Наверное, ни у кого из участников банковского рынка не вызывает сомнений, что обеспечение информационной безопасности (ИБ) финансово-кредитных организаций - чрезвычайно актуальная проблема, важность которой постоянно растет. Конечно, невозможно сделать работу банка абсолютно безопасной, в ходе банковской деятельности риски возникают ежедневно и даже ежечасно. И какой из них на тот или иной момент станет самым «рискованным», предугадать сложно. Специалисты по информационной безопасности банков видят свою задачу в том, чтобы способствовать минимизации данных рисков, адекватной их оценке и прогнозированию.
Механизмы защиты не изменились
Принципы и подходы к защите информации, по мнению экспертов, практически не изменились за посткризисный период. «Изменился характер угроз, - говорит директор департамента информационных технологий ДжиИ Мани Банка Татьяна Архарова. - Рост популярности мобильного и интернет-банковского обслуживания привел к тому, что и среди злоумышленников данные объекты стали популярной целью для атак, соответственно, и фокус по защите сместился на интернет- и мобильные технологии. Также в связи с объективными финансовыми ограничениями был виден рост по использованию бесплатных общедоступных средств защиты информации».
Специалист по информационной безопасности Банка БКФ Сергей Гаврилюк отмечает, что все угрозы, связанные с утечкой и модификацией информации, с ее доступностью, делятся на два вида: внешние атаки (30%) и внутренние (инсайдерские) угрозы (70%).
Решения для защиты от внешних атак - это типовая архитектура сети с соблюдением требований ИБ Firewall, ДМЗ, закрытие уязвимых протоколов и другие типовые решения, позволяющие закрыть сеть. Среди решений для защиты от внутренних угроз эксперт называет разработку нормативной документации и соблюдение ее требований, контроль отчуждаемых устройств, контроль работы с Интернетом, криптографическую защиту, разграничение доступа в соответствии с ролями.
Директор департамента информационных технологий СДМ-Банка Олег Илюхин среди наиболее эффективных механизмов защиты информации отмечает следующие. Во-первых, это отключение внутренней сети организации от любого доступа в Интернет. Во-вторых, формирование ролей пользователей и строгое ограничение доступа для каждой из них. В-третьих, ограничение передвижения информации внутри банка (ограничение на копирование, в том числе на usb-flash, пересылку и т.п.). Это достаточно простые административные требования, говорит эксперт, но вместе с тем они самые действенные.
«Не существует стопроцентного средства для защиты информации, - уверена Татьяна Архарова (ДжиИ Мани Банк). -Любую проблему информационной безопасности невозможно решить исключительно техническим или организационным методом. Только комбинируя те или иные средства, можно добиться приемлемого снижения рисков информационной безопасности».
Решения по ИБ: дорого и сложно
В настоящее время на рынке очень много решений по защите информации. Банковские эксперты отмечают их чрезвычайное разнообразие, сложность и дороговизну.
«Каждый раз несколько новых предложений на любую угрозу, - говорит Сергей Гаврилюк (Банк БКФ). - При этом цены увеличиваются на 15% по сравнению с прошлым годом».
«Автоматизированных решений достаточно, - соглашается Олег Илюхин (СДМ-Банк). - Проблема в том, что они зачастую слишком навороченные, и организация не в силах их «переварить». К тому же автоматизированные решения – это не панацея, их должны сопровождать грамотные организационные меры, а с этим обычно бывают проблемы».
Рынок решений по информационной безопасности быстро растет, считает Татьяна Архарова. Эксперт ДжиИ Мани Банка полагает, что темпы роста будут возрастать в связи с повышением роли ИТ в целом на банковском рынке. При этом диапазон цен варьируется от нуля за бесплатные решения до миллионов долларов, например, за коммерческие системы управления доступом и учетными записями.
Спрос на решения по защите информации за последний год несколько увеличился. Финансовая организация выбирает то или иное приемлемое для себя решение и взаимодействует со своими партнерами-интеграторами по его внедрению.
