|
|
Банки вынуждены увеличивать инвестиции в ИБВо всем мире слова «безопасность» и «банк» — понятия неразделимые. Ранее считалось, чем крепче хранилище — тем надежней банк. В век высоких технологий акценты несколько сместились. Теперь скорее безопасной и надежной будет считаться та кредитная организация, у которой самым тщательным образом выстроена система информационной безопасности. Мало того, она должна соответствовать многочисленным стандартами и законодательным актам. Это делает уровень инвестиций в ИБ очень высокими, но они — единственный способ остаться на рынке. Информационные технологии проникли и стали незаменимыми во всех бизнес-процессах банков. Поэтому, говоря об информационной безопасности, необходимо разобраться в том, что и каким именно образом надо защищать. Нет ни одного процесса, который был бы изолированным от внешней среды и протекал только за стенами банка. В наибольшей степени это касается территориально распределенных кредитных организаций. Соответственно, продукты ИТ, поддерживающие эти бизнес–процессы, вынуждены использовать для своей работы элементы инфраструктуры общего пользования — интернет, спутниковые, магистральные и местные каналы связи как фиксированные, так и мобильные для обеспечения взаимодействия между своими собственными сотрудниками, подразделениями и банкоматами, а также с аусорсинговыми компаниями, клиентами, контрагентами, регуляторами и так далее. Это заставляет говорить об обязательной защите от всего спектра внешних угроз информационной безопасности. ИТ–зависимые бизнес-процессы в банках Кроме того, повышенная чувствительность банков к разного рода утечкам информации, является причиной активных действий, направленных на обеспечение защиты от внутренних угроз — прежде всего от действий инсайдеров. Сергей Загарский, директор департамента сопровождения информационных и платежных систем «БинБанк», выделяет девять укрупненных сервисов, предоставляемых службой информационной безопасности банков. Во-первых, защита периметра — особенно актуально для организаций, имеющих в своем составе филиалы и представительства. Затем защита интернет-банкинга, защита ATM/POS, защита удаленных пользователей и обеспечение прозрачности сервисов для них в разных сегментах сети (например, для внутренних аудиторов банка, топ–менеджеров и т.д.). Кроме того, защита внутренних ресурсов (защита серверного парка, контроль активности пользователей, сегментация сети на зоны и т.д.), защита сайта, защита выделенных компьютеров критичных привилегированных пользователей, аудит, мониторинг, протоколирование, анализ корреляции событий и управление безопасностью. Практически во всех странах мира уже созрело понимание того, что информационная безопасность банков — это не только проблема самих банков, но и всего общества в лице государства. Появились и межгосударственные соглашения, регулирующие сферу банковских рисков, например Basel II. В России действует стандарт Центрального Банка СТО БР ИББС-2.0 (пока его действие носит необязательный характер). Куда идет весь мир Не секрет, что период первичной автоматизации банков уже пройден. Везде есть антивирусное и антиспамовое ПО, организованы каналы VPN. Кое-где уже применяются биометрические системы идентификации и тому подобные технологические решения. Наступает следующий этап развития — построение комплексных систем защиты и управления информацией. Эффективность мер и средств защиты информации Какие же задачи сейчас встают перед руководителями служб информационной безопасности российских банков? Денис Муравьев — руководитель проекта по построению службы ИБ банка «Траст», приводит следующий список проблем, так или иначе стоящих перед службой ИБ. Во-первых, обеспечение эффективного стратегического руководства. Во-вторых, соблюдение интересов акционеров. В-третьих, соблюдение требований регуляторов. В-четвертых, внедрение лучших практик менеджмента. А также наведение жесткого внутреннего контроля, обеспечение управления рисками и повышение капитализации. Как видно из этого списка, требования к руководству служб ИБ мало чем отличаются от требований к руководителям других подразделений. Причина — глубочайшая степень интеграции ИТ в жизнедеятельность банка. Как отмечает г-н Муравьев, «Существует прямая связь между управлением информационными технологиями, информационной безопасностью и ростом капитализации банка в результате улучшения корпоративного управления в областях стратегического планирования ИТ и ИБ, управления операционными и ИТ рисками. В результате создание службы ИБ способствует совершенствованию бизнеса банка». Комплексный подход как панацея Банк «Траст» для построения комплексной системы ИБ применил подход международной консалтинговой компании KPMG. Дмитрий Ершов, заместитель директора Учебного центра «Информзащита», еще в 2004 году довольно точно охарактеризовал основную идею этой модели: «…многие упомянутые ранее ошибки связаны с непониманием или нежеланием при организации защиты информации следовать классическим принципам построения любых систем управления. В частности, с непониманием того, что в состав системы управления информационной безопасностью предприятия входят все ее сотрудники, и что необходимым