НП «АБИСС» провело исследование практики применения информационной безопасности кредитно-финансовых организаций. Результаты исследования позволяют сделать вывод: приняли, внедряют и оценивают свое соответствие отраслевому стандарту подавляющее большинство российских банков.

В результате исследования были собраны ответы представителей 50 кредитных организаций различного масштаба и разного распределения по регионам. Респонденты классифицировались по количеству сотрудников. Большую часть, 40%, составили микро-банки (до 250 сотрудников), малые банки (от 251 до 1000 сотрудников) – 10% и крупные (более чем 5000 сотрудников) – 8%.

Количество кредитных организаций, принявших стандарт, достигло 80% и продолжает неуклонно расти, еще 10% опрошенных планируют сделать это в ближайшие 2 года.

Что касается дальнейшего приобщения кредитных организаций к стандарту, то 68% запланировали работы по оценке соответствия на 2012 год, а 26% опрошенных будут привлекать для этих работ внешних аудиторов. Около 70% планируют на этот год внедрить стандарт, и почти 50% — привлекать для этих работ внешних консультантов. 18% опрошенных запланировали на 2012 год обучение применению стандарта, а 38% пока нет. Более 50% респондентов отметили сложность технических и организационных аспектов применения стандарта.

Опрос показал: половина опрошенных банков выделяют на информационную безопасность менее 3% ИТ-бюджета, чуть больше 26% — 3-5%, около 10% — 4%, и лишь пятая часть – 5-10%.

Таким образом, можно констатировать полную поддержку респондентами дальнейших шагов Банка России по включению в стандарт требований к обеспечению информационной безопасности различных видов и направлений банковской деятельности. Высокую оценку получили обсуждаемые в последнее время планы усилить взаимодействие с регулирующими государственными органами, а также интегрировать в стандарт отечественные и международные требования к защите данных платежных карт.

Треть (32%) опрошенных указала, что средняя зарплата специалистов, обеспечивающих информационную безопасность в их организации, составляет менее $1000. Еще 40% указали доход в $1000-2000, 20% — $2000-3000, а достаточно высокую зарплату, свыше $3000, только 8% респондентов.

Сравнение полученных данных с результатами наблюдений сайта hh.ru приводит к выводу, что средняя заработная плата системного администратора ($1500) минимум в 30% случаев превышает заработок администратора информационной безопасности. С учетом особого значения защиты информации в кредитно-финансовой деятельности, полученные результаты могут свидетельствовать о повышенных рисках, связанных с недостаточной финансовой мотивацией сотрудников подразделений информационной безопасности.

Другими важными причинами можно считать недостаточные знания в области обеспечения информационной безопасности и банковских технологий, на которые указали, соответственно, 28% и 23%.

Результаты работ по внедрению стандарта демонстрирует статистика проведенных работ по оценке достигнутого уровня соответствия его требованиям. Абсолютное большинство участников опроса, 64%, провело такую оценку в 2011 году, 28% организаций прошли ее уже в 2010-м, 2% — еще в 2009-м, и только 6% пока еще не проводили.

Необычным выглядит мнение респондентов о преимуществах внешней оценки. Хотя большинство и признает рекомендации Банка России по привлечению внешних аудиторов, 24% кредитных организаций не видят в этом преимуществ.

Свыше 40% кредитных организаций имеют в штате сотрудников, прошедших авторизованные курсы, обучающие применению стандарта.

Отсутствие доверия к внешним аудиторским организация можно объяснить как относительно молодым рынком таких услуг, так и отсутствием требования обязательности внешней оценки, в противоположность, например, аудиту финансовой отчетности банков. Те же, кто планирует привлекать к оценке внешние организации, ориентируются на членов НП «АБИСС» — 20%, подтверждая важность гарантированного высокого качества таких услуг. При выборе сторонних организаций-консультантов для внедрения стандарта также видно предпочтение организаций – членов партнерства.

По результатам исследования можно сделать следующие общие выводы.

  1. Комплекс документов Банка России, нормирующих обеспечение информационной безопасности, получил широкое признание со стороны подавляющего большинства кредитных организаций, что подтверждено существенным ростом количества проектов его внедрения и оценки соответствия предъявляемым требованиям.
  2. Комплекс БР ИББС постоянно развивается, интегрируя последние нормативные требования в области информационной безопасности и передовые практики управления информационными рисками.
  3. Многие из опрошенных отмечают целесообразность придания основному документу Комплекса, стандарту СТО БР ИББС 1.0, статуса обязательного, чтобы усилить мотивацию руководства кредитных организаций принимать стандарт и выделять необходимые для выполнения его требований ресурсы.
  4. Постепенно решается задача обеспечения служб информационной безопасности кредитных организаций квалифицированными кадрами. Утоление «кадрового голода» подтверждается значительным ростом количества специалистов, обученных на сертифицированных НП «АБИСС» курсах. Однако в небольших банках проблема должной мотивации таких профессионалов пока еще не решена в полной мере.
  5. По мере развития рынка информационной безопасности кредитных организаций все более актуальной становится проблема контроля качества оказываемых профессиональных услуг. Участники опроса высоко оценивают содействие НП «АБИСС» кредитным организациям в выборе квалифицированных аудиторов, консультантов и учебных центров.