Информационная безопасность в банках: внешние и внутренние угрозы и способы их минимизации
Круглый стол НБЖ при содействии АРБ.
УЧАСТНИКИ «КРУГЛОГО СТОЛА»: Евгений АКИМОВ, помощник директора Центра информационной безопасности компании «Инфосистемы Джет»;Юлия АКСЕНОВА, начальник корпоративного управления и департамента методологии ООО ИКБ «Совкомбанк»; Александр ВЕЛИГУРА, глава Комитета АРБ по банковской безопасности; Павел ГОЛОВЛЕВ, глава управления безопасности IT СМП Банка; Дмитрий ГОРЕЛОВ, коммерческий директор компании «Актив»; Валерий ДАВИДЕНКО, помощник председателя совета директоров Network Systems Group (NSG); Сергей ДРАГАЙЦЕВ, глава управления ИТ КБ «РИАБАНК»; Сергей ЗАХАРОВ, основной эксперт управления информационной безопасности Банка УРАЛСИБ; Олег КАЗАКЕВИЧ, советник президента АРБ по вопросам безопасности; Карен КАРАГЕДЯН, директор по продажам в Российской Федерации, СНГ и государствах Балтии Stonesoft; Валерий КРУТСКИХ, председатель совета директоров ЗАО «МТТ Контрол»;Юлия КУЗНЕЦОВА, начальник департамента по связям с общественностью ЗАО «МТТ Контрол»;Сергей ПАВЛОВСКИЙ, глава управления технических режима и средств безопасности ОАО КБ «АГРОПРОМКРЕДИТ»; Константин ПЕБАЛК, начотдела ИТ ЗАО КБ «Свенска Хандельсбанкен»; Юрий ПТИЦЫН, вице-президент ОАО «Столичный Индустриальный Банк»; Дмитрий РОМАНЧЕНКО, директор Центра разработок безопасности IBS; Андрей САВУШКИН, глава управления безопасности автоматизированных корпоративной сети и систем ОАО Нацбанк «ТРАСТ»; Артем СЫЧЕВ, помощник главы департамента безопасности — глава управления информационной безопасности ОАО «Россельхозбанк»; Роман ЧАПЛЫГИН, начальник отдела информационной безопасности банка «ДельтаКредит»; Евгений ЦАЛЬП, вице-президент Свободного Строительного Банка; Антон ШАШЛОВ, основной инженер-программист Межрегионального центра информатизации Банка России; Ольга ШВИЛКИНА, помощник главы УИТ по информационной безопасности Межтопэнергобанка; Владимир ШИКИН, советник главыООО ИКБ «Совкомбанк»; Александр ШУБИН, основной эксперт отдела информационной безопасности автоматизированных банковских совокупностей работы информационной безопасности банка «Восстановление»; Константин ШУРУНОВ, пресейл-специалист Quest Software; Арам ХАЧАТУРЯН, начальник направления Quest Software компании «MERLION»; Иван ЯНСОН, помощник начальника работы информационной безопасности Промсвязьбанка; Николай ЯРОШИНСКИЙ, технический директор Network Systems Group (NSG).
ВЕДУЩИЕ: Анастасия СКОГОРЕВА, главред НБЖ; Оксана ДЯЧЕНКО, помощник главреда НБЖ.
100-ПРОЦЕНТНАЯ ИБ — ИЛЛЮЗИЯ. ПРИБЛИЖЕНИЕ К ЭТОМУ УРОВНЮ -ДЕЙСТВИТЕЛЬНОСТЬ
НБЖ: Возможно, ни у кого из участников финсектора не вызывает сомнений, что обеспечение информационной безопасности денежно-кредитных организаций — весьма актуальная тема, важность которой всегда возрастает. Вследствие этого хотелось бы начать совещание отечественного «круглого стола» с вопроса, вероятно ли, в принципе, обеспечить 100-процентную информационную безопасность банков, либо это — a priori иллюзия? В случае если быть может, то какие конкретно существуют пути и средства успехи этого?
О. КАЗАКЕВИЧ: На мой взор, вопрос сформулирован не совсем корректно по одной несложной причине. Мы, как представители банковского сообщества, знаем, что на данный момент нет правильного и полного определения, что же это такое — информационная безопасность. А вдруг так, то о каком 100-процентном обеспечении безопасности возможно сказать?
Второй нюанс, что банковские эксперты мало учитывают и что хотелось бы затронуть, — вопросы инсайда. Последние изучения, каковые проводились по просьбе АРБ Академией народного хозяйства, наглядно продемонстрировали, что 40% инцидентов в автоматизированных банковских совокупностях связаны с внутренними проблемами, и прежде всего, с проблемами инсайда.
Третий нюанс — не нужно забывать, что мы трудимся в заведомо недоверенной среде. Исходя из этого сказать о 100-процентном обеспечении информационной безопасности — значит, тешить себя иллюзиями.
НБЖ: Прекрасно, нет четкого определения, что такое информационная безопасность. Тогда появляется вопрос — с чем же трудятся эксперты профильных управлений и департаментов банков?
О. КАЗАКЕВИЧ: Грубо говоря, с защитой информации.
А. СЫЧЕВ: Я бы сообщил так: задача, которую решает любое профильное подразделение банка, — это защита экономических заинтересованностей банка, заинтересованностей его владельцев и клиентов. Сделать эту задачу полной в масштабах денежно-кредитной организации, возможно, было бы не совсем верно, по причине того, что главная цель любого банка — это получение прибыли от предоставления банковских одолжений.
Я согласен с Олегом Юлиановичем (Казакевичем — прим. ред.), что сделать работу банка полностью надёжной нереально, на протяжении банковской деятельности риски появляются неизменно. В какой момент реализуется тот либо другой риск, какой из рисков в тот либо другой момент будет иметь громаднейшее значение, мы с вами с точностью до микрона предугадать не можем. Исходя из этого собственную задачу мы видим в том, дабы содействовать минимизации рисков, адекватно оценивать и прогнозировать риски.
А. ШУБИН: Риски — вправду принципиальный момент. Банк проводит для себя определенную оценку рисков и решает, какие конкретно из них он принимает, а каких пробует избежать. В случае если эти риски второй категории сведены к минимуму, значит, возможно сделать вывод, что информационная безопасность в банке обеспечена в достаточной степени.
И тогда условно — подчеркиваю, условно — возможно сказать об обеспечении 100-процентной безопасности.
«АНТРОПОГЕННЫЙ ФАКТОР» ШИРЕ, ЧЕМ ИНСАЙД
В. КРУТСКИХ: Не пологаю, что нам стоит углубляться в вопрос об определении, что такое 100-процентная безопасность, — лучше попытаться осознать, какие конкретно риски мешают обеспечению таковой безопасности. Думаю, сотрудники согласятся со мной, что существует некоторый «джентльменский комплект», благодаря которому риски сводятся к допустимому минимуму. И появляется вопрос — сохранять данный «комплект» либо обратить внимание еще на какие-то существующие риски?
