Иб: бездействие сейчас — катастрофа в будущем
Рисков избежать запрещено. Их нужно минимизировать
Возможно, ни у кого из участников банковского рынка не вызывает сомнений, что обеспечение информационной безопасности (ИБ) денежно-кредитных организаций — очень актуальная неприятность, важность которой всегда растёт. Само собой разумеется, нереально сделать работу банка полностью надёжной, на протяжении банковской деятельности риски появляются каждый день а также ежечасно. И какой из них на тот либо другой момент станет самым «рискованным», предугадать сложно.
Эксперты по информационной безопасности банков видят собственную задачу в том, дабы содействовать минимизации данных рисков, адекватной их прогнозированию и оценке.
Механизмы защиты остались прежними
подходы и Принципы к защите информации, согласно точки зрения специалистов, фактически остались прежними за посткризисный период. «Изменился темперамент угроз, — говорит глава департамента IT ДжиИ Мани Банка Татьяна Архарова. — Рост популярности мобильного и интернет-банковского обслуживания стал причиной тому, что и среди преступников эти объекты стали популярной целью для атак, соответственно, и фокус по защите сместился на мобильные- технологии и интернет. Кроме этого в связи с объективными денежными ограничениями был виден рост по применению бесплатных общедоступных средств защиты информации».
Эксперт по информационной безопасности Банка БКФ Сергей Гаврилюк отмечает, что все угрозы, которые связаны с модификацией и утечкой информации, с ее доступностью, делятся на два вида: внешние атаки (30%) и внутренние (инсайдерские) угрозы (70%).
Решения для защиты от внешних атак — это типовая архитектура сети с соблюдением требований ИБ Firewall, ДМЗ, закрытие уязвимых протоколов и другие типовые ответы, разрешающие закрыть сеть. Среди ответов для защиты от внутренних угроз специалист именует разработку нормативной документации и соблюдение ее требований, контроль отчуждаемых устройств, контроль работы с Интернетом, криптографическую защиту, разграничение доступа в соответствии с ролями.
Глава департамента IT СДМ-Банка Олег Илюхин среди самые эффективных механизмов защиты информации отмечает следующие. Во-первых, это отключение внутренней сети организации от любого доступа в Интернет. Во-вторых, строгое ролей ограничение и формирование пользователей доступа для каждой из них. В-третьих, ограничение передвижения информации в банка (ограничение на копирование, а также на usb-flash, пересылку и т.п.).
Это достаточно простые административные требования, говорит специалист, но вместе с тем они самые действенные.
«Не существует стопроцентного средства для защиты информации, — уверена Татьяна Архарова (ДжиИ Мани Банк). -Любую проблему информационной безопасности нереально решить только техническим либо организационным способом. Лишь комбинируя те либо иные средства, возможно добиться приемлемого понижения рисков информационной безопасности».
Решения по ИБ: дорого и сложно
На данный момент на рынке довольно много ответов по защите информации. Банковские аналитики утверждают их чрезвычайное разнообразие, сложность и дороговизну.
«Любой раз пара новых предложений на любую угрозу, — говорит Сергей Гаврилюк (Банк БКФ). — Наряду с этим стоимости возрастают на 15% если сравнивать с прошлым годом».
«Автоматизированных ответов достаточно, — соглашается Олег Илюхин (СДМ-Банк). — Неприятность в том, что они обычно через чур навороченные, и организация не в силах их «переварить». К тому же автоматизированные ответы – это не панацея, их должны сопровождать грамотные организационные меры, а с этим в большинстве случаев бывают неприятности».
Рынок ответов по информационной безопасности скоро растет, считает Татьяна Архарова. Специалист ДжиИ Мани Банка считает, что скорость увеличения будут возрастать в связи с увеличением роли ИТ в целом на банковском рынке. Наряду с этим диапазон стоимостей варьируется от нуля за бесплатные ответы до миллионов американских долларов, к примеру, за коммерческие совокупности управления учётными записями и доступом.
