Банки вынуждены увеличивать инвестиции в ИБ
Во всем мире слова «безопасность» и «банк» — понятия неразделимые. Ранее считалось, чем крепче хранилище — тем надежней банк. В век высоких технологий акценты несколько сместились. Теперь скорее безопасной и надежной будет считаться та кредитная организация, у которой самым тщательным образом выстроена система информационной безопасности. Мало того, она должна соответствовать многочисленным стандартами и законодательным актам. Это делает уровень инвестиций в ИБ очень высокими, но они — единственный способ остаться на рынке.
Информационные технологии проникли и стали незаменимыми во всех бизнес-процессах банков. Поэтому, говоря об информационной безопасности, необходимо разобраться в том, что и каким именно образом надо защищать.
Нет ни одного процесса, который был бы изолированным от внешней среды и протекал только за стенами банка. В наибольшей степени это касается территориально распределенных кредитных организаций. Соответственно, продукты ИТ, поддерживающие эти бизнес–процессы, вынуждены использовать для своей работы элементы инфраструктуры общего пользования — интернет, спутниковые, магистральные и местные каналы связи как фиксированные, так и мобильные для обеспечения взаимодействия между своими собственными сотрудниками, подразделениями и банкоматами, а также с аусорсинговыми компаниями, клиентами, контрагентами, регуляторами и так далее. Это заставляет говорить об обязательной защите от всего спектра внешних угроз информационной безопасности.
ИТ–зависимые бизнес-процессы в банках
Источник: БинБанк, 2007
Кроме того, повышенная чувствительность банков к разного рода утечкам информации, является причиной активных действий, направленных на обеспечение защиты от внутренних угроз — прежде всего от действий инсайдеров. Сергей Загарский, директор департамента сопровождения информационных и платежных систем «БинБанк», выделяет девять укрупненных сервисов, предоставляемых службой информационной безопасности банков. Во-первых, защита периметра — особенно актуально для организаций, имеющих в своем составе филиалы и представительства. Затем защита интернет-банкинга, защита ATM/POS, защита удаленных пользователей и обеспечение прозрачности сервисов для них в разных сегментах сети (например, для внутренних аудиторов банка, топ–менеджеров и т.д.). Кроме того, защита внутренних ресурсов (защита серверного парка, контроль активности пользователей, сегментация сети на зоны и т.д.), защита сайта, защита выделенных компьютеров критичных привилегированных пользователей, аудит, мониторинг, протоколирование, анализ корреляции событий и управление безопасностью.
Практически во всех странах мира уже созрело понимание того, что информационная безопасность банков — это не только проблема самих банков, но и всего общества в лице государства. Появились и межгосударственные соглашения, регулирующие сферу банковских рисков, например Basel II. В России действует стандарт Центрального Банка СТО БР ИББС-2.0 (пока его действие носит необязательный характер).
Куда идет весь мир
Не секрет, что период первичной автоматизации банков уже пройден. Везде есть антивирусное и антиспамовое ПО, организованы каналы VPN. Кое-где уже применяются биометрические системы идентификации и тому подобные технологические решения. Наступает следующий этап развития — построение комплексных систем защиты и управления информацией.
Эффективность мер и средств защиты информации
Источник: Deloitte, 2006
Какие же задачи сейчас встают перед руководителями служб информационной безопасности российских банков? Денис Муравьев — руководитель проекта по построению службы ИБ банка «Траст», приводит следующий список проблем, так или иначе стоящих перед службой ИБ. Во-первых, обеспечение эффективного стратегического руководства. Во-вторых, соблюдение интересов акционеров. В-третьих, соблюдение требований регуляторов. В-четвертых, внедрение лучших практик менеджмента. А также наведение жесткого внутреннего контроля, обеспечение управления рисками и повышение капитализации.
Как видно из этого списка, требования к руководству служб ИБ мало чем отличаются от требований к руководителям других подразделений. Причина — глубочайшая степень интеграции ИТ в жизнедеятельность банка. Как отмечает г-н Муравьев, «Существует прямая связь между управлением информационными технологиями, информационной безопасностью и ростом капитализации банка в результате улучшения корпоративного управления в областях стратегического планирования ИТ и ИБ, управления операционными и ИТ рисками. В результате создание службы ИБ способствует совершенствованию бизнеса банка».
Комплексный подход как панацея
Банк «Траст» для построения комплексной системы ИБ применил подход международной консалтинговой компании KPMG. Дмитрий Ершов, заместитель директора Учебного центра «Информзащита», еще в 2004 году довольно точно охарактеризовал основную идею этой модели: «…многие упомянутые ранее ошибки связаны с непониманием или нежеланием при организации защиты информации следовать классическим принципам построения любых систем управления. В частности, с непониманием того, что в состав системы управления информационной безопасностью предприятия входят все ее сотрудники, и что необходимым условием успешной реализации технологии управления информационной безопасностью являются понимание и поддержка со стороны руководства, наличие в структуре предприятия специального подразделения, реализующего функции управляющего органа, разработка системы организационно-распорядительных и нормативно-методических документов, определяющих политику безопасности, наличие ответственных за информационную безопасность в подразделениях и на технологических участках информационной системы, а также поддержание в организации должного уровня исполнительской дисциплины». |