Эффективность мер и средств защиты информации
Источник: Deloitte, 2006
Какие же задачи сейчас встают перед руководителями служб информационной безопасности российских банков? Денис Муравьев — руководитель проекта по построению службы ИБ банка «Траст», приводит следующий список проблем, так или иначе стоящих перед службой ИБ. Во-первых, обеспечение эффективного стратегического руководства. Во-вторых, соблюдение интересов акционеров. В-третьих, соблюдение требований регуляторов. В-четвертых, внедрение лучших практик менеджмента. А также наведение жесткого внутреннего контроля, обеспечение управления рисками и повышение капитализации.
Как видно из этого списка, требования к руководству служб ИБ мало чем отличаются от требований к руководителям других подразделений. Причина — глубочайшая степень интеграции ИТ в жизнедеятельность банка. Как отмечает г-н Муравьев, «Существует прямая связь между управлением информационными технологиями, информационной безопасностью и ростом капитализации банка в результате улучшения корпоративного управления в областях стратегического планирования ИТ и ИБ, управления операционными и ИТ рисками. В результате создание службы ИБ способствует совершенствованию бизнеса банка».
Комплексный подход как панацея
Банк «Траст» для построения комплексной системы ИБ применил подход международной консалтинговой компании KPMG. Дмитрий Ершов, заместитель директора Учебного центра «Информзащита», еще в 2004 году довольно точно охарактеризовал основную идею этой модели: «…многие упомянутые ранее ошибки связаны с непониманием или нежеланием при организации защиты информации следовать классическим принципам построения любых систем управления. В частности, с непониманием того, что в состав системы управления информационной безопасностью предприятия входят все ее сотрудники, и что необходимым условием успешной реализации технологии управления информационной безопасностью являются понимание и поддержка со стороны руководства, наличие в структуре предприятия специального подразделения, реализующего функции управляющего органа, разработка системы организационно-распорядительных и нормативно-методических документов, определяющих политику безопасности, наличие ответственных за информационную безопасность в подразделениях и на технологических участках информационной системы, а также поддержание в организации должного уровня исполнительской дисциплины».
Принципы построения системы ИБ в банке «Траст»
Источник: Банк «Траст», 2007
Фундаментальной особенностью обеспечения информационной безопасности в современном мире становится ее процессный характер. Это значит, что ИБ не одноразовая акция, а каждодневный рутинная процедура, все процессы которой имеют свой жизненный цикл. По словам представителя «РосЕвробанка», «Постоянная эволюция угроз заставляет компании непрерывно развиваться вслед за ними, чтобы не допустить отставания и резкого возрастания риска. Необходимы концептуальные изменения в философии бизнеса: инвестиции в безопасность должны соответствовать реальному риску, а не зависеть от финансовых результатов деятельности…»
Цикл управления информационной безопасностью
Источник: Банк «Траст», 2007
Согласно модели KPMG краеугольным камнем в строительстве системы ИБ является наличие высокоуровневой политики безопасности компании — документа, в котором в сжатом виде определены задачи системы ИБ, принципы ее обеспечения, идентифицированы информационные активы, требующие защиты, а так же прописаны принципы организации и реализации политики безопасности с указанием персональных зон ответственности. Далее следует разработка политик и процедур второго уровня. Здесь освещаются вопросы оценки рисков ИТ и ИБ, идентификации бизнес-процессов требующих соответствующей защиты, определяются требования к хранению архивных данных и процедурам резервного копирования. Разрабатываются политики контроля физического доступа к центрам обработки данных и другим помещениям. Особо стоят вопросы защиты от инсайдеров. Совершенно очевидно, что без активного участия высшего руководства решение этих задач невозможно. Далее, когда определена организационная и функциональная структура службы ИБ, решается задача выбора физического решения. Здесь банки сталкиваются с индивидуальными проблемами, связанными с бюджетом проектов, приверженностью к продуктам того или иного вендора, а так же с учетом судьбы уже проинсталлированного ПО и оборудования.
Какой же практический эффект можно получить от создания комплексной службы информационной безопасности можно получить? Например, проведение единой политики в области ИБ, большая ориентированность на нужды бизнеса, оценка эффективности затрат на обеспечение ИБ. Партнерам, клиентам и инвесторам наглядно демонстрируется серьезный подход к управлению ИБ. Процесс управления ИТ и ИБ становится более прозрачным для менеджмента. Кроме того, привлекается внимание и поддержка со стороны высшего руководства, а также обеспечивается соответствие стандартам.
