|
|
91% банков планируют внедрить систему выявления или предотвращения утечекРоссийские банки начинают более зрело подходят к проблемам внутренней безопасности. Есть все основания полагать, что проникновение систем защиты от утечек в этот сектор продолжится и дальше. Причем темпы роста будут заметно выше, чем в целом по всем отраслям экономики. 13% организаций сектора уже внедрили систему выявления или предотвращения утечек, 91% планируют это сделать в ближайшие два-три года. Исследование, проведенное InfoWatch, ставило своей целью определить отношение респондентов к угрозам внутренней ИБ, обобщить информацию об используемых защитных средствах и технологиях, выявить специфику обеспечения внутренней ИБ в российском банковском секторе, а также нормативного регулирования ИБ. Данный проект уточняет результаты третьего ежегодного исследования «Внутренние ИТ-угрозы в России 2006», в ходе которого были опрошены 1450 российских организаций во всех секторах экономики. В то же самое время, анализ внутриотраслевых результатов и сравнение с аналогичными показателями по всем секторам экономики, позволяет выявить специфику банковского сектора. В опросе приняли участие руководители и ведущие сотрудники отделов ИТ и ИБ. Совокупность участников, род их занятий, сфера деятельности компаний были подобраны таким образом, чтобы наиболее точно соответствовать генеральной совокупности. Все респонденты являются лицами, принимающими решения в области развития корпоративных информационных систем. Анализ портрета респондентов по количеству сотрудников показал, что наибольшая доля опрошенных организаций приходится на малый и средний бизнес: у 45% респондентов менее 1 тыс. служащих. При этом оставшиеся 55% представляют собой крупные банки, из которых у 43% численность персонала — от 1 до 5 тыс. человек, а у 12% — более 5 тыс. сотрудников. Наибольшая по численности доля опрошенных организаций (54%) имеет менее 1 тыс. компьютеризированных мест. Кроме того, 44% банков используют от 1 до 10 тыс. рабочих станций, а 2% — более 10 тыс. терминалов. Таким образом, можно сделать вывод, что в базе респондентов репрезентативно представлены банки всех размеров, как крупного и среднего, так и малого масштаба. Анализируя должности респондентов, следует отметить, что банковский сектор лидирует по своему зрелому отношению к проблеме ИБ. Так, у 35% опрошенных организаций есть в штатной структуре выделенный отдел ИБ, в то время как в среднем по всем отраслям этот показатель достигает лишь 27,2% (см. «Внутренние ИТ-угрозы в России»). Отметим, что по этому параметру банковский сектор опережает, в том числе, отрасль телекоммуникаций, которая традиционно отличается высокой степенью зрелости в использовании ИТ и ИБ. Между тем, в телекоммуникациях этот показатель достигает лишь 32%, так что российские банки подходят к проблеме ИБ наиболее вдумчиво. В то же время отметим, что в 17% банков есть выделенные специалисты по ИБ в рамках ИТ-департамента. При этом лишь малая часть респондентов (6%) возлагает задачи обеспечения ИБ на сотрудников ИТ-отдела, которые помимо этого выполняют другие функции. Угрозы ИБ в России Отвечая на вопрос, организации имели возможность обрисовать ландшафт самых опасных угроз ИБ. Каждый респондент мог выбрать только 3 угрозы из предложенного списка. В результате, на первом месте по-прежнему остается кража информации (64%). Индекс опасности этой угрозы в банковском секторе немного отстает от аналогичного показателя в среднем по всем отраслям экономики (на 1,8%). Однако кража информации по-прежнему удерживает пальму первенства среди всех угроз ИБ. Наиболее опасные угрозы ИБ Далее, на втором месте оказалась халатность сотрудников (52%), которая точно также немного отстала от общеотраслевого показателя на 3,1 процентных пункта. Третье место заняли вирусные атаки (45%), а на четвертой позиции — сбои в работе информационной системы (43%). В этом варианте проявляется одно из важных отличий банковского сектора от других отраслей экономики. Дело в том, что в общеотраслевом опросе аппаратные и программные сбои оказались на самом последнем месте с 7,2% голосов. Другими словами, именно для банковского сектора проблема сбоев имеет более высокое значение, чем все остальные угрозы за исключением 3-х первых угроз. Таким образом, можно сделать вывод, что распределение самых опасных в банковском секторе угроз ИБ практически полностью повторяет риски, которых опасаются предприятия других отраслей. Есть незначительные отклонения в более высокой опасности сбоев в работе