Всецело разделяю точку зрения, высказанную г-ном Казакевичем: «всплывает» новый слой, что он выяснил как инсайд, а я бы назвал шире — антропогенный фактор. Вопрос -что с этим делать? На сегодня большая часть банков отвечает на данный вопрос так: нужно написать больше правил, как нужно и как не нужно себя вести.
Но на практике совсем очевидным делается, что эти правила не трудятся. Поражает простота, с которой преодолеваются сложнейшие методы шифрования — в то время, когда пароли или на столе оставляются флеш-ки либо забываются «ключи». Как с этим борются? Методом мотивации персонала.
Но мотивация обычно играется против банка: никто из экспертов не рассказать о нарушении правил из страха быть оштрафованным, лишиться премии и т.д.
Что делать? На мой взор, использовать подход, при котором нужно «поставить» совокупности так, дабы правила не было возможности не выполнить. А для этого нужно объединять уже существующие в банках совокупности информационной безопасности и совокупности физической безопасности.
В частности, необходимо четко идентифицировать объект, использовать биометрическую идентификацию. Нужно иметь «информационный след» — что делает конкретный эксперт в течении всей его работы. Это достигается посредством видеонаблюдения, совокупностей контроля доступа, бюро пропусков, наконец, -и вся эта структура обязана определять «информационный след».
Нужно кроме этого выяснить последовательность регламентов, каковые мы должны отслеживать посредством совокупностей информационной и физической безопасности.
Резюмируя собственный выступление, желаю сообщить: появляется некоторый новый «пласт», что весьма жестко связан с антропогенным причиной. Крайнее выражение этого фактора — инсайд. А борьба с ним — это не подключение имеющихся средств, а дополнение их особыми совокупностями, объединяющими информационные и физические средства безопасности.
И интегрирующая совокупность, которая стоит над этими совокупностями и заставляет всех сотрудников без исключения делать административные правила.
А. СЫЧЕВ: Вы рассказываете полностью верные вещи, но верные лишь в то время, когда мы касаемся деятельности банка в части миддл- и бэк-офиса. В то время, когда же мы говорим о бизнес-деятельности банка, то вопрос обеспечения информационной безопасности нужно осознавать значительно шире. По причине того, что обращение, первым делом, идет о клиентах, а клиенты, к сожалению, — потенциальная угроза.
Так, к примеру, отечественный опыт говорит о том, что частенько, осуществляя обмен информацией с клиентами в электронном виде, мы фиксируем на стороне клиента заражения вредоносным программным обеспечением. Конечно, это воображает потенциальную угрозу информационным совокупностям банка. И эту проблему нереально решить методом разных интеграций, написания регламентов и т.д.
В действительности проблему нужно разглядывать в более широком смысле. Информационная безопасность банков обязана обеспечиваться отработкой неких сервисов безопасности, каковые предоставляются как в банка, так и его клиентам. По причине того, что риски, каковые «несут» в банк отечественные клиенты, не меньше важны, чем риски, появляющиеся в следствии инсайда.
Также, имеется познание, что кроме того внутренние бэк-офисные разработки также смогут быть небезопасными — не по причине того, что кто-то утратил пароль либо кто-то трудится не в строении банка, а в удаленном режиме, а по причине того, что технологии сами по себе выстроены не учитывая требований безопасности и не смогут обеспечить тождественный уровень информационной безопасности. Исходя из этого вопрос, по моему убеждению, нужно разглядывать комплексно, не «завязываясь» лишь на его технических качествах.
Д. ГОРЕЛОВ: 100-процентно защищенная совокупность — это совокупность, которая не работает. Мы ни при каких обстоятельствах не знаем, что будет в будущем с разработками, со преступниками, исходя из этого постоянно будет иметь место борьба между щитом и мечом. И самая громадная неприятность, что в совершенных 100% самыми дорогими для банка становятся последние два-три -98-99%.
Исходя из этого не всегда стоит стремиться к безопасности на уровне 99,99%, разумнее остановиться на уровне 97% -но это будет именно та степень защищенности, которая нужна банку. И денежно-кредитной организации не нужно будет тратить на совокупности безопасности столько денег, что ее деятельность невыгодной.
С. ПАВЛОВСКИЙ: По моему убеждению, те, кто говорит о 100-процентной информационной безопасности в собственных банках, самолюбованием либо самоуспокоением. И то и другое -самый маленький путь к провалу. Мы же понимаем, что обстановка все время изменяется и, следовательно, часто возникают новые риски и вызовы.
Тут уже говорилось о антропогенном факторе в разрезе инсайда. Данный фактор, с моей точки зрения, серьёзен и в то время, когда речь заходит о клиентах. Клиенты, к сожалению, не всегда в состоянии осознать и оценить уровни рисков. Исходя из этого с каждым из них нужно говорить на понятном ему языке. Нужно донести до клиента, какие конкретно риски вероятны и какие конкретно утраты он лично может понести при реализации этих рисков. Дабы достигнуть этого, со своей стороны, нужен контакт с клиентом.
Если он налажен, то это путь к обеспечению комфортного для банка уровня информационной безопасности.
Е. АКИМОВ: Мне приходилось сталкиваться с прямо противоположным мнением: спасение утопающих — дело рук самих утопающих. В случае если у клиента нарушена конфиденциальность «ключей» шифрования и ЭЦП, то кое-какие банки склонны принимать это только как проблему самого клиента, что, само собой разумеется, не так.
Причем самый действенно эта задача решается не только разъяснительными мерами а также не обязательствами по защите клиентского места (AV, HIPS и пр.), прописанными в контракте, а более комплексно. В первую очередь, из мер, значительно снижающих возможности для мошенников, нужно отметить создание fraud machine, осуществляющей а также мониторинг банковских транзакций, интеллектуально контролируя их на возможность мошенничества.
Отечественная дискуссия о возможности либо неосуществимости стопроцентной безопасности медлено «сместилась» к дискуссии темы обеспечения оптимального для банка уровня безопасности. И тут возможно сделать некую ретроспективу. 10-15 лет назад обращение шла по большей части об обеспечении безопасности «периметра» банковских ИТ-совокупностей: a priori считалось, что все угрозы носят внешний характер, и основная задача банков -оградить себя от «злобных хакеров».
С течением времени данный подход корректировался, становилось очевидным, что сотрудники банка также смогут нести угрозы для его деятельности. В последние пара лет мы видим бум DLP-совокупностей, в то время, когда осуществляется контроль за деятельностью бизнес-подразделений банка, за их информационными потоками. на данный момент тенденция отправилась еще дальше: начинают отслеживать деятельность ИТ- а также ИБ-администраторов.
Таковой подход, к сожалению, подтверждается и самыми большими публичными инцидентами ИБ — именно привилегированные пользователи и осуществляли кражу тайной информации.
МЕЖБАНКОВСКОЕ СОТРУДНИЧЕСТВО И НЕОБХОДИМОСТЬ Госучастия
А. ВЕЛИГУРА: Вопрос, на что направляться искать ответ, — что в принципе нужно осознавать под безопасностью. В случае если речь заходит об удовлетворении определенных правил, прописанных в стандарте либо в законе, то, возможно, возможно достигнуть и 100-процентного уровня их исполнения. В случае если же под безопасностью осознавать создание условий, при которых риски банка не выходят за пределы определенного коридора, — другими словами если они не возрастают сверх меры, — то возможно добиться того, дабы эта задача была выполнена.