Естественно, что каждый банк в условиях ограниченности ресурсов решает в первую очередь свои наиболее актуальные задачи и выбирает для этого свой путь. Так, например, «БинБанку» в первую очередь было необходимо обеспечить безопасность периметра ИС центрального офиса и филиалов, возможность удаленной работы с ресурсами центрального офиса и строгую аутентификацию пользователей при получении доступа к ИС.
Сетевая безопасность
Для решения задач, связанных с сетевой безопасностью, «Бинбанк» выбрал решение Check Point, базирующееся на программно-аппаратных комплексах UTM-1 в которых интегрированы средства оповещения об угрозах безопасности и их предупреждения (межсетевой экран, средства обнаружения и предотвращения несанкционированного вторжения, шлюзовой антивирус, а также средства построения VPN, модули контроля доступа в интернет, решения для мониторинга трафика, блокирования спама, фишинга). Единая консоль управления позволяет управлять всеми этими устройствами, в том числе удаленно в офисах и филиалах, что позволяет упростить процесс обновления программного обеспечения и снизить нагрузку на инженеров службы ИБ.
Элементы системы обеспечения сетевой безопасности
Источник: БинБанк, 2007
Для обеспечения конфиденциальности данных в компьютерах мобильных пользователей внедрены средства шифрования данных с помощью Aladdin Secret Disk NG, а так же решения для аутентификации на основе ключей eToken NG-OTP.
Варианты аутентификации
Еще одним быстро растущим элементом рынка систем комплексной безопасности банков стал сегмент обеспечения защищенного пользовательского доступа. Последним примером из этой сферы внедрение биометрических средств BioLink в систему защиты информации Западно-Сибирского коммерческого банка. Решение, построенное на базе сканеров отпечатков пальцев BioLink U-Match и ПО BioLink ASA, обслуживает 350 сотрудников головного офиса Западно-Сибирского банка. В дальнейшем к системе планируется подключить две тысячи пользователей в 30 филиалах. По данным компании «Ланит», системного интегратора этого проекта, стоимость первого этапа работ составила порядка $300 тыс. (без учета работ по внедрению).
Несколько ранее была построена система защищенного доступа пользователей банка «Возрождение», основанная на инфраструктуре открытых ключей (PKI). Она базируется на пяти компонентах — системе управления ключевыми носителями и сертификатами, сервере защищенного доступа, системе балансировки нагрузки, системе управления паролями пользователей, а так же модулем интерфейса к кадровой информационной системе. Первая из них основана на eToken PRO, что позволяет использовать принципы управления жизненным циклом ключевых носителей и централизованно выпускать сертификаты. Основой для этапов жизненного цикла является информация из кадровой системы банка — должность, наименование подразделения, текущий статус (отпуск, командировка, увольнение и т.д.) В результате в каждый момент времени для каждого
Защита платежных систем
Значительное влияние на развитие технологий безопасности в банках начал оказывать Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard. Решение о создании данного единого Стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена. Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный Уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей. PCI Data Security Standard с сентября 2006 года введен международной платежной системой VISA на территории региона CEMA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг, работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям Стандарта. В противном случае VISA будет применять к компаниям, не прошедшим данную процедуру, определенные штрафные санкции.
Выводы CNews Analytics
Очевидно, что эра обеспечения информационной безопасности в банках путем внедрения «точечных» или локальных решений подошла к концу. На повестке дня — построение комплексных масштабируемых систем и единым центром управления, естественно, соответствующих мировым стандартам (в том числе по управлению рисками). Более того, по данным ЦБ РФ, лишь 20% всех задач по обеспечению безопасности могут быть решены с помощью техники. Ее ресурс вообще ограничен. Аппаратные средства могут обеспечить большее быстродействие или точность в идентификации объекта. При этом 80% всех проблем решается организационными, административными, процедурными средствами. Вследствие этого происходит принятие того факта, что защита банковской информации, будучи чрезвычайно сложным и дорогостоящим процессом, требует отработанных методик по ее обеспечению, которые немедленно превращаются в один из наиболее значимых активов организации. Есть опыт западных коллег. Есть и российские достижения.
Так, например, Виктор Иванов (R-Style Softlab) считает, что российской спецификой рынка ПО для обеспечения информационной безопасности является чрезмерное влияние регулирующих госорганов, которые играют контрольно-распорядительную роль. Но эта специфика имеет и свои достоинства. «Мы на рынок финансовых приложений выходим более защищенными, чем западные банковские системы, которые изначально развивались с ритейла. Вследствие того, что развитие розничных банковских услуг опережало развитие средств обеспечения информационной защиты, ритейловые системы на Западе слабее защищены. Именно поэтому там больше проблем с обеспечением безопасности специализированных приложений», — считает эксперт.