ИТ-инфраструктуры, но первые три места устойчиво удерживают кража информации (64%), халатность сотрудников (52%) и вредоносные программы (45%). Между тем, если пересчитать результаты предыдущего вопроса, разделив все ответы на внутренние и внешние угрозы, то легко видеть, что инсайдеры превалируют над вирусами, хакерами и спамом. В категорию внутренних угроз были отнесены, халатность сотрудников, саботаж и финансовое мошенничество, а в категорию внешних угроз вирусы, хакеры и спам. После этого суммарный рейтинг опасности каждой категории был нормирован, чтобы ограничить общую сумму ста процентами. Отметим, что угрозы кражи информации, различных сбоев и кражи оборудования специально не были отнесены ни к одной из групп. Дело в том, что они могут быть реализованы, как изнутри, так и снаружи или вообще без вмешательства человека (например, аппаратные сбои). Соотношение опасности внутренних и внешних угроз ИБ Исходя из полученных результатов, респонденты значительно больше обеспокоены внутренней ИБ, чем защитой от внешних угроз. Кроме того, следует учитывать, что неклассифицированные риски, например, кражу информации или оборудования, чаще всего относят к внутренним угрозам. В данном случае это не было сделано, чтобы не придавать угрозам со стороны инсайдеров дополнительного веса. Однако как показали расчеты, даже в этом случае внешние риски существенно уступают внутренним угрозам. Внутренние угрозы ИБ Выяснив, что самые опасные угрозы ИБ исходят изнутри организации, вполне логично изучить структуру инсайдерских рисков. В рамках следующего вопроса респондентам снова предложили выбрать 3 наиболее опасные угрозы ИБ, но на этот раз рассматривались только внутренние риски. Как показали результаты опроса, в списке самых опасных внутренних угроз с огромным отрывом лидирует нарушение конфиденциальности информации (78%). Ближайший конкурент — утрата информации (61%) — отстал на целых 17 процентных пунктов. Другими словами, риск утечки ценной информации волнует респондентов намного больше любой другой инсайдерской угрозы. Самые опасные угрозы внутренней ИБ Следующие две позиции остались за утратой информации (61%) и сбоями в работе информационной системы (41%). Сразу следует отметить, что в этом проявляется некоторая специфика банковского сектора. Дело в том, что в общеотраслевом исследовании второе и третье место заняли искажение информации и саботаж. Они набрали 38,4% и 26,2% соответственно. Однако, как уже было показано ранее, банковский сектор помимо всего прочего обеспокоен проблемой аппаратных и программных сбоев. В результате даже в списке самых опасных внутренних угроз ИБ утрата информации и сбои оказались на втором и третьем местах. Причем очевидна взаимосвязь между этими рисками, так как сбои в работе ИТ-инфраструктуры вызывают чаще всего именно утрату информации. Между тем, не вызывает сомнения тот факт, что наибольшую опасность для российских банков представляет утечка конфиденциальной информации (78%). Ее отрыв от всех остальных рисков ИБ впечатляет. Чтобы выяснить, почему так происходит, аналитический центр InfoWatch поставил перед финансовыми компаниями ряд дополнительных вопросов. Утечка конфиденциальной информации В этом году российским банкам предложили выделить наиболее плачевные последствия утечек конфиденциальной информации и персональных данных. При этом представитель каждой организации мог выбрать только два варианта из предложенного списка. Как оказалась, более всего респонденты озабочены потерей клиентов (54%), а также ухудшением своего имиджа (46%). На третьем месте оказалось снижение конкурентоспособности (37%), которое является фактически следствием первых двух негативных факторов. 17 процентных пунктов. Другими словами, риск утечки ценной информации волнует респондентов намного больше любой другой инсайдерской угрозы.Наиболее плачевные последствия утечки Отметим, что прямые финансовые убытки оказались лишь на четвертом месте с 28% голосов — что, действительно, соответствует реальному положению дел, так как в России ни одна организация не обязана нести прямые потери вследствие утечки. Этим наша страна отличается от США и Евросоюза, где компании могут лишиться лицензии, заплатить многомиллионный штраф за утечку, а в некоторых случаях даже высшее руководство может оказаться в тюрьме. По этой же причине столь малая доля респондентов указала на юридические издержки (2%) и преследование со стороны регуляторов рынка (23%). Таким образом, российские банки совершенно справедливо оценили наиболее плачевные