По мнению Олега Илюхина, спрос на такие решения повышается в связи с ужесточением требований регуляторов, а также из-за постоянного роста количества инцидентов в области ИБ. И все же этот спрос не так велик по сравнению, например, с проектами автоматизации направлений бизнеса. «У подрядчиков часто выстраивается очередь на проекты длиной в год и больше, - говорит Олег Илюхин. - У вендоров ИБ, скорее, обратная ситуация: чаще как раз они ищут себе проекты и заказчиков».
Сергей Гаврилюк считает, что спрос на решения по ИБ не увеличился, а остался неизменным. Причины такой ситуации связаны с тем, что ИБ, по мнению руководителей банков, «не та задача, которая требует первоочередного внимания в посткризисный период». Решения для защиты информации приобретаются в большинстве случаев уже после того, как произошли те или иные нежелательные события в сфере ИБ.
Конечно, многое зависит от того, сколько средств выделяется на комплексные меры по защите информации. В крупных банках затраты адекватны необходимости. В мелких и средних финансово-кредитных организациях выделяемые на ИБ средства покрывают только «прожиточный минимум», считает Сергей Гаврилюк. «Уровень бюджета зависит от уровня понимания руководством проблем ИБ и от способности директора по ИБ идти до конца, убедить всех в необходимости изменений», - говорит Олег Илюхин. В целом эксперт считает, что бюджеты ИБ вполне адекватны.
Есть другая проблема, которая мешает более успешному развитию сферы ИБ в банках: неспособность менеджеров по ИТ и ИБ разговаривать на одном языке с руководством организации. По идее, топ-менеджмент банка должен понимать необходимость принятия превентивных мер. Но, к сожалению, такая ситуация является для банковского рынка, скорее, идеалом, чем нормой.
Кроме того, бывает очень сложно, а иногда и просто невозможно в денежном эквиваленте соотнести затраты на ИБ с вероятными финансовыми потерями в случае инцидентов.
Стандарты безопасности от ЦБ
Несмотря на все сложности, в настоящее время в банковском сообществе формируется тенденция к концентрации внимания на выстраивании и совершенствовании процессов управления информационной безопасностью. Отражением этого является одновременный процесс совершенствования стандартов ИБ. В частности, мы видим эволюцию вопросов управления информационной безопасностью в стандартах и рекомендациях Банка России. В период с 2004 по гон год были выпущены четыре редакции основного стандарта и ряд других документов, причем при непосредственном участии банковского сообщества. Более 8о% банков присоединилось к выполнению положений стандарта БР. Это означает, что финансово-кредитные организации фактически осознали необходимость построения системы менеджмента информационной безопасности с процессным подходом в этой области.
Можно пойти по наиболее простому пути совершенствования системы управления информационной безопасностью в финансово-кредитных организациях, говорит Олег Илюхин: «Берешь стандарт Банка России по информационной безопасности и улучшаешь систему управления». Стандарты содержат много важных и значимых положений, применение которых в повседневной деятельности позитивным образом скажется на ИБ. «И еще надо постоянно заниматься информационной безопасностью, - добавляет эксперт, - потому что простои сейчас может обернуться катастрофой в будущем».
Необходимо обязать все кредитные организации соблюдать стандарты Банка России по ИБ и в рамках этих стандартов конкретизировать меры по ИБ с точки зрения рекомендуемых решений, считает Сергей Гаврилюк.
«Система управления информационной безопасностью должна быть интегрирована в общие процессы по безопасности и по управлению операционными рисками», - уверена Татьяна Архарова. Только при выполнении этих условий система ИБ будет эффективной.
Эксперты отмечают, что многие банки все больше внимания уделяют вопросам сбора и анализа событий информационной безопасности. Кстати, стандарт Банка России содержит раздел, в котором отражены соответствующие задачи и вопросы.
