|
|
Уровень ИБ в банках поднимется по мере повышения уровня зрелости ИТВнедрение отечественных и международных стандартов и лучших практик в области ИБ по идее должно максимально «обезопасить» информацию, которая является для банков критически важным ресурсом. Однако пока эти стандарты являются в России не обязательными, а их внедрение в значительной мере зависит от уровня зрелости банковских ИТ. Последний же, в среднем, пока уступает общемировому. Но ясно, что только при повышении общего уровня зрелости ИТ можно будет говорить и об увеличении уровня ИБ в отрасли. Российский финансовый рынок в последнее время показывает немалый рост, и до насыщения ему еще очень далеко. Одним из самых быстрорастущих «денежных» сегментов при этом является кредитно-финансовая сфера. Тут активно внедряются ИТ, расширяются потребительские сервисы, и соответственно, усложняются бизнес-процессы. Последнее в сегодняшних жестко конкурентных условиях, однако, не должно приводить к снижению эффективности, одним из гарантов которой является информационная безопасность. «Утрата всего 20% информации, составляющей коммерческую тайну, в 60 случаях из 100 приводит к банкротству фирмы, а потери в результате действий недобросовестных конкурентов составляют около 30% от всего экономического ущерба в мире. Эту формулу вывели эксперты Всемирного банка и, к сожалению, она почти всегда действует, — напоминает Юрий Лысенко, начальник отдела информационной безопасности «Росевробанка». — Для организаций финансово-кредитной сферы утечка информации составляющей банковскую тайну может означать потерю репутации, клиентов, а в худшем случае — отзыв лицензии». Общемировой тенденцией сегодня является инсайдерская угроза. Отраслевое исследование проблемы внутренней ИТ-безопасности в российском банковском секторе, проведенное InfoWatch, показало, что наибольшую озабоченность респондентов вызывают именно внутренние угрозы ИБ. Инсайдерские риски превалируют над внешними угрозами в соотношении 6:4. А наибольшей опасностью для банков 78% опрошенных назвали утечки персональных данных клиентов. «Работа по обеспечению информационной безопасности — есть часть общей работы по управлению рисками, — утверждает Александр Велигура, председатель комитета по ИБ АРБ и зам. генерального директора по специальным проектам «Андек». — Требования известных документов — «Новое базельское соглашение» («Базель II») и «Ключевые принципы для системнозначимых платежных систем» — в части управления операционными рисками во многом могут быть удовлетворены применением тех мер и средств, которые относятся к обеспечению информационной безопасности. В частности, выполнение многих рекомендаций известного стандарта Банка России СТО БР ИББС 1.0-2006 по информационной безопасности фактически будет являться мерой по снижению операционных рисков, предусматриваемой базельскими документами». Все это требует осознания менеджментом необходимости организации более полного взаимодействия различных служб, занимающихся управлением рисками. Управление ИБ должно стать процессным Новый подход как к защите информации, так и к проблемам качества, наметился практически одновременно. От создания систем качества, контролирующих отдельные параметры, игроки переходят к внедрению подсистем управления предприятием. Подобные изменения произошли и в области организации ИБ — на смену решениям, защищающим отдельные параметры информации, пришли системы по организации управления процессами безопасности в целом. В связи с этим появление такого стандарта, как СТО БР ИББС-1.0-2006 является как нельзя более актуальным. В нем сформулированы основные «процессные» положения управления ИБ. Следование этим положениям переводит последнее на совершенно новый качественный уровень. «К сожалению, при попытках внедрения стандарта ЦБ возникают серьезные методологические проблемы, которые на первый взгляд даже и не видны: внедрить отдельно этот стандарт невозможно, необходимо перестроить всю систему менеджмента кредитной организации (КО) на процессные рельсы, — считает Василий Окулесский, начальник отдела защиты информации «Банка Москвы». — Пока таких КО, полагаю, в России не много. Можно подумать, что, формальное обозначение выполнения требований стандарта серьезно улучшит управление ИБ. Отнюдь. Это будет лишь формальная видимость какого-либо улучшения». Валерий Капитонов, начальник отдела ИБ «ТрансКредитБанка», наиболее сложными называет вопросы, связанные с созданием системы менеджмента информационной безопасности и, в частности, вопросы анализа и оценки рисков, мониторинга и анализа системы менеджмента. Он уверен, что по этим вопросам целесообразно разработать методические рекомендации с примерами конкретного внедрения и анализом необходимых затрат. Банки ждут, пока Стандарт «созреет» Отсутствие единой официально принятой методики оценки соответствия информационной безопасности кредитных организаций требованиям Стандарта отрицательно влияет на точность оценок, снижает доверие к результатам работ и ведет к возникновению противоречивых мнений об уровне безопасности кредитных организаций. Такая ситуация инициировала соответствующие действия со стороны Центробанка. По словам Валерия Харламова, начальника отдела Банка России, в планируемый к выпуску первичный блок документов, развивающих стандарт СТО БР ИББС-1.0, включен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0». В данной ситуации для продвижения благого начала необходим диалог, в ходе которого будут вырабатываться вспомогательные практические документы, расширится обмен опытом между банками, уже объявившими о внедрении Стандарта и организациями, пока еще идущими путем проб и ошибок. Это формирует необходимость профессиональных площадок для обсуждений — например, таких, как выставка Infosecurity Russia, в конференционной программе которой, по словам