставленных вопросов. Главная цель изучения — изучить общее состояния ИБ в русских банках и распознать самые яркие тенденции. Результаты опроса будут нужны широкому кругу заинтересованных лиц — экспертам по ИБ, Институтам а также регулятору рынка.
Главные выводы
- Банки вкладывают значительные деньги в ИБ. Практически добрая половина (49,5%) банков расходуют на ИБ более 5% ИТ-бюджета, при среднем межотраслевом уровне в Российской Федерации 1,5%.
- Заработная плат экспертов по ИБ сохраняется на низкой отметке. В большинстве банков (61,8%) среднестатистическая заработная плата сотрудников ИБ не превышает и полутора тысяч американских долларов, и вдобавок четверть банков платит своим служащим в сфере ИБ в среднем от полутора до двух тысяч долларов.
- Банкам не достаточно специалистов в области ИБ. 86,1% опрощеных имеют открытые вакансии технических экспертов по ИБ, а 75,7% — менеджеров по ИБ. В общем итоге русскому финсектору требуются около 4 тысячи технических тысячи и 2 специалистов управленцев в сфере ИБ.
- Главная причина «кадрового голода» связана с низкими заработными платами, а не со не сильный работой Институтов. Низкий уровень заработных платов отметили около половины (49,0%) опрощеных, а на учебные заведения пожаловались лишь 16,3% опрошенных.
- Большая часть банков движется в направлении стандарта Банка России по ИБ. 41,7% банков уже внедрили кое-какие положения стандарта, и вдобавок 40,8% решили об их реализации в скором времени.
портрет респондента и Методология исследования
Данное изучение проводилось методом служб начальников и анкетирования отделов ИБ в банках, а при отсутствия выделенной структуры – анкетирования тех сотрудников, каковые несут ответственность за ИБ в банке. При содействии Сообщества ABISS с 17 декабря 2007 года по 27 февраля 2008 года аналитическому центру компании Perimetrix удалось опросить представителей 105 русских банков.
Большинство опрощеных (89,4%) воображают относительно маленькие банки, имеющие менее 5000 рабочих станций. Наряду с этим максимум приходится на сегмент 251–1 000 рабочих станций, в котором сосредоточено 28,8% опрощеных.
Как это репрезентативная выборка? Обратимся к рис. 2, где представлено распределение банков в зависимости от количества сотрудников (на базе данных Росстата за 2006 год).
Легко видеть, что пропорции двух распределений фактически совпадают. Не смотря на то, что 105 опрошенных банков составляют только 11% от общего количества кредитных организаций в Российской Федерации по состоянию на 1 февраля 2008 года, можно считать, что база опрощеных отражает настоящее распределение банков по количеству рабочих станций. Наряду с этим логично высказать предположение, что количество персональных компьютеров прямо пропорционально количеству сотрудников.
Второй вопрос ставил собственной целью выяснить географию бизнеса опрощеных. Обратимся к рис. 3. Аудитория поделилась на три части. Наряду с этим две из них (лишь регионы — 41,3%) и (лишь Москва + регионы и Москва – 38,5%) фактически однообразны. Это показывает, что изучение аналитического центра Perimetrix и Сообщества ABISS привело к серьёзному отклику в регионах.
В будущем специфике неприятностей с обеспечением ИБ в региональных банках будет уделено особенное внимание.
Напомним, что опрос заинтересовал и интернациональные банки, часть которых составила 20,2%. Для банков интернационального масштаба безопасность работы в Российской Федерации есть приоритетом по умолчанию, но, если судить по ответам, сложности имеется и у них.
зарплаты и Бюджеты
Изучение продемонстрировало, что российские банки в большинстве собственном (69,9%) имеют выделенные отделы ИБ (рис. 4). Наверное, это продиктовано тем, что Стандарт Банка России по ИБ четко требует от кредитных организаций иметь как раз выделенную работу ИБ.
Эта догадка будет подтверждена потом, в то время, когда респондентам будет предложено высказаться на предмет замыслов по внедрению Стандарта Банка России по ИБ.
Анализ базы опрощеных в соответствии с взятыми ответами разрешил распознать корреляцию между размером банка и наличием выделенной работы ИБ. Легко додуматься, что места для отдельной работы ИБ не нашлось лишь в самых мелких банках. По словам представителей таких организаций, столь дорогостоящее «наслаждение» им не по карману, и «безопасностью в том месте занимается ИТ-подразделение либо целый персонал полностью».
крупные банки и Средние, наоборот, отдают ИБ на откуп экспертов, создавая выделенные работы ИБ.