Таким образом, налицо тот факт, что теория и практика в сфере обеспечения ИБ все больше сближаются друг с другом за счет повышения уровня осознания банками вопросов информационной безопасности.
Сергей БЫСТРИЦКИЙ, технический директор 000 «ЭКОН Технологии»
Все организации, выполняющие обработку персональных данных (ПДн) в своих информационных системах (ИС), являются операторами ПДн и должны обеспечить соответствие своих ИС требованиям ФЗ-152 «0 персональных данных» и нормативным документам регулирующих органов РФ.
При внедрении системы защиты персональных данных (СЗПДн) необходимо решить задачу внедрения в организации СЗПДн, удовлетворяющей требованиям регулирующих органов РФ, не нарушив работу бизнес-процессов и не снизив надежность, доступность и масштабируемость ИС. Мы предлагаем использовать для построения СЗПДн следующие сертифицированные средства защиты информации производства компании Check Point Security Gateway. Во-первых, межсетевое экранирование, которое является обязательным требованием для ИСПДн, имеющих подключение к публичным сетям общего пользования или взаимодействующих с другими ИС. Межсетевой экран Check Point Security Gateway сертифицирован по 3-му классу защищенности и может использоваться в ИСПДн любого класса (включая 1-ый).
Во-вторых, обнаружение/предупреждение вторжений. Система обнаружения вторжений (СОВ) является обязательной компонентой защиты ИСПДн, имеющих подключение к публичным сетям общего пользования. Шлюз безопасности Check Point Security Gateway имеет встроенный функционал предупреждения вторжений (IPS), комбинирующий как сигнатурные, так и поведенческие методы обнаружения атак. В-третьих, организация защищенных каналов связи. Оператор ПДн должен предусмотреть меры по защите данных, передаваемых по каналам связи между объектами производственной структуры организации. Шлюз безопасности Check Point Security Gateway обеспечивает возможность криптографической защиты данных, передаваемых между шлюзами безопасности объектов, с использованием российских алгоритмов шифрования.
Наконец, организация защищенного удаленного доступа пользователей. Стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» направлен на обеспечение достаточного уровня информационной безопасности организаций банковской системы и их активов (в том числе информационных).
Немаловажно, что последняя версия стандарта гармонизирована с требованиями федерального законодательства по персональным данным (ФЗ-152), что повышает эффективность и упрощает задачу по реализации данных требований в кредитных организациях. Кроме этого, внедрение данного стандарта обеспечивает частичное выполнение требований международного стандарта IS0/IEC 27001 в области информационной безопасности для создания, развития и поддержания системы менеджмента информационной безопасности.
Выполнение требований стандарта Банка России обеспечивает надежную защиту конфиденциальных данных, поэтому на данный момент СТО БР ИББС очень активно внедряется в кредитно-финансовых учреждениях России. 000 «ЭКОН Технологии» предлагает услуги по оценке соответствия и внедрению стандарта в кредитно-финансовых учреждениях. Полный комплекс работ по оценке соответствия и внедрению стандарта СТО БР ИББС-1.0-2010 включает следующие этапы. Во-первых, предварительная оценка соответствия. Она проводится для анализа текущего состояния системы ИБ и, в свою очередь, включает разработку и согласование плана проведения оценки соответствия; сбор свидетельств оценки на месте; расчет показателей, формирование свидетельств оценки соответствия; подготовку и утверждение заключения по результатам оценки. Во-вторых, разработка плана мероприятий по внедрению стандарта: составление перечня информационных активов, подлежащих защите в соответствии с требованиями СТО БР ИББС-1.0-2010; анализ актуальных рисков и угроз; разработка плана мероприятий по внедрению СТО БР ИББС-1.0-2010.
В-третьих, внедрение стандарта. И, наконец, итоговая оценка соответствия, которая проводится для подтверждения соответствия СЗИ требованиям стандарта. По результатам оценки выпускается документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России.
Начать дискуссию