Спрос на решения по защите информации за последний год пара увеличился. Денежная организация выбирает то либо иное приемлемое для себя ответ и взаимодействует со собственными партнерами-интеграторами по его внедрению.
Согласно точки зрения Олега Илюхина, спрос на такие решения увеличивается в связи с ужесточением требований регуляторов, и из-за постоянного роста количества инцидентов в области ИБ. И все же данный спрос не так велик по сравнению, к примеру, с проектами автоматизации направлений бизнеса. «У подрядчиков довольно часто выстраивается очередь на проекты длиной в год и больше, — говорит Олег Илюхин. — У вендоров ИБ, скорее, обратная обстановка: чаще именно они ищут себе проекты и клиентов».
Сергей Гаврилюк уверен в том, что спрос на решения по ИБ не увеличился, а остался неизменным. Обстоятельства таковой ситуации связаны с тем, что ИБ, согласно точки зрения начальников банков, «не та задача, которая требует первостепенного внимания в посткризисный период». Решения для защиты информации приобретаются как правило уже по окончании того, как случились те либо иные нежелательные события в сфере ИБ.
Само собой разумеется, очень многое зависит от того, сколько средств выделяется на комплексные меры по защите информации. В больших банках затраты адекватны необходимости. В небольших и средних денежно-кредитных организациях выделяемые на ИБ средства покрывают лишь «прожиточный минимум», вычисляет Сергей Гаврилюк. «Уровень бюджета зависит от уровня понимания управлением неприятностей ИБ и от свойства директора по ИБ идти до конца, убедить всех в необходимости трансформаций», — говорит Олег Илюхин.
В целом специалист уверен в том, что бюджеты ИБ в полной мере адекватны.
Имеется вторая неприятность, которая мешает более успешному формированию сферы ИБ в банках: неспособность менеджеров по ИТ и ИБ говорить на одном языке с управлением организации. По идее, топ-менеджмент банка обязан осознавать необходимость принятия предупредительных мер. Но такая обстановка есть для банковского рынка, скорее, идеалом, чем нормой.
Помимо этого, бывает очень сложно, а время от времени и просто нереально в финансовом эквиваленте соотнести затраты на ИБ с возможными денежными утратами при инцидентов.
Стандарты безопасности от ЦБ
Не обращая внимания на все сложности, на данный момент в банковском сообществе формируется тенденция к концентрации внимания на совершенствовании и выстраивании процессов управления информационной безопасностью. Отражением этого есть одновременный процесс совершенствования стандартов ИБ. В частности, мы видим эволюцию вопросов управления информационной безопасностью в рекомендациях и стандартах Банка России.
Во время с 2004 по гон год были выпущены четыре редакции главного стандарта и ряд других документов, причем при ярком участии банковского сообщества. Более 8о% банков присоединилось к исполнению положений стандарта БР. Это указывает, что денежно-кредитные организации практически поняли необходимость построения совокупности менеджмента информационной безопасности с процессным подходом в данной области.
Возможно пойти по самый простому пути совершенствования совокупности управления информационной безопасностью в денежно-кредитных организациях, говорит Олег Илюхин: «Берешь стандарт Банка России по информационной безопасности и улучшаешь совокупность управления». Стандарты содержат большое количество ответственных и значимых положений, использование которых в повседневной деятельности хорошим образом скажется на ИБ. «И еще нужно всегда заниматься информационной безопасностью, — додаёт специалист, — по причине того, что простои на данный момент может обернуться трагедией в будущем».
Нужно обязать все кредитные организации выполнять стандарты Банка России по ИБ и в рамках этих стандартов конкретизировать меры по ИБ с позиций рекомендуемых ответов, считает Сергей Гаврилюк.
«Совокупность управления информационной безопасностью должна быть интегрирована в неспециализированные процессы по безопасности и по управлению операционными рисками», — уверена Татьяна Архарова. Лишь при исполнении этих условий совокупность ИБ будет действенной.
Аналитики утверждают, что многие банки все больше внимания уделяют вопросам анализа и сбора событий информационной безопасности. Кстати, стандарт Банка России содержит раздел, в котором отражены вопросы и соответствующие задачи.
