Подходы и решения в области ИБ финансовых организаций

25 июня 2007 CNews
CNews
Июнь, 2006 г.
http://www.cnews.ru/reviews/free/banks2007/int/ot/
Егор Бородянский, руководитель направления по работе с финансовыми организациями, Открытые Технологии.

О наиболее востребованных банками решениях в области информационной безопасности, о подходах отечественных банков к выбору стандартов ИБ, о возможных мерах по предотвращению инсайдерских угроз в интервью CNews рассказывает руководитель направления по работе с финансовыми организациями компании Открытые Технологии Егор Бородянский.

CNews: Какие вопросы информационной безопасности стали для банков наиболее актуальными за последний год и почему?

    Егор Бородянский: Основная проблема, о которой больше всего говорили в прошедшем году —, инсайдеры. Не секрет, что некоторые события на финансовых рынках были спровоцированы, в том числе, и утечками в крупных финансовых институтах. Кроме того, многие банки за последнее время существенно расширили свою филиальную сеть. Это повлекло за собой увеличение числа сотрудников, имеющих доступ к финансовой информации и персональным данным. В такой ситуации даже самые лучшие банковские HR-службы и службы безопасности не в состоянии подобрать идеальных сотрудников, а также контролировать весь персонал. Поэтому актуальными становятся вопросы, связанные с защитой данных, как финансовых, так и персональных.

    Утечка информации чревата неприятными последствиями для любой финансовой организации, особенно если та находится в преддверии выхода на IPO или уже вышла на открытый рынок. Ведь любая инсайдерская информация может быть использована с целью влияния на стоимость акций. Соответственно, доверие к банку либо растет, либо падает, изменяется его стоимость для акционеров, увеличивается или уменьшается привлекательность организации для инвесторов. К слову, банков, уже вышедших на IPO, на рынке довольно много, и с каждым годом их число растет: за прошлый год объявили о своем выходе на рынок акций Сбербанк и Внешторгбанк.

CNews: Становятся ли панацей на общем фоне усиления угроз отраслевые стандарты обеспечения ИБ, по вашему мнению?

    Егор Бородянский: Существующие стандарты ЦБ носят рекомендательный характер. Одни банки стараются им следовать, другие следуют частично, третьи вообще их не придерживаются. Дело в том, что данный стандарт на сегодняшний день — это некий свод рекомендаций, в нем не описаны все возможные экстренные ситуации, а лишь определяются те мероприятия, которые, по мнению Центробанка, необходимы для того, чтобы в будущем обеспечить безопасность информационных систем. Но у каждого из банков есть свое понимание тех или иных угроз, способов их предотвращения и сохранения стабильности систем. Многое зависит и от того, как банки реализовали свои представления об информационной безопасности. К тому же выполнить те или иные рекомендации можно по-разному. И вполне возможно, что это будет сделано неправильно или не в полной мере. Поэтому сам по себе отраслевой стандарт не будет панацей.

CNews: Какой процент банков ставит вам задачей придерживаться этих стандартов? Насколько активно российские банки им следуют?

    Егор Бородянский: Все наши заказчики при постановке задачи упоминают стандарты Центрального банка. Но ситуация сложилась так, что системы менеджмента и управления информационной безопасностью банков находятся на разных стадиях развития. Если банк уже построил эффективную, с его точки зрения, систему ИБ и сейчас занимается только локальными вопросами, связанными с внедрением совершенно определенных дополнительных сервисов, то он, скорее, придерживается своей стратегии развития СМИБ. Многие банки взяли за основу стандарт ISО 27001, являющийся на сегодняшний день де-факто методологией построения большинства систем менеджмента ИБ в мире. Поэтому имеет смысл продолжать работу в соответствии с ним, но, как вариант учитывать определенные рекомендации стандарта ЦБ. А начинать строить что-то "с нуля" у многих нет ни времени, ни желания, да и, в большинстве случаев, финансовой возможности, поскольку при уже функционирующей системе ИБ бюджет на ее изменение выделяется в строго определенных рамках. Однако многие принимают во внимание стандарты ЦБ, потому что у нас то, что сегодня рекомендательно, завтра вполне может стать обязательным.

    Вообще, стандарт Центрального банка разрабатывался по тому же принципу, что и ISO 27001: он представляет собой набор методологий, подходов и инструментов для реализации эффективного менеджмента ИБ. Эти стандарты не одинаковы, но методологии, которые используются в мире, и в частности в ISO 27001, Центральным банком учитывались и перекладывались на специфику российской банковской системы.

CNews: Что может стимулировать, на ваш взгляд, банки к тому, чтоб соответствовать положениям подобных стандартов — в мире и в России?

    Егор Бородянский: Каждый банк, для того чтобы чувствовать себя на рынке уверенно, решает задачи не только повышения прибыли, дальнейшего развития и роста, но и получения дополнительных конкурентных преимуществ. Например, выгодной процентной ставки по кредитам, которая зависит от многих факторов, и главный среди них — величина операционных рисков. Явно или неявно эти риски учитываются во всех предлагаемых банками продуктах, чтобы в случае неблагоприятных условий и финансовых потерь это было компенсировано, например, величиной процентов по выданным кредитам. Таким образом, размер процентов по вкладам и кредитам напрямую зависит от операционных рисков: когда есть уверенность, что в течение ближайшего времени не произойдет ничего такого, что повлияет на стоимость активов, продукты банка могут дешеветь, что повышает его привлекательность для клиентов и увеличивает их количество.