Что касается опыта иностранных участников банковского рынка, Сергей Груздев (Aladdin), считает, что «у иностранных банков есть свои стандарты, соглашения и «правила игры», в том числе и с точки зрения автоматизации и защиты ИТ-процессов. Естественно выходя на рынок другой страны, они придерживаются своих политик. Ведь до недавнего времени деятельность наших банков слабо регламентировалась и фактически регулировалась только внутренними политиками, уставом и нормами, утвержденными в каждом конкретном банке.
Но с принятием стандарта по ИБ для организаций банковской системы России, который рано или поздно станет обязательным, особенно если принять во внимание предстоящее вступление нашей страны в ВТО, на банковском рынке произойдёт упорядочивание, он станет более прозрачным, конкурентоспособным и цивилизованным. Иными словами, со временем у нас также будет выработан свой правильный подход к организации банковской деятельности, исходя из которого и будут выбираться те или иные решения для защиты информационных ресурсов финансовых и страховых компаний. Уже сейчас суверенностью можно сказать, что организации, предлагающие несертифицированные продукты, а также «серые» поставщики постепенно будут вытеснены с рынка.
То же самое касается систем электронного документооборота в банках. Тогда как весь Запад, вставший под флаг PKI и оценивший перспективу этой технологии, использует стандартный набор предлагаемых рынком средств защиты, отечественные компании трудятся над разработкой своего «велосипеда». Резюмируя, отметим, что лишь в том случае, если российские организации будут иметь четкое представление обо всех рисках, которые могут повлиять на ИТ-системы и бизнес в целом, начнётся осознание пользы стратегии управления ими, и к задачам информационной безопасности отечественный топ-менеджмент будет относиться как к приоритетным с точки зрения бизнеса, а не «технологических» баррикад».
Вадим Ференец / CNews Analytics
91% банков планируют внедрить систему выявления или предотвращения утечек
Российские банки начинают более зрело подходят к проблемам внутренней безопасности. Есть все основания полагать, что проникновение систем защиты от утечек в этот сектор продолжится и дальше. Причем темпы роста будут заметно выше, чем в целом по всем отраслям экономики. 13% организаций сектора уже внедрили систему выявления или предотвращения утечек, 91% планируют это сделать в ближайшие два-три года.
Исследование, проведенное InfoWatch, ставило своей целью определить отношение респондентов к угрозам внутренней ИБ, обобщить информацию об используемых защитных средствах и технологиях, выявить специфику обеспечения внутренней ИБ в российском банковском секторе, а также нормативного регулирования ИБ. Данный проект уточняет результаты третьего ежегодного исследования «Внутренние ИТ-угрозы в России 2006», в ходе которого были опрошены 1450 российских организаций во всех секторах экономики. В то же самое время, анализ внутриотраслевых результатов и сравнение с аналогичными показателями по всем секторам экономики, позволяет выявить специфику банковского сектора.
В опросе приняли участие руководители и ведущие сотрудники отделов ИТ и ИБ. Совокупность участников, род их занятий, сфера деятельности компаний были подобраны таким образом, чтобы наиболее точно соответствовать генеральной совокупности. Все респонденты являются лицами, принимающими решения в области развития корпоративных информационных систем.
Анализ портрета респондентов по количеству сотрудников показал, что наибольшая доля опрошенных организаций приходится на малый и средний бизнес: у 45% респондентов менее 1 тыс. служащих. При этом оставшиеся 55% представляют собой крупные банки, из которых у 43% численность персонала — от 1 до 5 тыс. человек, а у 12% — более 5 тыс. сотрудников.
Наибольшая по численности доля опрошенных организаций (54%) имеет менее 1 тыс. компьютеризированных мест. Кроме того, 44% банков используют от 1 до 10 тыс. рабочих станций, а 2% — более 10 тыс. терминалов. Таким образом, можно сделать вывод, что в базе респондентов репрезентативно представлены банки всех размеров, как крупного и среднего, так и малого масштаба.
Анализируя должности респондентов, следует отметить, что банковский сектор лидирует по своему зрелому отношению к проблеме ИБ. Так, у 35% опрошенных организаций есть в штатной структуре выделенный отдел ИБ, в то время как в среднем по всем отраслям этот показатель достигает лишь 27,2% (см. «Внутренние ИТ-угрозы в России»). Отметим, что по этому параметру банковский сектор опережает, в том числе, отрасль телекоммуникаций, которая традиционно отличается высокой степенью зрелости в использовании ИТ и ИБ. Между тем, в телекоммуникациях этот показатель достигает лишь 32%, так что российские банки подходят к проблеме ИБ наиболее вдумчиво.