утечки. Как известно, общественность и пресса всегда отрицательно реагируют в случае кражи персональных данных граждан, что приводит, как минимум, к ухудшению репутации и потере клиентов. На следующем этапе исследования аналитический центр InfoWatch предложил респондентам указать самые распространенные каналы утечки информации. Отвечая на данный вопрос, респонденты почти полностью повторили результаты общеотраслевого исследования: мобильные накопители (84%), электронная почта (78%) и интернет (66%). Однако далее следуют печатающие устройства (42%). Заметим, что интернет-пейджеры с 34% голосов оказались лишь на четвертом месте, хотя в среднем по экономике они устойчиво занимают третье место с 77 процентными пунктами. Каналы утечки По мнению аналитического центра InfoWatch, более высокий рейтинг опасности печатающих устройств по сравнению с интернет-пейджерами связан в первую очередь с тем, что банки просто административно и технически запрещают использование такого рода инструментов в корпоративной сети. Между тем, электронная почта, мобильные накопители и интернет сегодня являются жизненно необходимыми средствами коммуникации. Во многих случаях эти каналы нельзя полностью блокировать. А если их взять под контроль, то внутренние нарушители переключают свое внимание на печатающие устройства. Именно поэтому принтеры заняли четвертую позицию в списке самых популярных каналов утечки. Далее, одним из самых важных моментов исследования стал вопрос о количестве утечек конфиденциальной информации, которые респонденты допустили в течение 2006 года. Как и в других отраслях, лидером оказалось стандартное «Затрудняюсь ответить», так как слишком многие респонденты еще не используют специализированных решений для выявления утечек. Однако положительный сдвиг уже налицо: если в среднем по экономике затруднения с ответом возникли у 44,8% респондентов, то в банковском секторе — только у 35% организаций. Другими словами, представители данной отрасли лучше осведомлены об утечках, чем компании других секторов. Это определенно свидетельствует о более серьезном отношении к проблемам ИБ. Столь же позитивным выглядит тот факт, что 21% респондентов могут уверенно заявить, что не допустили ни одной утечки в прошедшем году. Хотя оставшиеся 44% организаций (за вычетом затрудняющихся ответить) все-таки допустили минимум одну утечку, показатель в 21% превосходит на 7,3% общеотраслевой результат. ФЗ «О персональных данных» Специфика банковского сектора проявляется также в вопросах нормативного регулирования. Прежде всего, некоторые банки специализируются на предоставлении услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных граждан. Следовательно, руководству ИТ-департаментов и отделов ИБ необходимо обратить внимание на ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан. Чтобы определить отношение респондентов к этому закону, аналитический центр InfoWatch предложил банкам оценить степень влияния ФЗ «О персональных данных» на свой бизнес. Оказывается, что сегодня этот закон в целом работает вхолостую: ровно половина респондентов (50%) считает, что норматив оказывает мизерное влияние на бизнес компании, а почти каждый третий (35%) заявил, что ФЗ вообще ни на что не влияет. Конечно, нельзя сбрасывать со счетов 15% организаций, которые видят в данном нормативе серьезный фактор влияния на бизнес. Однако в целом в отрасли бытует мнение, что ФЗ «о персональных данных» является практически беззубым нормативом. Степень влияния ФЗ «О персональных данных» на бизнес компании По мнению аналитического центра InfoWatch, подавляющее большинство опрошенных банков, действительно, довольно реалистично смотрят на новый закон. Во-первых, данный нормативный акт выдвигает самые общие требования: операторы обязаны обеспечить конфиденциальность приватных сведений, но сделать это они должны по собственному разумению. Во-вторых, закон не предусматривает явной ответственности за утечку информации для руководства или бизнеса. В-третьих, федеральный орган, уполномоченный следить за выполнением закона, а это ФСТЭК России, все еще не выпустил стандарт безопасности персональных данных. Между тем, этот стандарт необходим, чтобы компании знали, какие меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Наконец, в-четвертых, в России отсутствует правоприменительная практика в сфере борьбы с утечками: судьям, следователям и милиции необходим опыт борьбы с инсайдерами и продавцами приватных данных. Конечно, нельзя отрицать, что в перспективе ФЗ «О персональных данных» обрастет, как