Как мы этого получаем? Я довольно давно общаюсь с банкирами и вижу, как изменяются и выговоры, и уровень дискуссий. Лет 10 назад большая часть экспертов, несущих ответственность за обеспечение информационной безопасности, не шли дальше использования и обсуждения технических средств. Неспешно пришли к пониманию, что нужно мочь этими средствами действенно руководить.
Показались определенные нормы, стандарты управления банковской безопасностью.
Посмотрите, о чем на данный момент больше всего пишут и говорят: о совокупностях реагирования на инциденты, обнаружения событий. Другими словами на данный момент много внимания уделяется вопросу, что делать, в случае если инцидент все-таки случился. И приходит познание, что нужно не просто реагировать на то либо иное происшествие, а собирать данные о событиях, разбирать ее.
Какие конкретно еще тенденции необходимо отметить? Больше и чаще, чем раньше, говорят о необходимости межбанковского сотрудничества в сфере обеспечения информационной безопасности. Обстановка «берет за горло», по причине того, что мошенники «набрасываются» не на раздельно забранный банк, а на всех участников рынка.
Клиенты, о которых тут говорилось, — также серьёзный вопрос. Расхожая поговорка «клиент неизменно прав» также ставит кое-какие ограничения. Возможно вынудить сотрудника выполнять правила и некие регламенты, но нельзя то же самое сделать с клиентом.
Клиент — по определению «не сильный звено», исходя из этого нет ничего необычного, что мошенники, занимающиеся кражей средств, наносят удар именно по нему, применяют клиентские возможности для совершения собственных махинаций. Исходя из этого, по моему убеждению, огромную роль должно играться воспитание клиентов с позиций денежной гигиены. Это тяжелый процесс, но от него отказываться запрещено.
И. ЯНСОН: Вправду, на данный момент в банковском сообществе формируется тенденция к концентрации внимания на совершенствовании и выстраивании процессов управления информационной безопасностью. И отражением этого есть одновременный процесс совершенствования стандартов ИБ. В частности, мы видим эволюцию вопросов управления информационной безопасностью в рекомендациях и стандартах Банка России.
Во время с 2004 по 2011 год были выпущены 4 редакции главного Стандарта и ряд других документов, причем при ярком участии банковского сообщества. Более 80% банков присоединилось к исполнению положений Стандарта БР, например, это отражает фактическое осознание банками необходимости построения совокупности менеджмента информационной безопасности с процессным подходом в данной области.
Второй момент — я согласен, что многие банки все больше внимания уделяют вопросам анализа и сбора событий информационной безопасности. В случае если мы посмотрим Стандарт Банка России, то заметим, что в том месте имеется раздел, в котором отражены вопросы и соответствующие задачи.
Так, можно подчернуть, что теория и практика в сфере обеспечения ИБ все больше сближаются между собой за счет все большего увеличения уровня осознания банками вопросов информационной безопасности.
В случае если продолжить идея относительно стандартов, то одним из важных примеров отражения лучших практик есть западный стандарт PCI DSS. Он показался фактически на отечественных глазах, содержит комплект конкретных и предельно нужных требований как в предметных, так и в процессных областях ИБ, скоро эволюционирует, учитывая новые вопросы ИБ. Наряду с этим направляться подчернуть, что этот стандарт не противоречит Стандарту Банка России, а в определенном замысле дополняет его конкретными руководствами.
Что касается клиентов, то, вправду, банки проявляют все громадную заботу о них и все чаще координируют собственные действия в этом вопросе. И это конечно. Появляется громадная неприятность, которая связана с дистанционным банковским обслуживанием, и она неимеетвозможности решаться банками сепаратно. Они, как я уже сообщил, взаимодействуют между собой в рабочем порядке, выносят проблемные вопросы на дискуссию в АРБ, в ЦБ, готовят совместные предложения.
Но этого уровня сотрудничества не будет достаточно для решения проблемы. Потребуются и законодательные трансформации, и помощь со стороны МВД. Без помощи со стороны страны эту проблему решить нереально, как бы прекрасно банки ни защищались — и просвещая клиентов, и посредством технических средств — и как бы прекрасно они не взаимодействовали между собой.
А. СЫЧЕВ: Я полностью согласен с сотрудником. Все банкиры, принимающие участие в отечественном совещании, знают, что существуют законодательные «пробелы», мешающие своевременным действиям банков в случаях, в то время, когда случился инцидент, и деньги у клиента «увели». Эти «пробелы» должны быть устранены законодателями методом внесения трансформаций в Гражданский кодекс, в Уголовный кодекс и т.д.
Непременно, должна быть перестроена работа МВД по отношению к этим инцидентам, по причине того, что до тех пор пока их деятельность не есть удовлетворительной, и у преступников появляется чувство безнаказанности. Статистика инцидентов говорит о том, что за последний год их число увеличилось более чем вдвое. Исходя из этого тут не хватает лишь объединения банков и оказания ими помощи друг другу в обеспечении информационной безопасности.
Е. ЦАЛЬП: Мое вывод таково: в существующей на данный момент ситуации банки не защищаются, а отбиваются от тех угроз, каковые появляются. И все, что мы делаем, — координация упрочнений, обучение клиентов — это от невозможности и безысходности отыскать другие пути противодействия данным угрозам.
законодатели и Регуляторы замечательно знают об этом, но своевременность и результативность их деятельности не соответствует актуальности и значимости решаемых кредитно-денежными организациями задач по обеспечению информационной безопасности. В некоторых случаях решения усугубляют ту сложную обстановку с информационной безопасностью, которая сложилась в банках на данный момент.
Недавний тому пример — принятие закона «О платежной совокупности», в соответствии с которым банк практически делается «безвинно виновным» во всех инцидентах, которые связаны с кражей денежных средств в совокупностях дистанционного банковского обслуживания, и, как следствие, обязан возмещать ущерб клиенту в любом случае. В данной ситуации банки смогут законопослушно отбиваться только до определенных пределов.
А. СЫЧЕВ: Практически обращение обязана идти о создании киберполиции, которая расследовала бы правонарушения, идеальные в сфере высоких разработок, и которая применяла бы нормативную базу, разрешающую оценивать эти действия реально. А не так, как они оценивались 30 лет назад, в то время, когда таковой неприятности практически не существовало. Самый несложный пример — инциденты, в то время, когда деньги похищают со счета в банке в одном регионе, а «падают» они на счет в банке в другом регионе.
Клиент обращается в правоохранительные органы, говорит, что у него похитили деньги, -и его отправляют с заявлением в тот регион, где деньги «упали» на счет. Потому, что так предписано УПК. При таковой схеме работы и при том, что технологическую экспертизу смогут осуществлять у нас три правоохранительных органа — ФСБ, МВД и Следственный комитет, между которыми нет единства во сотрудничестве, преступники, само собой разумеется, имеют громадные шансы остаться без наказания.