В то же время отметим, что в 17% банков есть выделенные специалисты по ИБ в рамках ИТ-департамента. При этом лишь малая часть респондентов (6%) возлагает задачи обеспечения ИБ на сотрудников ИТ-отдела, которые помимо этого выполняют другие функции.
Угрозы ИБ в России
Отвечая на вопрос, организации имели возможность обрисовать ландшафт самых опасных угроз ИБ. Каждый респондент мог выбрать только 3 угрозы из предложенного списка. В результате, на первом месте по-прежнему остается кража информации (64%). Индекс опасности этой угрозы в банковском секторе немного отстает от аналогичного показателя в среднем по всем отраслям экономики (на 1,8%). Однако кража информации по-прежнему удерживает пальму первенства среди всех угроз ИБ.
Наиболее опасные угрозы ИБ
Источник: InfoWatch, 2007
Далее, на втором месте оказалась халатность сотрудников (52%), которая точно также немного отстала от общеотраслевого показателя на 3,1 процентных пункта. Третье место заняли вирусные атаки (45%), а на четвертой позиции — сбои в работе информационной системы (43%). В этом варианте проявляется одно из важных отличий банковского сектора от других отраслей экономики. Дело в том, что в общеотраслевом опросе аппаратные и программные сбои оказались на самом последнем месте с 7,2% голосов. Другими словами, именно для банковского сектора проблема сбоев имеет более высокое значение, чем все остальные угрозы за исключением 3-х первых угроз. Таким образом, можно сделать вывод, что распределение самых опасных в банковском секторе угроз ИБ практически полностью повторяет риски, которых опасаются предприятия других отраслей. Есть незначительные отклонения в более высокой опасности сбоев в работе ИТ-инфраструктуры, но первые три места устойчиво удерживают кража информации (64%), халатность сотрудников (52%) и вредоносные программы (45%).
Между тем, если пересчитать результаты предыдущего вопроса, разделив все ответы на внутренние и внешние угрозы, то легко видеть, что инсайдеры превалируют над вирусами, хакерами и спамом. В категорию внутренних угроз были отнесены, халатность сотрудников, саботаж и финансовое мошенничество, а в категорию внешних угроз вирусы, хакеры и спам. После этого суммарный рейтинг опасности каждой категории был нормирован, чтобы ограничить общую сумму ста процентами. Отметим, что угрозы кражи информации, различных сбоев и кражи оборудования специально не были отнесены ни к одной из групп. Дело в том, что они могут быть реализованы, как изнутри, так и снаружи или вообще без вмешательства человека (например, аппаратные сбои).
Соотношение опасности внутренних и внешних угроз ИБ
Источник: InfoWatch, 2007
Исходя из полученных результатов, респонденты значительно больше обеспокоены внутренней ИБ, чем защитой от внешних угроз. Кроме того, следует учитывать, что неклассифицированные риски, например, кражу информации или оборудования, чаще всего относят к внутренним угрозам. В данном случае это не было сделано, чтобы не придавать угрозам со стороны инсайдеров дополнительного веса. Однако как показали расчеты, даже в этом случае внешние риски существенно уступают внутренним угрозам.
Внутренние угрозы ИБ
Выяснив, что самые опасные угрозы ИБ исходят изнутри организации, вполне логично изучить структуру инсайдерских рисков. В рамках следующего вопроса респондентам снова предложили выбрать 3 наиболее опасные угрозы ИБ, но на этот раз рассматривались только внутренние риски. Как показали результаты опроса, в списке самых опасных внутренних угроз с огромным отрывом лидирует нарушение конфиденциальности информации (78%). Ближайший конкурент — утрата информации (61%) — отстал на целых 17 процентных пунктов. Другими словами, риск утечки ценной информации волнует респондентов намного больше любой другой инсайдерской угрозы.
Самые опасные угрозы внутренней ИБ
Источник: InfoWatch, 2007
Следующие две позиции остались за утратой информации (61%) и сбоями в работе информационной системы (41%). Сразу следует отметить, что в этом проявляется некоторая специфика банковского сектора. Дело в том, что в общеотраслевом исследовании второе и третье место заняли искажение информации и саботаж. Они набрали 38,4% и 26,2% соответственно. Однако, как уже было показано ранее, банковский сектор помимо всего прочего обеспокоен проблемой аппаратных и программных сбоев. В результате даже в списке самых опасных внутренних угроз ИБ утрата информации и сбои оказались на втором и третьем местах. Причем очевидна взаимосвязь между этими рисками, так как сбои в работе ИТ-инфраструктуры вызывают чаще всего именно утрату информации.