стандартами, так и правоприменительной практикой. В этом случае он действительно превратится в эффективный драйвер ИБ в российской экономике. Однако в ближайшие несколько лет представители банковского сектора могут этого не опасаться. Стандарт Банка России по ИБ В кредитно-финансовом секторе вот уже более 2-ух лет действует Стандарт Банка России по ИБ (СТО БР ИББС-1.0–2006). Стандарт насчитывает двенадцать глав, центральное место среди которых занимает пятая глава, описывающая исходную концептуальную схему (парадигму). В основу положена модель противоборства собственника и злоумышленника. Более того, стандарт сразу же расставляет акценты (пункт 5.4): «Наибольшими возможностями для нанесения ущерба [организации] … обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Таким образом, во главу угла авторы стандарта ставят именно защиту от инсайдеров. Для борьбы с угрозами стандарт рекомендует не только проверенные временем методики типа моделирования угроз, создания политики и системы управления ИБ, но и выделение службы ИБ в отдельное подразделение. Как уже было показано выше, банковский сектор значительно превосходит по этому показателю другие сектора экономики: 35% банков имеют выделенные отделы ИБ, а еще 17% имеют выделенных специалистов по ИБ в рамках ИТ-департамента. Однако вернемся к Стандарту Банка России, так как этим не исчерпывается список требований к внутренней ИБ. Так, авторы стандарта не обошли своим вниманием и средства внутреннего контроля, знакомые многим по 404 параграфу закона SOX (Sarbanes-Oxley Act of 2002). Например, в пункте 5.10 указано: «…все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться». Заметим, что стандарт Центробанка не дает четких рекомендаций по механизмам внутреннего контроля, однако так же, как многие американские и британские законы требует, чтобы организации вели архив корпоративной корреспонденции. Так, пункт 8.2.6.4 гласит: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». Таким образом, распространенная в мире практика обязательно использовании централизованного и аутентичного архива электронных сообщений впервые нашла свое отражение в российском нормативном акте. Чтобы определить отношение респондентов к Стандарту ЦБ, аналитический центр InfoWatch предложил банкам оценить степень влияния этого нормативного акта на свой бизнес. Здесь снова респонденты выразили свои пессимистические настроения относительно влияния требований регулятора: 31% полагает, что Стандарт ЦБ вообще не влияет, а 43% полагают, что он влияет не существенно. Степень влияния Стандарта Банка России по ИБ на бизнес компании Углубленный анализ ответов на данный вопрос позволил выявить корреляцию между размером банка и влиянием на его бизнес Стандарта ЦБ. Так, абсолютно все банки, попавшие в категорию «влияет очень сильно» (26%), имеют более 2,5 тыс. компьютеризированных рабочих мест. Таким образом, в целом низкий уровень влияния Стандарта Банка России можно объяснить именно тем, что в базе респондентов преобладают в основном малые банки. Тем не менее, последние исследования показывают, что по мере развития кредитно-финансового сектора в Центробанк будет ужесточать нормативную политику в сфере ИБ. Так, уже через 1-2 года регулятор может трансформировать характер стандарта из рекомендательного в обязательный для исполнения. Другими словами, проблемой стандартизации своей системы ИБ придется озаботиться, в том числе, малым и средним банкам, которые сейчас стараются этот вопрос игнорировать. Соглашение Basel II Соглашение Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы») является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Basel II предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия. Вторая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. При этом, исходя из неоднократных исследований российского кредитно-финансового сектора и опыта стран «большой десятки», именно управление операционными рисками представляет для банков наибольшую сложность. Вдобавок, низкая эффективность при управлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять. Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Легко видеть, что в определение операционных рисков попадают, прежде всего, действия инсайдеров (кража конфиденциальной информации, мошенничество, халатность и безалаберность). Более того, последние исследования показывают, что наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. Таким образом, положения Basel II могут оказать достаточно сильное влияние на обеспечение внутренней ИБ в российских банках. Тем не менее, это может произойти только когда требования Basel II станут обязательными для исполнения, а так как это должно произойти только в 2009 году, сегодня банки оценивают степень влияния Basel II в основном, как не очень сильную. Так, 38% респондентов полагают, что данный нормативный акт вообще не влияет на бизнес компании, а 47% убеждены, что влияние есть, но не очень сильное. Наконец, лишь 23% банков считают, что соглашение Basel II влияет достаточно сильно на деятельность организации. Степень влияния соглашения Basel II на бизнес компании Снова анализ ответов в соответствии с портретом респондентов показывает, что вариант «вообще не влияет» выбрали преимущественно малые и средние банки. Что же касается сильного влияния, то все 23% этих респондентов принадлежат группе банков, имеющих более 2,5 тыс. рабочих станций. Средства защиты Среди наиболее популярных инструментов ИБ за последний год оказались антивирусы (99%), межсетевые экраны (82%) и контроль доступа (73%). Что касается этих и других средств ИБ, то в целом представители банковского сектора используют больше различных продуктов и решений, чем компании, работающие в других отраслях экономики. Более того, кредитно-финансовый сектор является абсолютным рекордсменом по использованию защиты от утечки данных (13%). Практически каждый восьмой банк использует то или иное средство для предотвращения кражи информации инсайдерами. В среднем по всем отраслям экономики этот показатель достигает лишь 10,5%. Наиболее популярные средства ИБ среди банков По мнению аналитического центра InfoWatch, относительно высокая защищенность банковского сектора (13% против 10,5%) объясняется несколькими факторами. Во-первых, практически вся информация, циркулирующая в банковской корпоративной сети, является классифицированной. Это персональные данные клиентов, конфиденциальные финансовые сведения, важные отчеты и коммерческие секреты самой компании и т.д. Другими словами, бизнес банка — это не только финансы, но и классифицированная информация. Во-вторых, российский банковский сектор традиционно уделяет повышенное внимание своей ИТ-инфраструктуре. Выше уже говорилось о том, что 35% банков имеют выделенные отделы ИБ, и что это самый высокий показатель среди всех отраслей. В то же самое время отечественные банки часто имеют зрелую систему ИБ и потому внедряют различные инновационные продукты и решения. Не исключением стали и системы защиты от утечки, которые в кредитно-финансовом секторе получили сегодня наибольшее распространение. Таким образом, характер бизнеса, а также зрелый и инновационный подход к ИБ позволяют российским банкам защищаться от инсайдеров более эффективно, чем предприятиям в других отраслях экономики. В то же самое время 13% — это слишком малый показатель в масштабах отрасли. При чем если вернуться к результатам девятого вопроса, отвечая на который 21% респондентов заявили, что в 2006 году они не зафиксировали ни одной утечки. Получается, что минимум 8% (21% минус 13%) из этих компаний не допустили утечек, хотя не используют никаких средств защиты. Более того, из последнего факта вытекает, что такие организации даже не могут отследить, происходят у них утечки или нет. Таким образом, их уверенность в отсутствии утечек не имеет под собой объективных оснований. Обратимся теперь к следующему вопросу, который логично вытекает из предыдущего. Что именно мешает компаниям внедрять системы защиты от утечек? В предложенном ниже списке каждый респондент мог выбрать только одну основную причину. Как оказалось, наибольший вес для российских банков имеет отсутствие стандартов (32%). Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, а еще и единое видение системы внутренней безопасности. Так, многие респонденты отмечали, что сегодня еще не сформировался единый подход к решению проблемы внутренней ИБ. В результате компаниям сложно планировать бюджеты и выбирать продукты для внедрения. Отсюда вытекает еще одна проблема — бюджетные ограничения (20%). Ведь, не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее распределять часть бюджета на решение проблемы инсайдеров. Препятствия на пути внедрения защиты от утечки данных Полученные результаты очень интересно сравнить с общеотраслевыми. Так, в опросе всех секторов экономики лидерами среди препятствий стали психологические препятствия (они набрали 25,4%). В то же самое время отсутствие стандартов оказалось на пятом месте (с 12,2%). Отсюда напрашивается вывод, что банковский сектор подходит к проблеме внутренней