организаторов, осенью текущего года планируется отраслевая секция для кредитно-финансовых организаций. А пока, несмотря на всю свою полезность, как светлого ориентира, Стандарт как обязательный атрибут деятельности кредитных организаций еще «не созрел». А значит, переходить к обязательной сертификации на соответствие его требованиям, видимо, рановато, хотя, несомненно, прогрессивная его суть — налицо. «Внедрение отечественных и международных стандартов и лучших практик, включая российский банковский стандарт ИБ в деятельность кредитно-финансовой системы РФ, несомненно, окажет положительное воздействие на всю банковскую систему, — отмечает Михаил Левашов, главный специалист по защите информации МГТС. — Однако, это внедрение в значительной степени зависит от уровня зрелости банковских ИТ. А здесь есть проблемы. Если сравнить этот уровень с уровнем зрелости ИТ в телекоммуникационной сфере, то последняя выглядит более продвинутой. Я согласен, что нужно внедрять процессный подход. Причем не только процессный подход, но и все подходы, предусмотренные практиками ITIL. Только при поднятии общего уровня зрелости ИТ можно будет говорить и об увеличении этого уровня в ИБ». Масштабы ИБ бедствий в банках Что касается общего состояния области обеспечения ИБ в банковской сфере, то, несмотря на явно заметное улучшение, возникает ряд вопросов, на которые на текущем этапе сложно дать однозначный ответ. С этими вопросами, рано или поздно, сталкивается каждый руководитель подразделения, ответственного за обеспечение ИБ в кредитно-финансовой организации. По словам Александра Егоркина, начальника управления защиты информации, «Газпромбанка», сегодня отсутствует утвержденное и опубликованное нормативное подтверждение, представляющее собой набор юридических гарантий, подкрепленных материальными активами, сертификатов соответствия уровню безопасности по требованиям ФСТЭК. Кроме того, нет понимания (подкрепленного формальными принятыми нормативными документами) того, какой компетентный государственный орган несет юридически материальную ответственность в случае возникновения инцидентов по нарушении ИБ, в которых будут использованы уязвимости технических средств, получивших сертификаты соответствия по классу защищенности. «В свете этого возникает вопрос, насколько рентабельно и оправданно использование сертифицированных технических средств по обеспечению ИБ в коммерческих Банках РФ, — отмечает г-н Егоркин. — Свобода принятия решения об использовании сертифицированных или несертифицированных средств тоже весьма условна. Деятельность, связанная с использованием шифровальных (криптографических) средств, в соответствии с законодательством РФ, подлежит лицензированию. Лицензии выдаются Центром лицензирования, сертификации и защиты государственной тайны ФСБ России. Лицензии на техническое обслуживание, распространение и предоставление услуг в области шифрования ограничивают возможность использования несертифицированных средств, которые зачастую гораздо лучше встраиваются в автоматизированные банковские системы, интегрированы с программно-техническими средствами известных брэндов, обладают большей пропускной способностью, имеют широкое распространение в мире и т.д.» Возникают проблемы и при обслуживании иностранных клиентов с использованием автоматизированных систем, включающих средства криптозащиты (хоть российского производства, хоть импортные) — оно обставлено практически непреодолимыми бюрократическими барьерами. Обращают на себя внимание характерные проблемы банков, имеющих многолетнюю историю. Они связаны с ошибками проектирования и выбора технологического решения на ранней стадии развития организации, которые приводят к вынужденному ослаблению и деунификации политики информационной безопасности банковской организации. Последние выражаются в отсутствии масштабируемости и невозможности быстрой замены ИТ-решения. Последовательные интеграции и внедрения новых ИТ-решений приводят к созданию эффекта «бутылочного горлышка» в инфраструктуре. В наличии системы — «единые точки отказа», нештатная работа которых приводит к нарушению непрерывности ведения бизнеса. Децентрализация ИТ-управления связана с отсутствием единой утвержденной политики выбора программно-аппаратных платформ и прикладных ИТ-решений. Искусственно расширяется штат ИТ-персонала в организации и/или необходимо привлечение внешних экспертов и компаний для обслуживания внутренней инфраструктуры. Наконец, смена «кадровых поколений» в штате подразделений, обеспечивающих непрерывность ведения бизнеса, становится болезненной. Сохраняется и классическое противоборство «функционального удобства» и «безопасности при работе» при внедрении новых ИТ-решений, причем в большинстве случаев равновесие смещается в сторону первого. Сотрудники бизнес-подразделений требуют максимальной гибкости технического и функционального оснащения, которое в избытке предлагается компанией-разработчиком (или интегратором) ИТ-решения. При этом существенно меньше внимания интегратор уделяет выполнению требований, представленных в предпроектной документации и/или техническом задании, по обеспечению защиты информации в автоматизированных системах. Отслеживать и контролировать подобные ситуации является сложной организационной и исполнительской задачей, поскольку границы допустимого уровня несоответствия индивидуальны в каждом конкретном случае, а окончательное решение всегда принимается на уровне высшего руководства кредитно-финансовой организации. Одним словом, масштаб работы велик. В связи с этим особое значение приобретают согласованные действия регулирующих органов, поставщиков систем защиты информации и представителей потребительских структур, направленные на скорейшие и наиболее прогрессивные изменения в средствах и подходах к ИБ предприятий кредитно-финансового сектора. Александр Гудко |