Между тем, не вызывает сомнения тот факт, что наибольшую опасность для российских банков представляет утечка конфиденциальной информации (78%). Ее отрыв от всех остальных рисков ИБ впечатляет. Чтобы выяснить, почему так происходит, аналитический центр InfoWatch поставил перед финансовыми компаниями ряд дополнительных вопросов.
Утечка конфиденциальной информации
В этом году российским банкам предложили выделить наиболее плачевные последствия утечек конфиденциальной информации и персональных данных. При этом представитель каждой организации мог выбрать только два варианта из предложенного списка. Как оказалась, более всего респонденты озабочены потерей клиентов (54%), а также ухудшением своего имиджа (46%). На третьем месте оказалось снижение конкурентоспособности (37%), которое является фактически следствием первых двух негативных факторов.
17 процентных пунктов. Другими словами, риск утечки ценной информации волнует респондентов намного больше любой другой инсайдерской угрозы.
Наиболее плачевные последствия утечки
Источник: InfoWatch, 2007
Отметим, что прямые финансовые убытки оказались лишь на четвертом месте с 28% голосов — что, действительно, соответствует реальному положению дел, так как в России ни одна организация не обязана нести прямые потери вследствие утечки. Этим наша страна отличается от США и Евросоюза, где компании могут лишиться лицензии, заплатить многомиллионный штраф за утечку, а в некоторых случаях даже высшее руководство может оказаться в тюрьме. По этой же причине столь малая доля респондентов указала на юридические издержки (2%) и преследование со стороны регуляторов рынка (23%). Таким образом, российские банки совершенно справедливо оценили наиболее плачевные утечки. Как известно, общественность и пресса всегда отрицательно реагируют в случае кражи персональных данных граждан, что приводит, как минимум, к ухудшению репутации и потере клиентов.
На следующем этапе исследования аналитический центр InfoWatch предложил респондентам указать самые распространенные каналы утечки информации. Отвечая на данный вопрос, респонденты почти полностью повторили результаты общеотраслевого исследования: мобильные накопители (84%), электронная почта (78%) и интернет (66%). Однако далее следуют печатающие устройства (42%). Заметим, что интернет-пейджеры с 34% голосов оказались лишь на четвертом месте, хотя в среднем по экономике они устойчиво занимают третье место с 77 процентными пунктами.
Каналы утечки
Источник: InfoWatch, 2007
По мнению аналитического центра InfoWatch, более высокий рейтинг опасности печатающих устройств по сравнению с интернет-пейджерами связан в первую очередь с тем, что банки просто административно и технически запрещают использование такого рода инструментов в корпоративной сети. Между тем, электронная почта, мобильные накопители и интернет сегодня являются жизненно необходимыми средствами коммуникации. Во многих случаях эти каналы нельзя полностью блокировать. А если их взять под контроль, то внутренние нарушители переключают свое внимание на печатающие устройства. Именно поэтому принтеры заняли четвертую позицию в списке самых популярных каналов утечки.
Далее, одним из самых важных моментов исследования стал вопрос о количестве утечек конфиденциальной информации, которые респонденты допустили в течение 2006 года. Как и в других отраслях, лидером оказалось стандартное «Затрудняюсь ответить», так как слишком многие респонденты еще не используют специализированных решений для выявления утечек. Однако положительный сдвиг уже налицо: если в среднем по экономике затруднения с ответом возникли у 44,8% респондентов, то в банковском секторе — только у 35% организаций. Другими словами, представители данной отрасли лучше осведомлены об утечках, чем компании других секторов. Это определенно свидетельствует о более серьезном отношении к проблемам ИБ.
Столь же позитивным выглядит тот факт, что 21% респондентов могут уверенно заявить, что не допустили ни одной утечки в прошедшем году. Хотя оставшиеся 44% организаций (за вычетом затрудняющихся ответить) все-таки допустили минимум одну утечку, показатель в 21% превосходит на 7,3% общеотраслевой результат.
ФЗ «О персональных данных»
Специфика банковского сектора проявляется также в вопросах нормативного регулирования. Прежде всего, некоторые банки специализируются на предоставлении услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных граждан. Следовательно, руководству ИТ-департаментов и отделов ИБ необходимо обратить внимание на ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан.
Чтобы определить отношение респондентов к этому закону, аналитический центр InfoWatch предложил банкам оценить степень влияния ФЗ «О персональных данных» на свой бизнес. Оказывается, что сегодня этот закон в целом работает вхолостую: ровно половина респондентов (50%) считает, что норматив оказывает мизерное влияние на бизнес компании, а почти каждый третий (35%) заявил, что ФЗ вообще ни на что не влияет. Конечно, нельзя сбрасывать со счетов 15% организаций, которые видят в данном нормативе серьезный фактор влияния на бизнес. Однако в целом в отрасли бытует мнение, что ФЗ «о персональных данных» является практически беззубым нормативом.