ИБ намного более зрело, чем другие отрасли. Это проявляется в том, что представители банков уже перешагнули психологический барьер и отчетливо понимают, что сегодня необходимо унифицировать процесс защиты от внутренних угроз. С этим мнением полностью согласны эксперты InfoWatch, которые полагают, что выработка единого подхода к решению проблемы инсайдерских рисков просто необходима. Более того, она уже идет сейчас, но занять может около 2-3 лет. Таким образом, сложность выбора конкретного решения для защиты от утечек вполне объяснима. Наиболее эффективные пути защиты от утечки Наиболее эффективным средством являются комплексные информационные продукты (52%). Эта мера лидирует вот уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы. Далее следуют организационные меры (23%), ограничение связи с внешними сетями (19%) и тренинги персонала (6%). Причем как полагают эксперты InfoWatch, наиболее эффективным способом минимизации инсайдерских рисков является комбинация различных способов. Правда, базовой основной все равно должно быть комплексное решение на основе ИТ, так как только с его помощью можно закрепить положения политики ИБ на рабочих местах. Этот вывод полностью подтверждают результаты последнего вопроса, в котором аналитический центр InfoWatch предложил респондентам определить свои планы на ближайшие 2-3 года. Практически девять респондентов из десяти (91%) планируют внедрить в ближайшие три года ту или иную систему защиты от утечек. Планы по внедрению защиты от утечек на ближайшие 3 года Наибольшим вниманием респондентов пользуются комплексные решения (34%). Этот показатель несколько отстает от общеотраслевого (почти на 10%), но следует иметь в виду, что банковский сектор является рекордсменом по использованию систем защиты от утечек уже в данный момент. Среди других планов респондентов следует отметить средства мониторинга электронной почты (27%), интернет-трафика (18%), а также системы контроля над рабочим станциями (12%). В заключение исследования респондентам было предложено просто прокомментировать проблему внутренних нарушителей и высказать свое мнение по любому связанному с ней аспекту. Здесь представители банковского сектора снова высказали свою тревогу относительно отсутствия единого подхода к обеспечению внутренней безопасности. Отметим, что это же самое мнение разделяют предприятия других отраслей, например, телекоммуникационной отрасли и ТЭК. На практике отсутствие стандарта очень сильно затрудняет выбор конкретного решения, так как организация вынуждена выслушивать очень многих поставщиков, каждый из которых обладает какими-то плюсами, но мало чем пересекается с конкурентами. Кроме того, возникают естественные трудности с планированием бюджета. Тем не менее, респонденты отмечают, что сегодня уже начинают появляться некоторые точки соприкосновения. Они, прежде всего, связаны с тем, что организации постоянно расширяют число коммуникационных каналов, которые используются в бизнесе: электронная почта, Интернет, пейджеры, печать на бумагу, различные беспроводные сети, новые сетевые протоколы и приложения и т.д. Таким образом, при построении системы внутренней ИБ выгодно не концентрировать всю функциональность на каком-то одном канале, а напротив — создавать расширяемую систему, к которой легко добавить новый канал. Несмотря на то, что российские банки довольно зрело относятся к проблеме ИБ вообще и защите от внутренних угроз в частности, им все равно еще есть, куда работать. Во-первых, уровень использования эффективных средств защиты от утечек в организациях данной отрасли еще очень низок. Во-вторых, среди некоторых респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов, чтобы проверить это, данные организации не используют. В-третьих, банкам следует учитывать тенденции ужесточения нормативного регулирования. Так, Стандарт Банка России по ИБ может очень быстро стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных». Наконец, в 2009 году уже вступят в силу требования соглашения Basel II по управлению операционными рисками и резервированию под них капитала. Суммируя результаты уже осуществленных внедрений в банковском секторе и планы компаний на ближайшие годы, аналитический центр InfoWatch отмечает в основном положительные тенденции. По сравнению с прошлым годом число организаций, защитивших себя от утечек, выросло в несколько раз (в целом по всем секторам экономики — в пять раз). Причем по прогнозам исследования в будущем году этот показатель снова увеличится в тех же масштабах. Алексей Доля |