Евгений Акимов о тенденциях в области защиты информации

10 июля 2006 CNews
CNews
10 июля 2006 г. http://www.cnews.ru/reviews/free/banks2006/int/ot1/
Евгений Акимов, менеджер направления "Информационная безопасность", Открытые Технологии.

О своем видении тенденций в области защиты информации в банковском секторе в интервью CNews рассказал Евгений Акимов, менеджер направления "Информационная безопасность" компании Открытые Технологии. CNews: В чем заключается, на ваш взгляд, специфика построения систем защиты информации в банковской сфере?

    Евгений Акимов: Как правило, чем более критичны автоматизированные бизнес-процессы организации, тем выше ее требования к информационной безопасности (ИБ). Пожалуй, лидером в вопросах обеспечения информационной безопасности является банковский сектор. Именно здесь автоматизированы все наиболее критичные бизнес-процессы, в том числе — обеспечивающие движение денежных средств. И наибольшим приоритетом для банков является защита автоматизированной банковской системы (АБС). Ведь ее недельный простой может грозить банку банкротством.

    Банки оперируют деньгами и информацией, принадлежащими не им, а клиентам, чьи интересы защищаются как законодательными требованиями со стороны государства, так и отраслевыми — со стороны Центробанка. Таким образом, основная специфика систем ИБ в банковской сфере состоит в том, что в первую очередь необходимо защищать информацию клиентов, и только потом — самого банка.

    Еще одна особенность построения систем ИБ заключается в том, что банки имеют большое количество подразделений по всей стране, а иногда — и за ее пределами. В этом случае возникают вопросы по поводу разграничения ответственности между центральным офисом и филиалами, а также слаженности действий, связанных с обеспечением ИБ. Многие банки расширяются за счет поглощения и им приходится распространять уже существующие политики информационной безопасности на приобретенные подразделения. Это достаточно сложная задача, поскольку у «вновь прибывших» уже имеется сложившаяся структура и регламенты, которые теперь должны быть соответствующим образом изменены.

    Нельзя исключать и человеческий фактор. Ведь банки — это, как правило, большие организации, где работает множество сотрудников. И в принципе каждый из них (если не по злому умыслу, то по своей беспечности или невнимательности) может допустить ошибку. Контролировать весь персонал практически невозможно, поэтому приходится снижать риски, используя совокупность технических и организационных мер.

CNews: О проблеме инсайдеров сегодня не говорит только ленивый, особенно когда речь идет о финансовом секторе. Однако во многих банках не запрещена публичная почта, не ведется фильтрация трафика и пр. Почему, на ваш взгляд, это происходит?

    Евгений Акимов: Да, об этом все говорят, но, как показывает практика, немногие до недавнего времени расценивали проблему инсайдеров как серьезный риск и предпринимали реальные шаги, чтобы обезопасить свой бизнес. Возможно, это происходит из-за того, что в банках пока еще недостаточно отработан процесс оценки и управления рисками. Однако внутренний пользователь или инсайдер, может причинить банку существенный ущерб.

    Другой момент состоит в том, что система информационной безопасности многогранна. Помимо технических решений, у нее существуют и другие аспекты, например — необходимый контроль и проверка персонала при приеме на работу. Если банк уверен во всех своих сотрудниках, то, возможно, какие-то сложные технические решения и не понадобятся. Запрещение — это самое простое. Но надо помнить, что запрет может повлечь за собой более тяжелые последствия, чем сам инцидент, которого мы опасаемся: сотруднику будет неудобно работать, невозможно связаться с клиентом и т.д.

CNews: В западных странах существует множество отраслевых стандартов обеспечения ИБ. У нас же только недавно "Центробанк" предпринял попытку «обезопасить» отрасль путем разработки своего стандарта. Как вы считаете, получит ли он признание среди отечественных банков?

    Евгений Акимов: На мой взгляд, это будет зависеть от того, каким в результате получится стандарт, насколько он будет применим для российских реалий.