Опрос продемонстрировал, что банки готовы не только вкладывать деньги в ИБ (рис. 5), но и сказать о ней публично. Из комментариев опрощеных, например, направляться, что безопасность стала неотъемлемым элементом риск–менеджмента организации.
Она делается таким же совершенно верно элементом бизнес-процессов банка, как и все остальные. Вследствие этого, для управления процессом ИБ требуются уже количественные, а не качественные оценки. Более того, скрывать эти оценки уже ненужно.
К тому же, в некоторых случаях величина затрат на ИБ может рассматриваться банком, как важное маркетинговое преимущество.
Часть затрат на безопасность в банках традиционно была высокой. Денежные организации неизменно деятельно внядряли самые новейшие технологии, вкладывая в них значительные средства. По данным CNews Analytics, по доле затрат на ИБ финсектор дробит первое место в Российской Федерации вместе с вертикальным рынком телекоммуникаций. По сведениям того же аналитического агентства, часть затрат на ИБ во всех секторах русском экономики редко превышает 1,5% от всех ИТ-затрат.
Тут же мы видим (рис. 5), что практически добрая половина (49,5%) организаций тратит на безопасность более 5% от общего ИТ-бюджета.
Напомним, что ответы опрощеных на данный вопрос конкретно показывают, что российский финсектор по своим расходам на ИБ не отстает от кредитно-денежного сектора государств с развитой экономикой. К примеру, в соответствии с изучению «2007 Global Security Survey», на протяжении которого компания Deloitte опросила 169 интернациональных денежных компаний, 1-3% от ИТ-бюджета на ИБ тратят 44% компаний, а 4-6% — 36% организаций.
Казалось бы, значительную часть ИБ-расходов должны составлять затраты на персонал, которого, как будет продемонстрировано потом, весьма не достаточно. Но результаты изучения (рис. 6) опровергают эту догадку.
Выясняется, в большей части банков (61,8%) сотрудники отделов ИБ не приобретают в среднем и полутора тысяч американских долларов, и вдобавок в четверти банков имеют доход от полутора до двух тысяч долларов. Подобный уровень заработных платов возможно смело назвать низким – так как мы говорим о банковской сфере и имеем достаточно «сильную» выборку опрощеных (38,5% участников опроса трудятся на Столичный регион и еще 20% присутствуют в мире). С учетом кадрового голода, о котором обращение отправится ниже, возможно смело утверждать, что в скором будущем заработной плата экспертов по ИБ в банковской сфере должны значительно возрасти.
стандарты и Безопасность
Выше мы уже говорили, что одной из главных изюминок обеспечения ИБ в денежной сфере есть относительно твёрдое регулирование. Российские банки смогут подпадать под воздействие стандартов ряда и целого законов, но громаднейшее влияние на отрасль оказывают советы Банка России.
Не обращая внимания на рекомендательный темперамент данных стандартов, обеспечение ИБ в банке без их применения уже фактически нереально. Большинство (более 80%) опрощеных изучили положения Стандарта ЦБ по ИБ и собираются внедрять их на практике. Как следствие, происходит деятельный рост рынка в целом, что сопровождается закупкой оборудования, ПО, и сопутствующих одолжений.
Однако, согласно точки зрения опрощеных, довольно высокие размеры ИБ-бюджетов в банковской сфере позвано не денежными потребностями стандартизации, а той критической ролью, которую ИБ играются в банках. Как заметил один из опрощеных: «Банковская информация это деньги». Этим, пожалуй, все сообщено.
Трудности при обеспечении ИБ
Не обращая внимания на довольно хорошее материальное обеспечение, сложностей у банков куры не клюют. В далеком прошлом как мы знаем, что одной из наиболе острых неприятностей ИТ-отрасли в целом есть катастрофическая дефицит экспертов. Как раз исходя из этого широкая несколько вопросов изучения касалась вопроса недостатка кадров в банковских ИБ-отделах.
Как показывают эти на рис. 8, сейчас кадровый голод испытывают практически 80% банков, причем об острой необходимости в экспертах заявили 35% опрощеных. Анализ говорит о том, что региональные банки испытывают недочёт людей, в первую очередь, из-за их оттока в обе столицы.
Организации федерального масштаба «недоедают» по второй причине – они предъявляют очень твёрдые требования, под каковые подходят лишь единичные кандидаты.