Степень влияния ФЗ «О персональных данных» на бизнес компании
Источник: InfoWatch, 2007
По мнению аналитического центра InfoWatch, подавляющее большинство опрошенных банков, действительно, довольно реалистично смотрят на новый закон. Во-первых, данный нормативный акт выдвигает самые общие требования: операторы обязаны обеспечить конфиденциальность приватных сведений, но сделать это они должны по собственному разумению. Во-вторых, закон не предусматривает явной ответственности за утечку информации для руководства или бизнеса. В-третьих, федеральный орган, уполномоченный следить за выполнением закона, а это ФСТЭК России, все еще не выпустил стандарт безопасности персональных данных. Между тем, этот стандарт необходим, чтобы компании знали, какие меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Наконец, в-четвертых, в России отсутствует правоприменительная практика в сфере борьбы с утечками: судьям, следователям и милиции необходим опыт борьбы с инсайдерами и продавцами приватных данных. Конечно, нельзя отрицать, что в перспективе ФЗ «О персональных данных» обрастет, как стандартами, так и правоприменительной практикой. В этом случае он действительно превратится в эффективный драйвер ИБ в российской экономике. Однако в ближайшие несколько лет представители банковского сектора могут этого не опасаться.
Стандарт Банка России по ИБ
В кредитно-финансовом секторе вот уже более 2-ух лет действует Стандарт Банка России по ИБ (СТО БР ИББС-1.0–2006). Стандарт насчитывает двенадцать глав, центральное место среди которых занимает пятая глава, описывающая исходную концептуальную схему (парадигму). В основу положена модель противоборства собственника и злоумышленника. Более того, стандарт сразу же расставляет акценты (пункт 5.4): «Наибольшими возможностями для нанесения ущерба [организации] … обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Таким образом, во главу угла авторы стандарта ставят именно защиту от инсайдеров.
Для борьбы с угрозами стандарт рекомендует не только проверенные временем методики типа моделирования угроз, создания политики и системы управления ИБ, но и выделение службы ИБ в отдельное подразделение. Как уже было показано выше, банковский сектор значительно превосходит по этому показателю другие сектора экономики: 35% банков имеют выделенные отделы ИБ, а еще 17% имеют выделенных специалистов по ИБ в рамках ИТ-департамента. Однако вернемся к Стандарту Банка России, так как этим не исчерпывается список требований к внутренней ИБ. Так, авторы стандарта не обошли своим вниманием и средства внутреннего контроля, знакомые многим по 404 параграфу закона SOX (Sarbanes-Oxley Act of 2002). Например, в пункте 5.10 указано: «…все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться». Заметим, что стандарт Центробанка не дает четких рекомендаций по механизмам внутреннего контроля, однако так же, как многие американские и британские законы требует, чтобы организации вели архив корпоративной корреспонденции. Так, пункт 8.2.6.4 гласит: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». Таким образом, распространенная в мире практика обязательно использовании централизованного и аутентичного архива электронных сообщений впервые нашла свое отражение в российском нормативном акте.
Чтобы определить отношение респондентов к Стандарту ЦБ, аналитический центр InfoWatch предложил банкам оценить степень влияния этого нормативного акта на свой бизнес. Здесь снова респонденты выразили свои пессимистические настроения относительно влияния требований регулятора: 31% полагает, что Стандарт ЦБ вообще не влияет, а 43% полагают, что он влияет не существенно.
Степень влияния Стандарта Банка России по ИБ на бизнес компании
Источник: InfoWatch, 2007
Углубленный анализ ответов на данный вопрос позволил выявить корреляцию между размером банка и влиянием на его бизнес Стандарта ЦБ. Так, абсолютно все банки, попавшие в категорию «влияет очень сильно» (26%), имеют более 2,5 тыс. компьютеризированных рабочих мест. Таким образом, в целом низкий уровень влияния Стандарта Банка России можно объяснить именно тем, что в базе респондентов преобладают в основном малые банки.
Тем не менее, последние исследования показывают, что по мере развития кредитно-финансового сектора в Центробанк будет ужесточать нормативную политику в сфере ИБ. Так, уже через 1-2 года регулятор может трансформировать характер стандарта из рекомендательного в обязательный для исполнения. Другими словами, проблемой стандартизации своей системы ИБ придется озаботиться, в том числе, малым и средним банкам, которые сейчас стараются этот вопрос игнорировать.