    Однако чем больше автоматизированных систем в финансовой организации, тем выше вероятность, что в какой-то из них произойдет утечка информации или ее изменение, связанное с преднамеренным взломом. Система менеджмента ИБ позволяет минимизировать и снижать, как возможность подобных событий, так и их последствия. Таким образом, непосредственно текущая деятельность банка и становится первым стимулом к построению полноценных систем управления ИБ.

    Второй повод для следования стандартам — отношение инвесторов к банку. Все участники финансового рынка знают, что сертификат ISО 27001 получить довольно сложно. И если у организации он есть, значит, ее информационные системы соответствует определенному уровню безопасности, следовательно, в этой организации серьезно подходят к вопросу ИБ. И при оценке капитализации, при выходе на IPO, при предоставлении займов и кредитов это является неоспоримым преимуществом. Конечно, в первую очередь это касается мировых банков, но и для многих российских это сейчас становится актуальным — в связи с их планами выхода на свободный рынок. В то же время увеличивается конкуренция со стороны западных игроков, пришедших на отечественный рынок, поэтому российским банкам необходимо соответствовать их уровню.

CNews: Как можно оценить затраты, необходимые банку, чтобы привести свои системы ИБ в соответствие со стандартом "Центробанка", либо Basel II?

    Егор Бородянский: Несмотря на то, что еще не полностью проработан весь пакет стандартов Центробанка, многие представители банков говорят о том, что затраты на их внедрение достаточно высоки. Настолько высоки, что полностью реализовать рекомендации ЦБ смогут, пожалуй, только первые 100-200 банков. Эти затраты сопоставимы порой с целым ИТ-бюджетом банка.

    Кроме того, перед банками встает вопрос, окупится ли внедренная система ИБ. Но для того чтобы изначально оценить, какие могут быть потери в случае негативных ситуаций, нужно их смоделировать, посмотреть, какие проблемы они принесут, оценить их в денежном эквиваленте, и только после этого уже можно сделать вывод. Это достаточно сложная задача, и на ее решение не все готовы тратить деньги, ресурсы и время. В целом, средства, которые тратятся на безопасность, в любом случае окупаются, только для одних подразделений это более явно, для других — менее.

    Но внедрение стандартов сопряжено не только с финансовыми затратами. Проекты по сертификации, как правило, длительные. Наша компания занималась подготовкой ряда банков к сертификации по ISO 27001, в нее входило описание текущей ситуации с ИБ в банке, выработка рекомендаций и устранение выявленных недостатков — все это требует значительного времени. Кроме того, в процессе подготовки к сертификации приходится вносить изменения в очень многие области деятельности организации, которые напрямую не связаны с безопасностью. Получается, что изменить систему ИБ — значит изменить устои и положения, которые существуют в банках на сегодняшний день, вплоть до должностных инструкций операционистов и кассиров. Немногие банки на это готовы, им тяжело в одночасье трансформировать всю свою деятельность.

CNews: Какие решения в сфере ИБ наиболее востребованы банковским сектором в настоящий момент?

    Егор Бородянский: В прошлом году у нас было значительное количество запросов по построению полноценных систем управления ИБ и систем менеджмента ИБ в соответствии с ISO 27001. Наибольший интерес можно отметить именно в этой области. Следующие по популярности — решения по обеспечению непрерывности бизнеса в части, касающейся информационной безопасности. Это вызвано тем, что до сих пор многие заказчики при решении вопросов непрерывности бизнеса основной упор делали на инфраструктурные решения, например построение резервных ЦОД, резервирование сервисов, баз данных. В то же время, на обеспечение непрерывности бизнеса с точки зрения информационной безопасности обращалось существенно меньше внимания. И вот сейчас компании подошли вплотную к этому вопросу.

CNews: Каковы ваши планы по дальнейшему развитию данной экспертизы?

    Егор Бородянский: Наша компания сейчас создает методологию построения аналитических систем. Это программно-аппаратные решения, которые нужны для того, чтобы отслеживать и в дальнейшем анализировать события, происходящие в информационных системах. Когда количество сотрудников, имеющих доступ к определенным данным, существенно вырастает, быть уверенным в каждом из них невозможно. Даже непреднамеренные действия, банальная оплошность или невнимательность могут привести порой к серьезным последствиям. Аналитические системы, которые позволяют следить за изменениями в информационных сетях и вовремя о них предупреждать, — дополнительный инструмент для аналитиков службы безопасности. Вот, например, ситуация. Один из операторов, до сих пор делавший по пять запросов в день к определенным данным, вдруг неожиданно повышает их количество до сорока. Вполне возможно, что это означает резкое увеличение количества клиентов, но есть вероятность, что дело в другом. В любом случае, эта информация должна быть передана аналитикам для выяснения причин подобных изменений.

    Интересным и перспективным для нашей компании направлением являются услуги по обследованию существующих систем ИБ и построению полноценных систем менеджмента информационной безопасности. Это интересно как с точки зрения реализации сложных проектов, так и в плане приобретения дополнительного опыта специалистами компании Открытые Технологии, а также нашими заказчиками.

CNews: Cпасибо.




Предыдущая новость:
Стратегия реализации эффективных проектов в энергетике
Следующая новость:
Управление рисками при внедрении КИС