Рынок обязательного ИБ-аудита финорганизаций будет расти в среднесрочной перспективе — эксперт
Рынок обязательного аудита информационной безопасности организаций финансового сектора РФ (аудит должен проводиться раз в два года — ред.) будет расти в среднесрочной перспективе, заявила "Интерфаксу" председатель АБИСС (Ассоциация пользователей стандартов по информационной безопасности) Анастасия Харыбина.
"В настоящее время затраты среднестатистического банка на проведение обязательного аудита информационной безопасности оцениваются в 2 млн рублей (без учета данных топ-3 крупнейших банков РФ — ред.), — сказала она. — Предполагается, что по мере роста качества проведения таких проверок соответствующие затраты финорганизаций будут расти".
При этом Харыбина подчеркнула, что в настоящее время под требование об обязательном проведении аудита информационной безопасности подпадают около 600 организаций - банки, крупные пенсионные фонды, страховые компании и т.п.
Также она отметила, что по экспертной оценке ряда специалистов Банка России, в настоящее время объем этого рынка составляет порядка 2 млрд рублей.
По словам Харыбиной, рост качества проведения аудита должно обеспечить разработка, принятие и реализация концепции доверенной инфраструктуры аудита ИБ финорганизаций, подготовкой которой занимается АБИСС при поддержке Банка России и других регуляторов в сфере информационной безопасности. Предполагается, что реализация мероприятий и проектов, предусмотренных этой концепцией, обеспечит, в числе прочего, прозрачность и достоверность таких проверок.
Стоит отметить, что концепцией предусматривается, в частности, введение ответственности аудиторов за результаты проведения таких проверок.
Необходимость таких изменений эксперты объясняют тем, что имеют место случаи проведения таких аудитов на уровне "бумажной" проверки, с "проставлением галочек в отчете в соответствии с пожеланиями/требованиями банка/заказчика".
Харыбина отметила, что пока нет достоверной оценки, насколько часто на практике встречаются подобные случаи. Предполагается, что такая информация появится в следующем году, когда истечет первый срок для проведения таких аудитов.
В свою очередь директор "Академии информационных систем" (АИС) Юрий Малинин (председатель комитета по обучению АБИСС) отметил, что ситуация усугубляется тем, что на рынке имеется значительная нехватка аудиторов для проведения таких проверок в финансовых организациях. По его словам, в 2021 году для проведения полноценного ИБ-аудита в организациях финансового сектора потребуется минимум 150 специалистов (при их максимальной нагрузке), в то время как сейчас этим активно занимаются всего около 70 специалистов.
Игроки рынка обязательного ИБ-аудита в финсекторе, к числу которых Харыбина отнесла 20-30 компаний (в целом лицензии, позволяющие предоставлять услуги по проведению аудита в сфере информационной безопасности, имеют около 3 тыс. компаний), стараются самостоятельно решить эту проблему за счет проведения обучения соответствующих специалистов. Помимо этого, некоторые шаги в этом направлении предпринимает и ЦБ России.
В частности, в пресс-службе ЦБ "Интерфаксу" отметили, что Банк России разработал проект профессионального стандарта специалиста информационной безопасности кредитно-финансовой сферы (уровня магистратуры — ред.) и этот профстандарт готовится к процедуре согласования с Минтруда.