В случае если же банки начнут массово возмещать клиентам ущерб — а им это пробуют вменить законодательно, — то они поступят весьма :цена банковских одолжений.
А. ВЕЛИГУРА: Правонарушения в сфере высоких разработок закончатся — либо, правильнее, снизятся до допустимого уровня, -когда они станут нерентабельными. А это случится, в случае если совершение таких правонарушений станет, с одной стороны, весьма технологически сложным, а с другой — рискованным. на данный момент ни того, ни другого не отмечается.
НБЖ: Разве на данный момент технологические правонарушения не являются дорогостоящими?
Е. ЦАЛЬП: До тех пор пока преступникам несложнее организовать хищение, чем нам — соответствующее противодействие. У них денег на эти цели больше, чем может выделить любой из банков в отдельности, быть может, и больше, чем все банки, совместно забранные.
А. СЫЧЕВ: Тут имеется весьма увлекательный момент: банки решают эту проблему лично с поставщиками одолжений ДБО, и, в большинстве случаев, ресурсы и тех и других ограничены. Да и скорость отработки ответов не радует. А что на той стороне?
А на той стороне маленькое количество клиентов с неограниченными денежными возможностями и огромное, практически безграничное «поле» для поиска квалифицированных кадров, которым только бы в чем-то «покопаться» либо взять «шальные деньги». Скорость реакции таких преступных групп существенно выше, чем скорость банка, пробующего решить ту либо иную задачу обеспечения безопасности.
Е. ЦАЛЬП: Наряду с этим преступники трудятся «на возможность», а банки отбиваются «по факту».
И. ЯНСОН: По данным специалистов, занимающихся вопросами мошенничеств в сфере ДБО, текущий момент есть переломным. «Бизнесом» по краже денег в ДБО начинает интересоваться хороший криминал. В случае если данный вид преступников «заберёт под крыло» простая преступность, то банкам будет бороться с ними куда сложнее.
Д. ГОРЕЛОВ: Вправду, имеется две многочисленные «армии» — одна, которая знает, как похищать деньги со квитанций в банках, и вторая, которая заинтересована в сотрудничестве с первой. на данный момент эти «армии» сговорились. И в случае если на уровне страны не будет оказано им противодействия, то банки будут нести огромные убытки. Причем к разработчикам всяких «троя-нов» запрещено на данный момент предъявить претензии: да, они пишут программы, но они же их не применяют!
Разработчики данный высокотехнологичный инструмент для совершения мошеннических действий людям, каковые являются не «технологами», а криминалом.
В. КРУТСКИХ: Мы — разработчики и банкиры — именно и поставлены чтобы противодействовать этому, коль не так долго осталось ждать государство до тех пор пока данной проблемой действительно не занимается. Была высказана весьма верная идея: нужно «вычленять» не сильный моменты и сократить затраты на их устранение. Вследствие этого у меня предложение — позволяйте обсуждать конкретные средства защиты.
Цена ОТВЕТОВ — КАК, КТО И ПО КАКИМ Параметрам ОБЯЗАН ЕЕ ОПРЕДЕЛЯТЬ?
Ю. ПТИЦЫН: Я желал бы заявить, что необходимо соизмерять затраты, каковые мы несем, с теми законами и потенциальными прибылями, каковые мы можем взять. И еще один момент: выделим опять, что 100-процентной безопасности не бывает, и, быть может, она не нужна: так как чем выше уровень безопасности, тем больше затраты банков на ее обеспечение. Но вопрос перераспределения ответственности между клиентами и банками существует.
Но в случае если мы видим, что у клиента деньги уходят, а он не заявляет об этом, то мы возмещать эти деньги не обязаны и не будем.
А. ШАШЛОВ: Мы в рамках данной дискуссии наблюдаем на угрозы несанкционированного доступа к средствам, на угрозы подмены субъекта информационного действия, не смотря на то, что вопрос значительно шире.
Это и доступность информационных одолжений, и их уровень качества, и множество моментов, каковые, быть может, являются частными, но ущерб смогут нанести очень ощутимый. К примеру, предоставление заемщиками поддельных документов. И я полагаю, что это вопрос качества информационной качества и инфраструктуры информационной безопасности в целом.
А. СЫЧЕВ: Отечественная дискуссия появилась вследствие того что тема — весьма больная, и количество денег, которое клиенты банков теряют либо возможно смогут утратить, весьма громадно. Но не менее важно уделять внимание безопасности качества технологий и вопросам инфраструктуры, поскольку в случае, если не будет верно отстроена обработки и система приёма кредитных заявок либо любого другого бэк-офисного процесса, связанного с перемещением денежных средств по квитанциям, ущерб возможно значительным.
И. ЯНСОН: Фактически говоря, то, о чем говорит сотрудник, — это уже вопросы внутреннего фрод-мониторинга. Кстати, совокупности, нацеленные на анализ и сбор событий информационной безопасности, о которых мы уже говорили, в большинстве случаев, «наблюдают» в две стороны — вовнутрь и наружу.
НБЖ: А количество денег, которое банк возможно может утратить из-за рисков, которые связаны с фрод-мошенничеством, либо с инсайдом, либо с атаками хакеров на ДБО, как-то коррелируется с затратами банков на обеспечение информационной безопасности? Иными словами, исходят ли банки при определении затрат из оценки собственных вероятных утрат?
А. СЫЧЕВ: Непременно. Все банкиры замечательно знают, как формируются бюджеты на обеспечение информационной безопасности. Не оценив потенциальный ущерб и реально существующие риски, ни один уважающий себя начальник банка не начнет тратить деньги.
Так что связь тут прямая.
К. КАРАГЕДЯН: Мне, как представителю компании-вендора, трудящейся на рынке информационной безопасности, хотелось бы повысить тему оценки цены ответов в сфере ИБ. Должен констатировать, что мало кто берется оценивать затраты на поддержание созданной снова либо существующей совокупности.
Сейчас уже много раз отмечалось, что «поле», в котором ведут деятельность банки, очень враждебно, четкого «периметра» безопасности нет, потому, что денежно-кредитные организации трудятся с огромным числом агентов. Исходя из этого обращение обязана идти не о том, дабы создать единовременно максимально защищенную совокупность, снижающую риски утрат до минимума, а о поддержании данной совокупности в актуальном состоянии. И мне было бы отрадно, если бы экспертов по ИБ бизнес завлекал как возможно раньше в тех случаях, в то время, когда речь заходит о создании новых бизнес-процессов либо о добавлении новых банковских одолжений.
Е. ЦАЛЬП: В случае если вопросы ИБ без шуток решаются в банке, то ни один проект не реализуется без согласования и визы с «безопасниками». Стандарты, каковые были еще в советское время, никто не отменял, и в соответствии с ними работы информационной безопасности подключаются еще на стадии формирования технического задания.
А вдруг взглянуть дальше, то современный проект обязан заканчиваться не только созданием той либо другой совокупности, но и полным комплектом рекомендаций по информационно надёжной ее эксплуатации и сопровождению с учетом требуемых для этого денежных затрат. Так как возможно создать совокупность, которую с позиций затрат легко нереально будет эксплуатировать.