    Как уже отмечалось, банк не может обеспечивать информационную безопасность, исходя только из своих представлений о ней — поскольку от его действий зависят интересы его клиентов. В этом смысле ЦБ выступает гарантом безопасности клиента, создавая документы, регламентирующие обеспечение ИБ. Кроме того, использовать опыт, накопленный в такой специфичной отрасли, как банковская, обобщить его в виде систематизированного документа, несомненно, полезно и нужно.

    Важно понимать, что есть банки, которые уже многое сделали в области ИБ, потратив на это и усилия, и деньги. Поэтому стандарт не должен быть слишком конкретизированным. Ведь для того, чтобы выполнить слишком детальные требования, придется переделывать уже существующую систему безопасности банка (которая может быть неплохой). А это потребует новых, зачастую неоправданных инвестиций. Например, вряд ли нужно жестко специфицировать состав комплекта организационно-распорядительной документации. На мой взгляд, стандарт в основном должен содержать методологию обеспечения ИБ.

CNews: На Западе действует множество стандартов, но инциденты случаются не реже чем у нас. Казалось бы, зачем обращаться к услугам консультантов и тратить огромные деньги на приведения своих систем ИБ в соответствие с «правильными» стандартами?

    Евгений Акимов: Если стандарт актуален и отвечает современным требованиям и специфике бизнеса — его будут использовать для того чтобы построить "правильную" систему обеспечения ИБ, независимо от того, обязателен он или нет. Ведь стандарт — это некая методика, которая помогает упорядочить процесс. И она должна содержать не только конкретные требования, но и механизмы выбора решений, должна помогать определять выгоды от вложения денег. Именно такие стандарты и можно назвать правильными. Их внедрение не стоит огромных денег, зато позволяет оптимизировать дальнейшие затраты на ИБ. В числе таких стандартов, например, можно отметить ISO27001.

    Кстати, я отношусь довольно скептически к утверждению о том, что инциденты на Западе случаются не реже чем у нас, ведь именно в нашей стране на лотках можно приобрести самые разнообразные базы данных: от таможенной до налоговой. А это свидетельствует о том, что с базами данных в России происходят очень серьезные инциденты.

CNews: На ваш взгляд, какие аспекты обеспечения ИБ сегодня наиболее актуальны для банковского сектора?

    Евгений Акимов: В этой сфере все вопросы важны. Приведу пример: допустим, что вся информация из АБС попадет в руки конкурента. Это, скорее всего, грозит банку закрытием. Однако если АБС будет неделю простаивать, и все это время вкладчики не смогут распоряжаться своими деньгами, то результат может оказаться таким же плачевным: все клиенты попросту "разбегутся".

    Один из серьезнейших вопросов связан с разграничением доступа к информации. Банки используют множество прикладных систем, доступ к которым, как правило, задается в каждой из них отдельно. В любой компании неизбежны кадровые перестановки: приходят новые сотрудники, они продвигаются по служебной лестнице, увольняются. При этом сложно контролировать их права доступа к информационным активам. Поэтому сейчас наиболее востребованными, на мой взгляд, будут решения, обеспечивающие управление доступом пользователей ко всем информационным системам банка с одной консоли (так называемые решения класса Identity@AccessManagement — IAM).

    С увеличением уровня автоматизации и усложнением информационных систем неизбежно растет число инцидентов. Каждый из них необходимо расследовать, и полученный опыт должен быть учтен в будущем. Поэтому мы прогнозируем рост интереса к средствам автоматизации этих процессов, к решениям в области SecurityInformationManagement.

CNews: Часто приходится слышать, что отечественным банкам необходимо больше внимания уделять управлению рисками. Как это должно выглядеть, если смотреть через призму информационной безопасности?

    Евгений Акимов: Управление информационной безопасностью и построение системы ИБ основываются на требованиях законодательства и бизнеса. Последние — это не что иное, как результат оценки рисков. Она складывается из двух составляющих: анализа критичности информационных активов для бизнеса и анализа их уязвимости перед существующими угрозами.

    Решение первой задачи осуществлять банку лучше самостоятельно, ведь именно владелец информации понимает, насколько велик ущерб от нарушения бизнес-процессов, которые используют данные ИТ-подсистемы.