Соглашение Basel II
Соглашение Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы») является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Basel II предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия.
Вторая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. При этом, исходя из неоднократных исследований российского кредитно-финансового сектора и опыта стран «большой десятки», именно управление операционными рисками представляет для банков наибольшую сложность. Вдобавок, низкая эффективность при управлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять.
Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Легко видеть, что в определение операционных рисков попадают, прежде всего, действия инсайдеров (кража конфиденциальной информации, мошенничество, халатность и безалаберность). Более того, последние исследования показывают, что наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. Таким образом, положения Basel II могут оказать достаточно сильное влияние на обеспечение внутренней ИБ в российских банках.
Тем не менее, это может произойти только когда требования Basel II станут обязательными для исполнения, а так как это должно произойти только в 2009 году, сегодня банки оценивают степень влияния Basel II в основном, как не очень сильную. Так, 38% респондентов полагают, что данный нормативный акт вообще не влияет на бизнес компании, а 47% убеждены, что влияние есть, но не очень сильное. Наконец, лишь 23% банков считают, что соглашение Basel II влияет достаточно сильно на деятельность организации.
Степень влияния соглашения Basel II на бизнес компании
Источник: InfoWatch, 2007
Снова анализ ответов в соответствии с портретом респондентов показывает, что вариант «вообще не влияет» выбрали преимущественно малые и средние банки. Что же касается сильного влияния, то все 23% этих респондентов принадлежат группе банков, имеющих более 2,5 тыс. рабочих станций.
Средства защиты
Среди наиболее популярных инструментов ИБ за последний год оказались антивирусы (99%), межсетевые экраны (82%) и контроль доступа (73%). Что касается этих и других средств ИБ, то в целом представители банковского сектора используют больше различных продуктов и решений, чем компании, работающие в других отраслях экономики. Более того, кредитно-финансовый сектор является абсолютным рекордсменом по использованию защиты от утечки данных (13%). Практически каждый восьмой банк использует то или иное средство для предотвращения кражи информации инсайдерами. В среднем по всем отраслям экономики этот показатель достигает лишь 10,5%.
Наиболее популярные средства ИБ среди банков
Источник: InfoWatch, 2007
По мнению аналитического центра InfoWatch, относительно высокая защищенность банковского сектора (13% против 10,5%) объясняется несколькими факторами. Во-первых, практически вся информация, циркулирующая в банковской корпоративной сети, является классифицированной. Это персональные данные клиентов, конфиденциальные финансовые сведения, важные отчеты и коммерческие секреты самой компании и т.д. Другими словами, бизнес банка — это не только финансы, но и классифицированная информация. Во-вторых, российский банковский сектор традиционно уделяет повышенное внимание своей ИТ-инфраструктуре. Выше уже говорилось о том, что 35% банков имеют выделенные отделы ИБ, и что это самый высокий показатель среди всех отраслей. В то же самое время отечественные банки часто имеют зрелую систему ИБ и потому внедряют различные инновационные продукты и решения. Не исключением стали и системы защиты от утечки, которые в кредитно-финансовом секторе получили сегодня наибольшее распространение. Таким образом, характер бизнеса, а также зрелый и инновационный подход к ИБ позволяют российским банкам защищаться от инсайдеров более эффективно, чем предприятиям в других отраслях экономики.
В то же самое время 13% — это слишком малый показатель в масштабах отрасли. При чем если вернуться к результатам девятого вопроса, отвечая на который 21% респондентов заявили, что в 2006 году они не зафиксировали ни одной утечки. Получается, что минимум 8% (21% минус 13%) из этих компаний не допустили утечек, хотя не используют никаких средств защиты. Более того, из последнего факта вытекает, что такие организации даже не могут отследить, происходят у них утечки или нет. Таким образом, их уверенность в отсутствии утечек не имеет под собой объективных оснований.
Обратимся теперь к следующему вопросу, который логично вытекает из предыдущего. Что именно мешает компаниям внедрять системы защиты от утечек? В предложенном ниже списке каждый респондент мог выбрать только одну основную причину. Как оказалось, наибольший вес для российских банков имеет отсутствие стандартов (32%). Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, а еще и единое видение системы внутренней безопасности. Так, многие респонденты отмечали, что сегодня еще не сформировался единый подход к решению проблемы внутренней ИБ. В результате компаниям сложно планировать бюджеты и выбирать продукты для внедрения. Отсюда вытекает еще одна проблема — бюджетные ограничения (20%). Ведь, не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее распределять часть бюджета на решение проблемы инсайдеров.