П. ГОЛОВЛЕВ: Да, само собой разумеется, ГОСТы тридцатилетней давности никто не отменял -но, к сожалению, их отменили современные бизнес-школы, каковые выпустили кучу менеджеров, ни при каких обстоятельствах не слышавших об этих стандартах. Они исходят из принципа — что комфортно клиентам, то и приемлемо. И переломить это убеждение весьма тяжело, и вдобавок сложнее поменять их подход, что работы информационной безопасности сродни службам ЖКХ.
Прорвало трубу — они подключаются, не прорвало — пускай сидят негромко.
А. СЫЧЕВ: В этом случае направляться ставить перед этими менеджерами вопрос — кто платит? И вдобавок правильнее — кто расплачивается за инциденты?
П. ГОЛОВЛЕВ: А тут именно трудится действительно российское убеждение — «а что если пронесет». Либо российский нигилизм: ну, похитили у клиентов деньги, ну, отправятся они в суд, юристы банк «отмажут». И возможно еще трудиться с корпоративными клиентами, убеждать их, что необходимо делать советы работ безопасности.
А убедить в том же самом клиентов -физических лиц, — что нужно, к примеру, применять сертифицированное ПО, сертифицированные операционные совокупности, — фактически нереально. Они не привыкли существовать в правовой среде, находящейся за периметром кредитной организации. В этот самый момент появляется вопрос — есть ли работой банка убеждать их в необходимости перейти в правовое поле?
У банка и без того достаточно дел и неприятностей.
НБЖ: Чьей же это должно быть работой? Большая часть клиентов таковы, как вы обрисовали: ленивы и безответственны, в то время, когда дело касается обеспечения безопасности их средств. Но вторых-то клиентов у банков нет, и в скором будущем они вряд ли покажутся — по крайней мере, много.
А. СЫЧЕВ: Клиенты рискуют, но куда они несут собственные риски? Само собой разумеется, в банки. Значит, как раз мы должны предпринять какие-то действия чтобы эти риски были минимизированы. Если вы отыщете компанию, которая согласится страховать такие риски, неприятность будет решена.
Но на сегодня на этом рынке подобные соглашения — достаточно редкое явление. А коль не так долго осталось ждать так, то нам остается лишь планомерная работа с клиентами: их информирование, предоставление клиентам таких сервисов безопасности, каковые будут подталкивать их к судьбе в правовом поле и воспитывать у них культуру информационной безопасности.
И. ЯНСОН: Поддержу Артема Михайловича (Сычева — прим. ред.) по вопросу заботы о клиенте. Такая забота, кроме естественной клиентоориентированности кредитных организаций, возможно очевидно продиктована заботой о репутации банка. Да, в соглашении все возможно замечательно прописано, и клиент возможно вправду неправ, нарушая его положения, касающиеся обеспечения безопасности при работе в совокупности ДБО.
Но все равно опыт говорит: в случае если инцидент произошёл, и он пристально прорабатывается, в случае если клиенту наряду с этим максимально стараются оказать помощь (заблокировать либо вернуть средства, совершить расследование и т.п.), то мы имеем одну обстановку. В случае если ему официальное письмо со ссылками на пункты контракта, то мы имеем совсем другую обстановку.
Клиент во втором случае вполне возможно может начать обращаться к регуляторам, в СМИ — пускай он неправ, но репутационный ущерб наряду с этим банку будет нанесен. Так что речь заходит не только об альтруизме, но и о в полной мере прагматических вещах, о минимизации репутационных рисков.
ТРЕБОВАНИЕ ВРЕМЕНИ — ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПЕРЕСТАЕТ РАССМАТРИВАТЬСЯ КАК Что-то ИЗОЛИРОВАННОЕ
Ю. АКСЕНОВА: На мой взор, мы мало углубились на данный момент в тему «клиент -банк», и это неудивительно, потому, что на данный момент это приоритетная неприятность для всех кредитных организаций. Потому, что мы являемся банком с зарубежным участием, то должны соответствовать в собственной деятельности западным стандартам информационной безопасности.
И это «перевернуло» отечественный подход к ИБ: у нас, в то время, когда мы начали внедрять эти стандарты, было решено, что департамент, что я возглавляю, обязан заниматься сбором событий операционного риска — среди них и событий информационной безопасности. Так что нам практически удалось объединить два «потока» и два процесса.
Был вопрос о параметрах — как оценивать неспециализированный уровень информационной безопасности. Мы сделали вывод, что сделать это нам разрешит Стандарт Банка России, и ежегодно проводим диагностику, как уровень ИБ в отечественном банке соответствует рекомендациям этого Стандарта. Неприятностей, само собой разумеется, довольно много — и внутренних, и внешних: к примеру, кражи средств со квитанций клиентов -постоянно присутствующий риск.
Е. АКИМОВ: Юлия, у меня к вам вопрос. По отечественному опыту, на практике в большинстве случаев при внедрении новых ИТ-совокупностей обеспечение ИБ осуществляется в два этапа. Сперва реализуются самые недорогие и очевидные (среди них и для бизнеса, выделяющего средства) меры ИБ.
И лишь позже, в то время, когда совокупность поработает полгода-год, делается комплексная оценка рисков (наряду с этим основное, дабы бизнес готов был обозначить собственные потенциальные утраты и выделить средства на противодействие соответствующим угрозам), и уровень ИБ поднимается до оптимального в рамках отдельного финансирования и отдельного проекта. Удается ли вам при внедрении ИТ-совокупностей руководить рисками проактивно?
Ю. АКСЕНОВА: В таких обстановках мы сходу учитываем нормативные требования, в первую очередь, по Закону «О защите персональных данных», полную же оценку рисков делаем уже для трудящихся совокупностей.
К. ШУРУНОВ: Я желал бы осознать, что есть на сегодня головной болью русских банков. Из отечественного дискуссии осознаю, что самые актуальные риски возможно поделить на два типа: риски, связанные со внутренними «взломами» совокупностей, и риски, которые связаны с отношениями «банк — клиент», другими словами кражи средств с конкретных квитанций конкретных клиентов. Ясно, что в первом случае размер ущерба меньше, но подобные инциденты происходят чаще.
Так вот, мой вопрос содержится в следующем: на минимизацию каких рисков банки готовы на данный момент выделять бюджеты?
Д. РОМАНЧЕНКО: Со своей стороны, я желал бы возвратиться к теме, которая тут уже поднималась, — к вопросу об интеграции бизнес-процессов и процессов, которые связаны с безопасностью. Хотелось бы оставаться в данной «стороне», потому, что, по моему убеждению, это есть совсем верным «мейнстри-мом». До этого нам довольно часто приходилось сталкиваться с тем, что работы безопасности занимаются только вопросами поддержки и внедрения совокупностей, а выбираются, проектируются и разрабатываются эти совокупности вторыми подразделениями, причем не учитывая требований к обеспечению информационной безопасности.