Прямым подтверждением недостатка кадров есть много открытых позиций в области ИБ. Легко подметить, что большинство банков (86,1%) имеют хотя бы одну ваканскию в отделе ИБ. 4-6 экспертов на данный момент необходимы в 17,7% банков, а о наличии 7-10 вакансий заявлено в 3,8% случаях.
Имеется и чемпионы по неукомплектованности – около 8% организаций имеют более 10 открытых инженерных вакансий. Но имеется и те, у кого неприятностей нет.
Обстановка с менеджерами по безопасности может показаться не столь печальной (рис. 10) – вакансии в данной области имеют «лишь» 75,7% организаций. На практике же кадровый недостаток ИБ-менеджеров проявляется значительно бросче, потому, что вакансий аналогичного типа меньше, а экспертов в раздельно забранном городе и вовсе возможно пересчитать по пальцам одной руки.
В целом, полученное распределение отражает обстановку, представленную на рис.7, где говорится о замыслах по внедрению Стандарта ЦБ в области ИБ. У 24,3% опрощеных нет вакансий для экспертов в области менеджмента ИБ, потому, что замыслов по внедрению стандарта также нет.
Учитывая репрезентативность имеющейся выборки, легко оценить общее число вакансий по ИБ в русских банках. Из данных, представленных на рис. 9-10 направляться, что средний российский банк имеет 3,4 открытых вакансии технических экспертов по ИБ и 1,8 открытых вакансий ИБ-менеджеров (оба значения взяты как средние взвешенные оценки).
Умножаем полученные результаты на 1135 (как раз столько кредитных организаций действовало в Российской Федерации в феврале 2008 года), и приобретаем, что банкам нужны практически 4 тысячи инженеров и более 2 тысяч менеджеров в сфере информационной безопасности. В общем итоге, 6 тысяч людей.
Обстоятельства «кадрового голода», полученные в следствии изучения (рис. 11), подтвердили предположения о низком уровне предлагаемых заработных платов. Такое вывод высказала фактически добрая половина (49,0%) участвовавших опрощеных.
Претензии к Институтам предъявляют 16,3% опрошенных, и лишь 11,5% опрощеных считают, что «кадровый голод» есть всего лишь мифом, придуманным авторами изучения.
Напомним, что 23,1% опрошенных экспертов затруднились ответить на вопрос о обстоятельствах голода. Иначе говоря практически четверть участников изучения поймёт проблему, но неимеетвозможности осознать – в чем именно она содержится. А решать эту проблему придется уже в скором времени, в противном случае она может перерасти в твёрдую борьбу на кадровом рынке с бессчётными консультантами и другими сервис-провайдерами.
Согласно точке зрения многих специалистов, неприятности при внедрении Стандарта Банка России по безопасности появляются из-за недоступности опыта ведущих экспертов. Но. Сообщество ABISS и Банк России прикладывают упрочнения, дабы ликвидировать информационный недостаток, и систематично выполняют конференции, мастер и семинары-классы.
Следующим вопросом респондентам было предложено выбрать самые активных и авторитетных экспертов по ИБ, каковые значительно чаще выступают перед аудиторией и открыто делятся своим опытом.
Фаворитами по известности среди экспертов ИБ стали Андрей Курило, помощник главы защиты Управления информации и Главного безопасности Банка России, и Павел Гениевский, секретарь сообщества ABISS и исполнительный директор МЕТРОБАНКа. Они собрали 35% и 25% голосов соответственно. Кроме этого респонденты упомянули некоторых вторых экспертов по ИБ, но ни один из них не собрал более 5% голосов.
Заключение
Так, верховный менеджмент кредитных организаций очень заинтересован во внедрении комплексных совокупностей ИБ и создании непротиворечивой базы для оценки состояния совокупности управления организацией в целом. Это, со своей стороны, разрешает оптимизировать величину ИБ-бюджета, и сбалансировать фонд зарплатысотрудников в соответствии с требованиями и реалиями рынка к квалификации. Вдобавок, решается вопрос доверия к информации из конкретных компаний как со стороны регуляторов рынка, так клиентов и партнёров.
Как следствие, бюджеты на ИБ в денежном секторе в разы превышают подобные показатели русского бизнеса в целом. К чему это приводит? Во-первых, к грамотному выбору методики построения совокупностей управления ИБ, во-вторых — к мотивации и набору персонала, и, в-третьих — к организации и поиску доступа к информации о лучших практиках в отрасли.
Что касается первого пункта, то благодаря упрочнениям Банка России денежное сообщество меньше и меньше чувствует недостаток адаптированных для русских реалий документов. Не являясь необходимым для выполнения, Стандарт ЦБ вольно соперничает с другими стандартами в сфере ИБ. Результаты изучения показывают (рис.