условием успешной реализации технологии управления информационной безопасностью являются понимание и поддержка со стороны руководства, наличие в структуре предприятия специального подразделения, реализующего функции управляющего органа, разработка системы организационно-распорядительных и нормативно-методических документов, определяющих политику безопасности, наличие ответственных за информационную безопасность в подразделениях и на технологических участках информационной системы, а также поддержание в организации должного уровня исполнительской дисциплины». Принципы построения системы ИБ в банке «Траст» Фундаментальной особенностью обеспечения информационной безопасности в современном мире становится ее процессный характер. Это значит, что ИБ не одноразовая акция, а каждодневный рутинная процедура, все процессы которой имеют свой жизненный цикл. По словам представителя «РосЕвробанка», «Постоянная эволюция угроз заставляет компании непрерывно развиваться вслед за ними, чтобы не допустить отставания и резкого возрастания риска. Необходимы концептуальные изменения в философии бизнеса: инвестиции в безопасность должны соответствовать реальному риску, а не зависеть от финансовых результатов деятельности…» Цикл управления информационной безопасностью Согласно модели KPMG краеугольным камнем в строительстве системы ИБ является наличие высокоуровневой политики безопасности компании — документа, в котором в сжатом виде определены задачи системы ИБ, принципы ее обеспечения, идентифицированы информационные активы, требующие защиты, а так же прописаны принципы организации и реализации политики безопасности с указанием персональных зон ответственности. Далее следует разработка политик и процедур второго уровня. Здесь освещаются вопросы оценки рисков ИТ и ИБ, идентификации бизнес-процессов требующих соответствующей защиты, определяются требования к хранению архивных данных и процедурам резервного копирования. Разрабатываются политики контроля физического доступа к центрам обработки данных и другим помещениям. Особо стоят вопросы защиты от инсайдеров. Совершенно очевидно, что без активного участия высшего руководства решение этих задач невозможно. Далее, когда определена организационная и функциональная структура службы ИБ, решается задача выбора физического решения. Здесь банки сталкиваются с индивидуальными проблемами, связанными с бюджетом проектов, приверженностью к продуктам того или иного вендора, а так же с учетом судьбы уже проинсталлированного ПО и оборудования. Какой же практический эффект можно получить от создания комплексной службы информационной безопасности можно получить? Например, проведение единой политики в области ИБ, большая ориентированность на нужды бизнеса, оценка эффективности затрат на обеспечение ИБ. Партнерам, клиентам и инвесторам наглядно демонстрируется серьезный подход к управлению ИБ. Процесс управления ИТ и ИБ становится более прозрачным для менеджмента. Кроме того, привлекается внимание и поддержка со стороны высшего руководства, а также обеспечивается соответствие стандартам. Естественно, что каждый банк в условиях ограниченности ресурсов решает в первую очередь свои наиболее актуальные задачи и выбирает для этого свой путь. Так, например, «БинБанку» в первую очередь было необходимо обеспечить безопасность периметра ИС центрального офиса и филиалов, возможность удаленной работы с ресурсами центрального офиса и строгую аутентификацию пользователей при получении доступа к ИС. Сетевая безопасность Для решения задач, связанных с сетевой безопасностью, «Бинбанк» выбрал решение Check Point, базирующееся на программно-аппаратных комплексах UTM-1 в которых интегрированы средства оповещения об угрозах безопасности и их предупреждения (межсетевой экран, средства обнаружения и предотвращения несанкционированного вторжения, шлюзовой антивирус, а также средства построения VPN, модули контроля доступа в интернет, решения для мониторинга трафика, блокирования спама, фишинга). Единая консоль управления позволяет управлять всеми этими устройствами, в том числе удаленно в офисах и филиалах, что позволяет упростить процесс обновления программного обеспечения и снизить нагрузку на инженеров службы ИБ. Элементы системы обеспечения сетевой безопасности Для обеспечения конфиденциальности данных в компьютерах мобильных пользователей внедрены средства шифрования данных с помощью Aladdin Secret Disk NG, а так же решения для аутентификации на основе ключей eToken NG-OTP. Варианты аутентификации Еще одним быстро растущим элементом рынка систем комплексной безопасности банков стал сегмент обеспечения защищенного пользовательского доступа. Последним примером из этой сферы внедрение биометрических средств BioLink в систему защиты информации Западно-Сибирского коммерческого банка. Решение, построенное на базе сканеров отпечатков пальцев BioLink U-Match и ПО BioLink ASA, обслуживает 350 сотрудников головного офиса Западно-Сибирского банка. В дальнейшем к системе планируется подключить две тысячи пользователей в 30 филиалах. По данным компании «Ланит», системного интегратора этого проекта, стоимость первого этапа работ составила порядка $300 тыс. (без учета работ по внедрению). Несколько ранее была построена система защищенного доступа пользователей банка «Возрождение», основанная на инфраструктуре открытых ключей (PKI). Она базируется на пяти компонентах — системе управления ключевыми носителями и сертификатами, сервере защищенного доступа, системе балансировки нагрузки, системе управления паролями пользователей, а так же модулем интерфейса к кадровой информационной системе. Первая из них основана на eToken PRO, что позволяет использовать принципы управления жизненным циклом ключевых носителей и централизованно выпускать сертификаты. Основой для этапов жизненного цикла является информация из кадровой системы банка — должность, наименование подразделения, текущий статус (отпуск, командировка, увольнение и т.