А. СЫЧЕВ: Таковой подход, на мой взор, провоцируется действиями разработчиков, каковые всегда стремятся «навесить» на предлагаемую совокупность дополнительные сервисы безопасности — что, конечно, повышает цена ответа. Наряду с этим игнорируется то, что у банка уже что-то имеется в данной сфере. В таких случаях хочется задать вопрос — коллеги, а вы в курсе, что в банке совокупность безопасности уже выстроена, что политики безопасности созданы?
Может, имеет суть задействовать те совокупности, каковые уже имеется, и внедрять лишь то, чего у банка нет? Может, оптимально совместить новое ответ с уже имеющимися? Что мы значительно чаще слышим от интеграторов в ответ?
Это сумасшедшие деньги, и мы не можем совмещать отечественную совокупность с другими совокупностями. Как это не можете? Вот заявленное описание совокупности, вот пункт о ее совместимости с другими совокупностями, в чем тогда неприятность?
На практике оказывается, что неприятности нет, легко интеграторы не желают совмещать. Для них удачнее «впаривать» бизнесу собственные совокупности, старательно умалчивая наряду с этим о том, что средства безопасности в полной мере смогут «дружить».
И. ЯНСОН: На мой взор, неприятность еще глубже: интеграторы довольно часто предлагают решения, каковые по большому счету не содержат сервисов безопасности. Чтобы обеспечить комплексный учет требований информационной безопасности при внедрении либо создании и на иных стадиях жизненного цикла автоматизированных совокупностей, нужно следующее.
Во-первых, в банке необходимо ввести обязательность согласования вопросов информационной безопасности, начиная с формирования бизнес-требований (другими словами еще до этапа ТЗ). Во-вторых, при сотрудничестве с интеграторами нужно учитывать те совокупности ИБ, каковые уже имеется, интегрируя с ними средства ИБ новых совокупностей.
Для обеспечения процесса требований ИБ на стадиях жизненного цикла АС необходимо иметь штат «технологов» в работе ИБ, число которых должно быть пропорционально числу бизнес-технологов и ИТ-технологов. Кроме этого нужно вхождение представителей работы ИБ в коллегиальные органы, каковые разглядывают предложения по созданию новых бизнес-процессов.
В большинстве банков ИБ-технологов нет, и эти задачи решают сотрудники, нагруженные вторыми обязанностями.
Это ведет к тому, что или начинают мучиться их яркие обязанности, или они не успевают проанализировать вопросы ИБ при внедрении новых бизнес-автоматизированных систем и процессов.
Е. ЦАЛЬП: Для банков информационная безопасность — не что-то абстрактное, существующее изолированно, а очень важная составляющая бизнеса. Что же касается работ безопасности, то сообщу: в случае если вендоры предлагают ясное, надёжное и действенное ответ, то никто в банке ни при каких обстоятельствах не будет мешать его реализации и что-то намерено тормозить. Работа информационной безопасности банка заинтересована во внедрении прогрессивных современных ответов.
Так как основная задача безопасности в том и состоит, дабы дать банку возможность максимально увеличивать количества предоставляемых надёжных одолжений.
Вывод СПЕЦИАЛИСТА Владимир КОБЫЛЯНСКИЙ, советник исполнительного директора по информационной безопасности компании BSS Специфика текущего положения дел такова, что внешними угрозами для банков, по сути, являются лишь DOS-атаки. Преступники практически во всех случаях не тратят силы на преодоление совокупности защиты информации банков (каковые в большинстве случаев находятся все же на достаточно приличном уровне). А вот внутренние (инсайдерские) атаки воображают вправду большую опастность.
В большинстве случаев, к защите от внутреннего нарушителя банки относятся достаточно неосторожно. А напрасно, потому, что инсайдер может нанести очень значительный урон. Способы борьбы с инсайдом существуют.
Применение технических средств: • строгая аутентификация сотрудников (к примеру, посредством USB-ключа либо биометрии); аудит всех действий всех пользователей (включая администраторов) в сети; • применение средств защиты тайной информации от инсайдеров; • шифрование тайных данных. Применение организационных мер: • обучение сотрудников, несущих ответственность за информационную безопасность; • увеличение персональной ответственности сотрудников; • постоянная работа с персоналом, имеющим доступ к тайной информации (инструктаж, обучение, проверка обязанностей и знания правил по соблюдению информационной безопасности и т.д.).
Пожалуй, в числе самых распространенных остаются инциденты, которые связаны с применением совокупности дистанционного банковского обслуживания. Существует пара главных типов атак: • атака типа «человек посередине»; • кража главного контейнера; • атака удаленного управления.
Против всех эти типов атак уже созданы и широко используются меры противодействия, в частности: • шифрование передаваемых данных; • применение разработки ЭЦП; • применение отторгаемых носителей (токенов), среди них и с неизвлекаемыми ключами; • применение одноразовых паролей; • применение виртуальных клавиатур; • применение совокупностей оповещения; • применение совокупностей фрод-анализа. Новым типом атак есть «атака подмены документа».
В ходе данной атаки преступник посредством вредоносного ПО подменяет реквизиты платежного поручения перед его отправкой банку. Причем для пользователя подмена реквизитов происходит совсем незаметно, а потому он, ни о чем не подозревая, подписывает поддельный документ посредством собственной ЭЦП, вводит одноразовый пароль и отправляет поручение в банк. Способом противодействия таким атакам есть применение средств визуализации подписываемых данных, каковые на данный момент деятельно внедряются разработчиками совокупностей ДБО.
SIEM КАК «ТЁМНЫЙ ЯЩИК» Александр КУЗНЕЦОВ, начальник отдела безопасности информационных совокупностей НТЦ «Вулкан» Не просто так на «круглом столе», посвященном информационной безопасности в банках, был поднят вопрос об «информационном следе»: методичная фиксация действий конкретных экспертов в течение рабочего дня — вправду серьёзная мера в борьбе с инсайдом. Желал бы, но, добавить, что данных видеонаблюдения, СКУД, бюро пропусков может оказаться не хватает для обнаружения и расследования проишествия, связанного с «внутренним антропогенным причиной».
Все чаще ставится вопрос о максимально широкой регистрации действий пользователей не только на уровне «физики», но и в информационной среде. А в большой ИТ-инфраструктуре штатных средств приложений, СУБД и ОС для этого может оказаться не хватает. По крайней мере, вопрос типа «кто входил в домен с 11.00 до 11.30 шесть месяцев назад?» частенько остается без ответа: в большинстве случаев, «логи» так продолжительно не хранят, а вдруг хранят, то возможности по их обработке ограничены.
Эта неприятность может действенно решаться методом применения совокупностей управления информацией и событиями о безопасности (SIEM) — ответов, снабжающих анализ и централизованный сбор регистрационной информации со всей ИТ-инфраструктуры. В разглядываемом нюансе эти совокупности становятся собственного рода аналогом «тёмного коробки» — авиационного бортового регистратора, фиксирующего параметры полета и употребляющегося при расследовании летных происшествий.
Сейчас SIEM представлены на рынке такими продуктами, как RSA enVision, ArcSight, QRadar. Банки имеют возможность выбрать самоё подходящее ответ и реализовать у себя комплексную совокупность анализа и регистрации событий. Принципиально важно отметить и тот факт, что осознание гарантированной и беспристрастной регистрации главных действий в информационной совокупности прекрасно дисциплинирует персонал и есть хорошей профилактической мерой.