7), что упрочнения регулятора не пропали бесплатно.
Неприятности, которые связаны с доступом и персоналом к информации являются самые острыми на сегодня. В действительности, эти неприятности тесно взаимосвязаны между собой. Российская Федерация – страна с очень сильно выраженной разделением доходов служащих, а также, и денежной сферы.
Оттекание квалифицированной рабочей силы в Санкт Петербург и–Москву приводит, во-первых, к проблемам в регионах, а, во-вторых, к переизбытку кадров, имеющих недостаточный практический опыт, в обоих столицах.
Частично «кадровый голод» разъясняется и проблемами самих работодателей, каковые не смогут сформулировать четкие требования для комплекта, как инженеров, так и менеджеров в области ИБ. В целом, новые люди необходимы 88,5% участвовавшим в опросе банкам. На практике же получается, что в центре отсутствуют квалифицированные кадры, а в регионах экспертов по ИБ нет по большому счету.
Возможно утверждать, что недостаток кадров ведет к понижению темпов отрасли в целом. Региональные банки, первым делом, «закрывают» часть самые критичных процессов, что допускается стандартами. В Москве же, неприятность решается методом проведения мастер-классов с гуру отечественного ИБ-менеджмента, практических семинаров и изучению лучших практик на примере удачно сертифицированных банков.
Добавим, что ключевую роль в этом ходе играется сообщество ABISS и другие заинтересованные организации.
О компании Perimetrix
Компания Perimetrix разрабатывает совокупности защиты корпоративных секретов третьего поколения. Благодаря реализации революционной концепции Secret Documents Lifecycle™ отечественные ответы снабжают гарантированную 100% защиту тайных документов, полный контроль над каналами коммуникаций и полноценный аудит электронных операций.
В отличие от соперников Perimetrix концентрирует целый собственный потенциал, уникальный опыт и инновационный подход на ответе серьёзной задачи клиентов – сохранении корпоративных секретов для увеличения конкурентоспособности, установления плодотворных взаимоотношений с партнёрами и инвесторами, соответствия национальным требованиям.
Компания основана в 2007 году инновационной командой специалистов, находившихся у истоков создания современных систем защиты от внутренних IT-угроз. Perimetrix входит в группу компаний «КомпьюЛинк» – лидирующий альянс на русском рынке IT. Устойчивое денежное положение группы, ее знания и уникальный опыт, внушительная база клиентов являются надёжным фундаментом развития Perimetrix.
Благодаря замечательной помощи «КомпьюЛинка» компания имеет возможность делать комплексные проекты по внутренней IT-безопасности, выйти в фавориты русского рынка и создать базу для интернациональной экспансии.
О Сообществе ABISS
Сообщество пользователей стандартов Центробанка РФ (потом по тексту «Банк России») по обеспечению информационной безопасности организаций финансовой системы РФ (потом по тексту Сообщество ABISS — [Association for Banking Information Security Standards]) – это cообщество организаций, деятельность которых направлена на продвижение и развитие Cтандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций финансовой системы РФ. Неспециализированные положения», его дополнений и последующих версий, и вторых стандартов, методических указаний и положений Банка России, регламентирующих вопросы информационной безопасности организаций финансовой системы РФ.
Сообщество ABISS публично и открыто для сотрудничества со всеми организациями, заинтересованными в продвижении и развитии Стандартов.
Цель Сообщества
Содействовать формированию и широкому практическому применению единых Стандартов, увеличению уровня информационной безопасности организаций финсектора и содействию стабильности кредитно-денежной совокупности РФ в целом.
Банк и Сообщество России
В собственной деятельности Сообщество ABISS признаёт только ключевую роль Банка России как в связи с его законодательно закрепленной регулирующей функцией в национальной банковской сфере, так и как владельца и издателя Стандартов. Сообщество ABISS рассчитывает на поддержку его деятельности по продвижению Стандартов Банком России, и участие Банка России в деятельности Сообщества ABISS .
Контакты
Штаб-квартира Perimetrix
РФ, 119607, Москва, Мичуринский проспект, д. 45
Телефон: +7 495 737 99 91 Факс: +7 495 737 99 92
info@perimetrix.com
www.perimetrix.com
Штаб-квартира ABISS (Association for Banking Information Security Standards)
РФ, 121151, Москва,ул. Можайский вал, д. 8Б
Телефон: +7 495 745 77 88 Факс: +7 495 730 79 97
abiss@abiss.ru
www.abiss.ru