Препятствия на пути внедрения защиты от утечки данных
Источник: InfoWatch, 2007
Полученные результаты очень интересно сравнить с общеотраслевыми. Так, в опросе всех секторов экономики лидерами среди препятствий стали психологические препятствия (они набрали 25,4%). В то же самое время отсутствие стандартов оказалось на пятом месте (с 12,2%). Отсюда напрашивается вывод, что банковский сектор подходит к проблеме внутренней ИБ намного более зрело, чем другие отрасли. Это проявляется в том, что представители банков уже перешагнули психологический барьер и отчетливо понимают, что сегодня необходимо унифицировать процесс защиты от внутренних угроз. С этим мнением полностью согласны эксперты InfoWatch, которые полагают, что выработка единого подхода к решению проблемы инсайдерских рисков просто необходима. Более того, она уже идет сейчас, но занять может около 2-3 лет. Таким образом, сложность выбора конкретного решения для защиты от утечек вполне объяснима.
Наиболее эффективные пути защиты от утечки
Источник: InfoWatch, 2007
Наиболее эффективным средством являются комплексные информационные продукты (52%). Эта мера лидирует вот уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы. Далее следуют организационные меры (23%), ограничение связи с внешними сетями (19%) и тренинги персонала (6%). Причем как полагают эксперты InfoWatch, наиболее эффективным способом минимизации инсайдерских рисков является комбинация различных способов. Правда, базовой основной все равно должно быть комплексное решение на основе ИТ, так как только с его помощью можно закрепить положения политики ИБ на рабочих местах.
Этот вывод полностью подтверждают результаты последнего вопроса, в котором аналитический центр InfoWatch предложил респондентам определить свои планы на ближайшие 2-3 года. Практически девять респондентов из десяти (91%) планируют внедрить в ближайшие три года ту или иную систему защиты от утечек.
Планы по внедрению защиты от утечек на ближайшие 3 года
Источник: InfoWatch, 2007
Наибольшим вниманием респондентов пользуются комплексные решения (34%). Этот показатель несколько отстает от общеотраслевого (почти на 10%), но следует иметь в виду, что банковский сектор является рекордсменом по использованию систем защиты от утечек уже в данный момент. Среди других планов респондентов следует отметить средства мониторинга электронной почты (27%), интернет-трафика (18%), а также системы контроля над рабочим станциями (12%).
В заключение исследования респондентам было предложено просто прокомментировать проблему внутренних нарушителей и высказать свое мнение по любому связанному с ней аспекту. Здесь представители банковского сектора снова высказали свою тревогу относительно отсутствия единого подхода к обеспечению внутренней безопасности. Отметим, что это же самое мнение разделяют предприятия других отраслей, например, телекоммуникационной отрасли и ТЭК.
На практике отсутствие стандарта очень сильно затрудняет выбор конкретного решения, так как организация вынуждена выслушивать очень многих поставщиков, каждый из которых обладает какими-то плюсами, но мало чем пересекается с конкурентами. Кроме того, возникают естественные трудности с планированием бюджета.
Тем не менее, респонденты отмечают, что сегодня уже начинают появляться некоторые точки соприкосновения. Они, прежде всего, связаны с тем, что организации постоянно расширяют число коммуникационных каналов, которые используются в бизнесе: электронная почта, Интернет, пейджеры, печать на бумагу, различные беспроводные сети, новые сетевые протоколы и приложения и т.д. Таким образом, при построении системы внутренней ИБ выгодно не концентрировать всю функциональность на каком-то одном канале, а напротив — создавать расширяемую систему, к которой легко добавить новый канал.
Несмотря на то, что российские банки довольно зрело относятся к проблеме ИБ вообще и защите от внутренних угроз в частности, им все равно еще есть, куда работать. Во-первых, уровень использования эффективных средств защиты от утечек в организациях данной отрасли еще очень низок. Во-вторых, среди некоторых респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов, чтобы проверить это, данные организации не используют. В-третьих, банкам следует учитывать тенденции ужесточения нормативного регулирования. Так, Стандарт Банка России по ИБ может очень быстро стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных». Наконец, в 2009 году уже вступят в силу требования соглашения Basel II по управлению операционными рисками и резервированию под них капитала.
Суммируя результаты уже осуществленных внедрений в банковском секторе и планы компаний на ближайшие годы, аналитический центр InfoWatch отмечает в основном положительные тенденции. По сравнению с прошлым годом число организаций, защитивших себя от утечек, выросло в несколько раз (в целом по всем секторам экономики — в пять раз). Причем по прогнозам исследования в будущем году этот показатель снова увеличится в тех же масштабах.
Алексей Доля
|