Вывод СПЕЦИАЛИСТА ВЫЗЫВАЮЩИЕ большие сомнения СДЕЛКИ НЕ ПРОЙДУТ! Дмитрий ЩЕТИНИН, глава департамента «Главная книга и Расчёты (FLEXTERA)» Главной целью любого коммерческого банка есть получение большой прибыли. Один из главных методов достижения данной цели — расширение новых спектра и привлечение клиентов банковских одолжений.
Но в рвении к большой прибыли принципиально важно помнить и о дополнительных мерах по предотвращению рисков, каковые смогут появиться при сотрудничестве банка с «странными» клиентами и проведении «необыкновенных» операций по их обслуживанию. Дабы минимизировать денежные и репутационные риски бизнеса, компания «Диасофт» предлагает банкам инновационное ответ FLEXTERA «Противодействие легализации доходов», которое позволяет не допустить нарушения законодательства ПОД/ФТ.
Каковы же преимущества FLEXTERA «Противодействие легализации доходов»? Во-первых, в ответе реализована функция автоматической идентификации мониторинга и клиентов совершаемых ими денежных операций, и имеется готовые методы контроля, каковые разрешают настроить схемы проверки операций фактически любой глубины и сложности покрытия.
Во-вторых, новый продукт «Диасофт» разрешает вести справочники контролируемых организаций и лиц (от ФСФМ и OFAC), внутренний справочник клиентов с вызывающей большие сомнения репутацией, справочник недействительных паспортов, и справочник территорий и стран, не участвующих в противодействии легализации доходов, взятых преступным методом. Помимо этого, посредством этого решения возможно создавать каждые пользовательские перечни.
В-третьих, FLEXTERA «Противодействие легализации доходов» разрешает централизованно осуществлять контроль операции многофилиального банка в едином подразделении денежного мониторинга, разграничивать права доступа сотрудников в зависимости от их вида и роли делаемых операций, осуществлять подробный аудит всех действий пользователей совокупности. И, наконец, благодаря встроенным интерфейсам ответ возможно легко интегрировать в существующий ИТ-ландшафт банка.
Для чего в ИТ-арсенале банка таковой инструмент? Внедрение современного ответа для реализации требований ПОД/ФТ содействует понижению издержек обеспечения контроля за счет сокращения количества операций, вручную осуществляемых сотрудниками подразделений денежного мониторинга, и за счет встроенных механизмов определения операций большого уровня риска и операций, не требующих контроля денежного мониторинга. С новым высокотехнологичным ответом «Диасофт» репутация банковского бизнеса — в безопасности!
Противоречия ЭКСПЕРТА и МНЕНИЕ ТЕНДЕНЦИИ ПРИ ПОСТРОЕНИИ СОВОКУПНОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В наше время Дмитрий РОМАНЧЕНКО, директор Центра разработок безопасности IBS Обеспечение информационной безопасности в банковской сфере представляет собой комплексную задачу, находящуюся в смежном поле регулирования русских и западных стандартов и норм. Процесс их гармонизации далек от завершения.
Подобная несогласованность имеет место и в вопросе выбора средств защиты информации, поскольку русский совокупность их сертификации функционирует самостоятельно от мировых стандартов. Имеется и техническая неприятность: при производстве русских средств защиты требования «сертифицируемости» продукта довольно часто отодвигают на второй план требования его соответствия совместимости и международным стандартам с подобными продуктами.
Парадокс: российские нормы ИБ требуют создания целостной совокупности защиты информации, но необязательность следования мировым стандартам, интерфейсов и унификации протоколов не разрешает выстроить вправду целостную совокупность. Вероятным выходом имела возможность бы стать, с одной стороны, процедура признания (подтверждения) интернациональных сертификатов, а с другой — требования совместимости к русским разработчикам.
К сожалению, в Российской Федерации полного разделения вендоров и интеграторов пока не произошло, и производители в один момент реализуют комплексные проекты. Это приводит к моновендорно-сти и, как следствие, к закрытости и неоптимальности выстроенных совокупностей защиты. Вторая тенденция — довольно часто ИБ-интеграторы не владеют компетенциями по созданию всего пула нужных систем ИБ и компетенциями в бизнес-приложениях и «тяжелой» ИТ-инфраструктуре.
В следствии клиенты приобретают обслуживания и проблемы совместимости, деградацию производительности. Дабы исключить эти риски, направляться ориентироваться на больших мультивендорных интеграторов с развитой ИБ-практикой и с практиками в области бизнес-консалтинга, комплексных ИТ-инфраструктур, приложений. Такие интеграторы имеют возможности и опыт для нахождения оптимального баланса между требованиями русских регуляторов, западных стандартов, стандартов вендоров, спецификой русских ответов и продуктов.
БЕЗОПАСНОСТЬ РУТОКЕН PINPAD — НОВЫЙ УРОВЕНЬ БЕЗОПАСНОСТИ ИНТЕРНЕТ-БАНКИНГА Фишинг, спуфинг, вирусы, программы-шпионы, удаленное управление — таков неполный список способов кражи денежных средств клиентов совокупностей ДБО. Исходя из этого одной из наиболее значимых задач разработчиков совокупностей ДБО есть обеспечение безопасности интернет-банкинга.
USB-токены с помощью неизвлекаемых ключей гарантируют лишь то, что ключ не будет похищен, но они бессильны против подмены подписываемых документов вредоносным ПО либо против несанкционированного доступа к функциям токена при помощи удаленного управления (USB-over IP). Эксперты российского разработчика в сфере защиты информации, компании «Актив», создали Рутокен PINPad -ответ, которое действенно противостоит всем известным атакам на клиентские места совокупностей ДБО.
Рутокен PINPad — это USB-устройство с сенсорным экраном, на котором происходит визуальный контроль документа перед подписью. Рутокен PINPad гарантирует подпись лишь просмотренного пользователем документа, кроме возможность его подмены. Встроенный механизм подтверждения подписи надежно защищает от несанкционированного доступа к функциям подписи посредством атаки USB-over-IP либо посредством вредоносного ПО.
Рутокен PINPad имеет USB-разъем, что разрешает подключить сертифицированный ФСБ РФ идентификатор Рутокен ЭЦП и с его помощью произвести электронную подпись документа. Совместное применение Рутокен PINPad и Рутокен ЭЦП удовлетворяет требованиям регуляторов к техническим средствам формирования электронной подписи. Главным преимуществом Рутокен PINPad есть то, что для помощи этого устройства в совокупностях «банк — клиент», применяющих электронную подпись, не нужно важной доработки существующей инфраструктуры — нужны только маленькие трансформации, которые связаны с форматированием платежных поручений и механизмом подписи.