д.) В результате в каждый момент времени для каждого Защита платежных систем Значительное влияние на развитие технологий безопасности в банках начал оказывать Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard. Решение о создании данного единого Стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена. Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный Уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей. PCI Data Security Standard с сентября 2006 года введен международной платежной системой VISA на территории региона CEMA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг, работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям Стандарта. В противном случае VISA будет применять к компаниям, не прошедшим данную процедуру, определенные штрафные санкции. Выводы CNews Analytics Очевидно, что эра обеспечения информационной безопасности в банках путем внедрения «точечных» или локальных решений подошла к концу. На повестке дня — построение комплексных масштабируемых систем и единым центром управления, естественно, соответствующих мировым стандартам (в том числе по управлению рисками). Более того, по данным ЦБ РФ, лишь 20% всех задач по обеспечению безопасности могут быть решены с помощью техники. Ее ресурс вообще ограничен. Аппаратные средства могут обеспечить большее быстродействие или точность в идентификации объекта. При этом 80% всех проблем решается организационными, административными, процедурными средствами. Вследствие этого происходит принятие того факта, что защита банковской информации, будучи чрезвычайно сложным и дорогостоящим процессом, требует отработанных методик по ее обеспечению, которые немедленно превращаются в один из наиболее значимых активов организации. Есть опыт западных коллег. Есть и российские достижения. Так, например, Виктор Иванов (R-Style Softlab) считает, что российской спецификой рынка ПО для обеспечения информационной безопасности является чрезмерное влияние регулирующих госорганов, которые играют контрольно-распорядительную роль. Но эта специфика имеет и свои достоинства. «Мы на рынок финансовых приложений выходим более защищенными, чем западные банковские системы, которые изначально развивались с ритейла. Вследствие того, что развитие розничных банковских услуг опережало развитие средств обеспечения информационной защиты, ритейловые системы на Западе слабее защищены. Именно поэтому там больше проблем с обеспечением безопасности специализированных приложений», — считает эксперт. Что касается опыта иностранных участников банковского рынка, Сергей Груздев (Aladdin), считает, что «у иностранных банков есть свои стандарты, соглашения и «правила игры», в том числе и с точки зрения автоматизации и защиты ИТ-процессов. Естественно выходя на рынок другой страны, они придерживаются своих политик. Ведь до недавнего времени деятельность наших банков слабо регламентировалась и фактически регулировалась только внутренними политиками, уставом и нормами, утвержденными в каждом конкретном банке. Но с принятием стандарта по ИБ для организаций банковской системы России, который рано или поздно станет обязательным, особенно если принять во внимание предстоящее вступление нашей страны в ВТО, на банковском рынке произойдёт упорядочивание, он станет более прозрачным, конкурентоспособным и цивилизованным. Иными словами, со временем у нас также будет выработан свой правильный подход к организации банковской деятельности, исходя из которого и будут выбираться те или иные решения для защиты информационных ресурсов финансовых и страховых компаний. Уже сейчас суверенностью можно сказать, что организации, предлагающие несертифицированные продукты, а также «серые» поставщики постепенно будут вытеснены с рынка. То же самое касается систем электронного документооборота в банках. Тогда как весь Запад, вставший под флаг PKI и оценивший перспективу этой технологии, использует стандартный набор предлагаемых рынком средств защиты, отечественные компании трудятся над разработкой своего «велосипеда». Резюмируя, отметим, что лишь в том случае, если российские организации будут иметь четкое представление обо всех рисках, которые могут повлиять на ИТ-системы и бизнес в целом, начнётся осознание пользы стратегии управления ими, и к задачам информационной безопасности отечественный топ-менеджмент будет относиться как к приоритетным с точки зрения бизнеса, а не «технологических» баррикад». Вадим Ференец / CNews Analytics |