    Анализ уязвимости — сложная ИТ-задача, требующая экспертных знаний — как в составлении модели угроз и выделении среди них наиболее актуальных с точки зрения конкретного банка, так и в поиске уязвимостей, которые могут привести к реализации возможных угроз. Для более качественного решения второй задачи целесообразнее привлечь стороннюю организацию, обладающую компетенциями как в технологиях защиты информации, так и в "базовых" ИТ. Это обеспечит полноту учета уязвимостей.

    Следующим этапом становится сведение воедино полученных показателей критичности и защищенности, то есть получение результата оценки рисков. Я считаю, что использование для этих целей операции умножения не дает действительно адекватного результата, поскольку получается некоторое «математическое ожидание» потерь. Например, высококритичные активы (условно — стоимостью в $1 млн.) даже при их хорошей защищенности (условно — вероятность 0,1%) могут быть оценены так же, как и малокритичный актив ($50 тыс.) с удовлетворительной защищенностью (2%). В действительности же, в первом случае инцидент, возможно, приведет к банкротству, а во втором — потери могут быть легко компенсированы. И это означает, что высококритичные активы требуют большей защищенности.

    Поэтому компания, проводящая анализ уязвимостей, должна иметь серьезные компетенции и в методологии обеспечения ИБ для выделения всего спектра угроз и получения правильного показательного, а не упрощенного итогового результата. Кстати, в таком случае консультант может выполнить и подготовительную работу по управлению информационными активами, безусловно, оставив решение по определению их критичности за владельцем информации.

    Конечно, из-за стремительности изменений в ИТ результат оценки рисков довольно быстро теряет актуальность и нуждается в обновлении. Практика показывает, что полный аутсорсинг этого процесса слишком затратен. Поэтому оптимально самостоятельно проводить переоценку рисков (раз в квартал или раз в полугодие). А внешний исполнитель может привлекаться реже (раз в два-три года) для учета каких-то серьезных изменений, а также потому, что сторонний взгляд позволяет получить более адекватную информацию. На мой взгляд, комплексное решение для банков должно содержать не только оценку рисков и создание рекомендаций по их обработке, но и проведение консалтинга по построению процесса оценки рисков и системы управления ИБ в целом.

    Стоит отметить, что вопрос управления рисками в банках не нов. Однако сегодняшняя специфика банковского бизнеса такова, что все большую часть операционных рисков составляют ИТ-риски. И эта тенденция сохранится в ближайшем будущем.

CNews: Как бы вы его охарактеризовали состояние ИБ в финансовом секторе в России?

    Евгений Акимов: Здесь нельзя давать единую оценку: уровни ИБ у банков существенно различаются. У крупных организаций, которые развивались за счет своих конкурентных преимуществ, у банков западного типа вопрос информационной безопасности поставлен достаточно хорошо. Мелкие банки пока не уделяют ИБ должного внимания.

    По нашим наблюдениям, последнее время заказчики стремятся разработать комплексное решение по ИБ. Компании заинтересованы в создании целостной системы информационной безопасности и хотят сразу охватить все вопросы, а не заниматься «латанием дыр». И все чаще комплексное решение по ИБ они создают не собственными силами, а прибегая к помощи сторонних организаций, имеющих большой опыт ведения аналогичных проектов, хорошо разбирающихся в теме.

    Можно отметить еще одну сформировавшуюся тенденцию: если раньше банки занимались ИБ достаточно хаотично, то сейчас они понимают, что главное — выработать систему, которая даст ответ на вопрос: "Что делать завтра?".

    Подтверждением этих тенденций может стать опыт нашей компании в консалтинговых проектах, целью которых стало создание системы обеспечения информационной безопасности, в том числе — на основе ISO27001. Надо отметить, что большинство проектов было реализовано именно в финансовом секторе.

    Поскольку сегодня все большее число банковских организаций осознают важность и необходимость управления информационной безопасностью, количество подобных консалтинговых проектов со временем будет возрастать.

CNews: Спасибо.




Предыдущая новость:
На вопросы CNews отвечает Олег Гизатуллин
Следующая новость:
Мониторинг и управление инженерной инфраструктурой ЦОД