СОХРАННОСТИ ИНФОРМАЦИИ ОБЕСПЕЧЕНИЯ и СОВРЕМЕННЫЕ СРЕДСТВА БЕЗОПАСНОСТИ Карен КАРАГЕДЯН, директор по продажам в Российской Федерации, СНГ и государствах Балтии Stonesoft самоё бурное обсуждение в рамках «круглого стола» АРБ привели к вопросам, которые связаны с поиском компромисса между запросами бизнеса, ограничениями со стороны работы ИБ и требованиями регуляторов. В большинстве случаев, обычная совокупность информационной безопасности предприятия, а особенно банка, выстраивается под влиянием этих трех факторов, любой из которых имеет собственный вектор развития.
До недавнего времени вопрос «настоящая защита от современных угроз либо сертификат?» был актуальным для начальников работ ИБ, и однозначного ответа на него не было. Российский рынок технических средств защиты данных совсем сравнительно не так давно воображал из себя два сегмента — средства «формальной» безопасности и средства «настоящей» безопасности, причем самый продвинутые и востребованные продукты, в основном зарубежного производства, не имели соответствующих сертификатов, что усложняло выбор технического ответа, к примеру, для защиты ИСПДн либо коммерческой тайны.
На данный момент на рынке показались решения, владеющие как богатым функционалом, что разрешает отнести их к группе средств «настоящей» безопасности, так и нужными сертификатами русских регуляторов. Больше не требуется идти на компромисс — возможно забрать все и сходу! Наша фирма стала одной из первых зарубежных компаний-производителей, кто сертифицировал собственные решения по защите данных на уровне производства.
Отечественные новейшие разработки разрешают клиентам создавать и эксплуатировать действенные совокупности защиты данных в организациях любого масштаба. Но не хватает выстроить совокупность, отвечающую всем реалиям сегодняшнего дня, — ее нужно поддерживать в актуальном состоянии, а это подразумевает громадные накладные затраты.
Отечественные решения, благодаря широким возможностям совокупности централизованного управления StoneGate Management Center, разрешают обойтись без технических экспертов в удаленных конторах и снизить затраты на развертывание, регулярные обновления и настройку в разы по сравнению с другими производителями средств ИБ. Это особенно принципиально важно для банков с развитым розничным бизнесом и громадной территориальной распределенностью.
В рамках «круглого стола» многие представители банков посвятили свое выступление вопросу поддержки идеи создания совокупности межбанковского сотрудничества в сфере предупреждения инцидентов информационной безопасности. На мой взор, очень разумная мысль, и в случае если банковское сообщество не испугается трудностей, сопутствующих проекту для того чтобы масштаба, и сумеет преодолеть не только организационные, но и технические ограничения, то результатом может стать как следует новый уровень защиты денежных данных.
ВЫГОВОР NSG: ОТЕЧЕСТВЕННОЕ ОБОРУДОВАНИЕ ДЛЯ БАНКОВСКИХ СЕТЕЙ Network Systems Group -русский компания, производящая сетевое оборудование уникальной разработки с 1995г. Популярность ее продукции в банковской отрасли напрямую связана с тем фактом, что корни компании уходят еще в первые советские (sic!) проекты в области сетей X.25. Сейчас NSG — официальный поставщик ведущих русских банков, владеющих наибольшими сетями банкоматов и POS-терминалов.
Отличительные изюминки оборудования NSG — цены и высокое соотношение функциональности, программная гибкость и аппаратная, широкий комплект встроенных механизмов для поддержания бесперебойной связи в автоматическом режиме. По своим возможностям продукты NSG не уступают соперникам от ведущих мировых фаворитов, одновременно с этим существенно побеждая у них по цене.
Большая часть устройств NSG — это модульные платформы, каковые смогут оснащаться сменными интерфейсными картами в зависимости от потребностей конкретной задачи. К примеру, самая популярная модель NSG-700 имеет 2 разъема расширения, в каковые смогут быть установлены модули 3G/GPRS (2xSIM), CDMA, дополнительные Ethernet и другие, а также два сотовых модуля (одного либо различных стандартов) для резервирования связи через различных операторов.
Столь же эластичными возможностями владеет ПО NSG: разные виды VPN, динамическая маршрутизация, QoS, и помощь унаследованных ответов X.25 и Frame Relay. Специфика подключения банкоматов пребывает в необходимости гарантированного поддержания связи, ее восстановления и контроля в автоматическом режиме, без участия человека.
Для данной цели устройства доступа NSG имеют кроме стандартных протокольных механизмов средства для мониторинга канала (такие как netping) и для аппаратного управления встроенными модемами, разрешающие вывести модем из любой нештатной ситуации. Синтезом этих способов есть фирменная разработка резервирования каналов uiTCP, специально разработанная с учетом специфики банковских задач.
Она снабжает прозрачное переключение без утраты данных при многократных переходах между двумя либо более каналами связи любого типа. Попутно с главной функцией передачи данных устройства NSG предлагают вспомогательные средства для удаленного рестарта проблемных банкоматов, охраны банкоматов и т.п.
ЧЕЛОВЕЧЕСКИЙ ФАКТОР и ЗАЩИТА ИНФОРМАЦИИ. ТЕХНОЛОГИИ ПРОТИВОДЕЙСТВИЯ ИНСАЙДЕРАМ Валерий КРУТСКИХ, председатель совета директоров ЗАО «МТТ Контрол», врач физико-математических наук За 20-летний период отечественной работы в области безопасности сменилось большое количество совокупностей защиты информации. на данный момент ими оснащен любой банк. Значит, информация в безопасности?
Теоретически да, но это в случае если функционировать правильно. А вдруг нет? Поражает простота, с которой преодолеваются все преграды, в случае если разглядывать антропогенный фактор. Заберём пароль.
Он должен быть сложным. Многие его. И вот, пароли возможно обнаружитьлисточках, приклеенных к монитору. Это относится как сотрудников, так и клиентов банка. Возможно дополнить пароли «пилюлями», запретить печать на принтере. Но кто-нибудь интересный сфотографирует экран монитора -и все. К любопытству сотрудника добавится корыстный интерес — и он уже инсайдер.
Как минимизировать влияние антропогенного фактора? Несколько компаний «Контрол» предлагает дополнить существующие средства защиты новыми разработками информационной безопасности, находящимися на стыке трех составляющих: физической защиты, административных правил и информационной безопасности. Новые разработки защищают эти и регламентируют действия сотрудников, делая физически неосуществимым нарушение правил.
Эти средства перенесены из защищаемой информационной среды в физически изолированную среду. Персональные эти заменены на идентификаторы с биометрией. Для контроля важных операций используется разработка «четырех глаз». «Информационный след» действий сотрудников в физической и информационной среде фиксируется и обрабатывается как метаданные.
Все события ранжируются по степени опасности с разбором инцидентов. Контроль разделен между работами информационной и технической безопасности. Имеется удаленный контроль управления. Открытые средства связи возможно заменить на защищенную постовую сообщение. На базе этих разработок реализован последовательность больших проектов.
Выбор ответа формируется на базе трех линеек продуктов. IDmatic — биометрия и контроль доступа. XVeiwsion — видеонаблюдение, сигнализация, диагностика.
XVmatic -интеграция, сценарии, обработка метаданных, связь и оповещение. Подробнее:www.insideram.net,www.idmatic.ru,www.hifivideo.ru,www.controlgroup.ru