Так, налицо тот факт, что практика и теория в сфере обеспечения ИБ все больше сближаются между собой за счет увеличения уровня осознания банками вопросов информационной безопасности.
Сергей БЫСТРИЦКИЙ, технический директор ООО «ЭКОН Технологии»
Все организации, делающие обработку персональных данных (ПДн) в собственных информационных совокупностях (ИС), являются операторами ПДн и должны обеспечить соответствие собственных ИС требованиям ФЗ-152 «0 персональных данных» и нормативным документам регулирующих органов РФ.
При внедрении совокупности защиты персональных данных (СЗПДн) нужно решить задачу внедрения в организации СЗПДн, удовлетворяющей требованиям регулирующих органов РФ, не нарушив работу бизнес-процессов и не снизив надежность, доступность и масштабируемость ИС. Мы предлагаем применять для построения СЗПДн следующие сертифицированные средства защиты информации производства компании Check Point Security Gateway.
Во-первых, межсетевое экранирование, которое есть необходимым требованием для ИСПДн, имеющих подключение к публичным сетям неспециализированного пользования либо взаимодействующих с другими ИС. Межсетевой экран Check Point Security Gateway сертифицирован по 3-му классу защищенности и может употребляться в ИСПДн любого класса (включая 1-ый).
Во-вторых, обнаружение/предупреждение вторжений. Совокупность обнаружения вторжений (СОВ) есть необходимой компонентой защиты ИСПДн, имеющих подключение к публичным сетям неспециализированного пользования. Шлюз безопасности Check Point Security Gateway имеет встроенный функционал предупреждения вторжений (на данный момент), комбинирующий как сигнатурные, так и поведенческие способы обнаружения атак.
В-третьих, организация защищенных каналов связи. Оператор ПДн обязан предусмотреть меры по защите данных, передаваемых по каналам связи между объектами производственной структуры организации. Шлюз безопасности Check Point Security Gateway снабжает возможность криптографической защиты данных, передаваемых между шлюзами безопасности объектов, с применением русских методов шифрования.
Наконец, организация защищенного удаленного доступа пользователей. Стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций финансовой системы РФ» направлен на обеспечение достаточного уровня информационной безопасности организаций финансовой системы и их активов (а также информационных).
Важно, что последняя версия стандарта гармонизирована с требованиями федерального законодательства по персональным данным (ФЗ-152), что повышает эффективность и упрощает задачу по реализации данных требований в кредитных организациях. Также, внедрение данного стандарта снабжает частичное исполнение требований западного стандарта IS0/IEC 27001 в области информационной безопасности для, поддержания и развития совокупности менеджмента информационной безопасности.
Исполнение требований стандарта Банка России снабжает надежную защиту тайных данных, исходя из этого сейчас СТО БР ИББС весьма деятельно внедряется в кредитно-денежных учреждениях России. 000 «ЭКОН Технологии» предлагает услуги по внедрению стандарта и оценке соответствия в кредитно-денежных учреждениях. Полный комплекс работ по внедрению стандарта и оценке соответствия СТО БР ИББС-1.0-2010 включает следующие этапы.
Во-первых, предварительная оценка соответствия. Она проводится для анализа текущего состояния совокупности ИБ и, со своей стороны, включает согласование и разработку замысла проведения оценки соответствия; сбор свидетельств оценки на месте; расчет показателей, формирование свидетельств оценки соответствия; утверждение и подготовку заключения по итогам оценки. Во-вторых, разработка замысла мероприятий по внедрению стандарта: составление списка информационных активов, подлежащих защите в соответствии с требованиями СТО БР ИББС-1.0-2010; анализ актуальных рисков и угроз; разработка замысла мероприятий по внедрению СТО БР ИББС-1.0-2010.
В-третьих, внедрение стандарта. И, наконец, итоговая оценка соответствия, которая проводится для подтверждения соответствия СЗИ требованиям стандарта. По итогам оценки выпускается документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям регуляторов — Роскомнадзора, ФСБ России и ФСТЭК России.