Защита информации - не разовое решение, а процесс
Оксана Дяченко ,
«Национальный Банковский Журнал» ,
№10 (89), октябрь 2011 года
У руководителей банков часто возникает иллюзия, что ИБ -готовый продукт, который можно купить, внедрить - и забыть о нем.
Банкам в силу специфики деятельности приходится работать с огромными массивами конфиденциальной информации. Неудивительно, что они стараются грамотно выстраивать политику информационной безопасности (ИБ) и следовать ей в процессе своей деятельности. Любая ошибка в защите этих данных - и печальных последствий не избежать.
Рынок растет
О важности информационной безопасности, необходимости защиты конфиденциальных данных с помощью специальных систем можно рассуждать очень долго. Однако реальной «движущей силой» данного рынка в течение последних лет была ответственность организаций перед государственными регулирующими органами за невыполнение требований Закона «О персональных данных». Именно этот документ, принятый в 2006 году, стал определяющим фактором, который формирует рынок систем защиты информации в нашей стране.
По мнению экспертов, в настоящее время данный рынок демонстрирует уверенные темпы роста. «Основными направлениями сегодня являются продажи различных средств защиты информации, оказание услуг по установке, дальнейшему сервисному сопровождению и технической поддержке систем, а также консалтинг в области информационной безопасности», - отмечает руководитель департамента информационной безопасности банка «Ренессанс Кредит» Александр Невский.
Еще одна тенденция, правда, только зарождающаяся, - это перевод на аутсорсинг функций целых подразделений или отдельных сервисов информационной безопасности. Следует отметить, что сегодня на рынке предоставления услуг аутсорсинга в области информационной безопасности представлены компании различного рода. С одной стороны, это системные интеграторы, способные выполнить практически любой проект в области информационной безопасности, построить систему менеджмента информационной безопасности в организации с нуля, а также внедрить широкий спектр средств защиты информации. С другой стороны, это небольшие компании, которым под силу реализовать лишь ограниченный набор функций всей системы, например только программные решения.
Решения «под себя»
Банки неохотно комментируют вопросы о конкретных средствах защиты информации. Их можно понять, вопросы безопасности - по определению закрытая зона. Можно лишь отметить, что каждый банк определяет для себя, какие решения ему подходят, исходя из различных факторов - собственных бизнес-целей, оценки рисков, менталитета сотрудников и корпоративной культуры. Решения, уместные и эффективно применяемые в одних кредитных организациях, могут не подойти другим.
Однако все же можно говорить о некотором базисном наборе функций системы, который, как правило, представлен во всех финансовых учреждениях, считает Александр Невский. К этому набору относятся антивирусные решения, средства криптографической защиты информации, системы защиты от спама, средства контроля и разграничения доступа, средства многофакторной аутентификации, системы предотвращения утечек информации, мониторинга событий информационной безопасности, управления уязвимостями, обеспечения непрерывности бизнеса и т.п.
Требования по защите
В автоматизированных системах для хранения и обработки конфиденциальной информации необходимо использовать специализированные средства защиты, которые должны отвечать целому ряду требований. Надежность, масштабируемость, интегративность и соответствие законодательству - вот основные требования, которые предъявляются к средствам защиты конфиденциальной информации.
С точки зрения надежности системы защиты должны отвечать существующим требованиям банковской организации. С точки зрения совместимости с используемыми программами и системами они должны иметь возможность интеграции с имеющимися в организации платформами и программами. Для крупных банков, располагающих разветвленной офисной сетью, важна масштабируемость используемых решений.
Надежность защиты конфиденциальной информации, производимой тем или иным программным или аппаратным средством защиты, должна быть подтверждена соответствующими сертификатами. В России надежность средства защиты конфиденциальной информации и соответствие технических параметров средства защиты требованиям законодательства подтверждаются сертификацией ФСТЭК (Федеральная служба по техническому и экспортному контролю).
Правила, обязательные для всех
Банковские эксперты в области ИБ уверены, что нужно целенаправленно повышать осведомленность сотрудников по вопросам информационной безопасности. Именно это является необходимым условием для нормального функционирования системы управления ИБ в банке.
«Не стоит забывать про обучение сотрудников и повышение их осведомленности в вопросах информационной безопасности, - уверен Александр Невский. - Какими бы ни были средства защиты информации, без понимания сотрудниками основных правил, политик и процедур построить эффективную систему менеджмента информационной безопасности нельзя».
Несмотря на повышение общей компьютерной грамотности сотрудников, проблеме ИБ по-прежнему уделяется недостаточное внимание, и далеко не все сотрудники осознают важность этого вопроса, отмечает начальник управления банковской безопасности, заместитель директора дирекции безопасности ОТП Банка Олег Водовсков. Эксперт объясняет это отчасти тем, что угрозы нарушения информационной безопасности носят виртуальный характер и не сразу становятся очевидными.
Начальник управления контроля за операционными рисками Райффайзенбанка Светлана Белялова считает, что, как минимум, необходимо в понятной и доступной форме ознакомить сотрудников с действующими в организации правилами информационной безопасности. Персонал должен знать контакты тех подразделений, куда можно обратиться при возникновении проблемных ситуаций. Кроме того, «важно не только информировать персонал о существующих правилах, но и объяснять, обучать и рассказывать о последствиях и реальных событиях, понятных каждому, независимо от должности», - объясняет эксперт.
По мнению директора департамента информационных технологий СДМ-Банка Олега Илюхина, менталитет жителей нашей страны, надежда на то, что «пронесет», как нельзя лучше способствуют росту числа нарушений информационной безопасности. «Как правило, пока не произойдет какое-то мошенничество - кража данных, вирусное заражение, хакерская атака, списание средств со счета - обычный человек ничего не предпринимает. Только после прецедента мошенничества он начинает задумываться, как же сделать так, чтобы такого больше не происходило».
Политика – дело тонкое
Политика информационной безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Она включает в себя требования в адрес персонала, менеджеров, технических служб. Кроме того, политика безопасности - это и система взглядов руководства кредитной организации на данную проблему.
Для того чтобы грамотно выстроить политику информационной безопасности в банке, необходимо строго регламентировать ее цели, обеспечить соответствие всей системы информационной безопасности требованиям законодательства, установить ответственность и разграничить функции подразделений кредитной организации.
«Как правило, политика информационной безопасности - это многоуровневая система документации, состоящая из одного общего и множества вспомогательных документов, регламентирующих отдельные направления обеспечения информационной безопасности в организации, - рассказывает Александр Невский. - Например, такие направления, как предоставление прав доступа, обеспечение безопасности в корпоративной сети, при работе с электронной почтой, Интернетом, при пользовании конфиденциальной информацией, управление инцидентами и т.п. Основная цель политики информационной безопасности - предоставить сотрудникам организации короткие, ясные и непротиворечивые рекомендации по обеспечению информационной безопасности».
С внедрением новых технологий, изменением требований законодательства, возникновением новых рисков эта политика должна регулярно пересматриваться. А значит, необходимо регулярное обучение сотрудников правилам защиты информации, установленным в банке.
По мнению Александра Невского, при разработке систем информационной безопасности в учреждении лучше всего воспользоваться международным и российским опытом и руководствоваться международными стандартами серии ISO 27ххx, а также стандартами безопасности Банка России СТО БР ИББС.
«Грамотное планирование, эффективное управление, способность продемонстрировать и измерить результаты проекта являются обязательными условиями работы по внедрению системы информационной защиты банка, - считает Александр Невский. - В любом случае не стоит забывать, что не бизнес для информационной безопасности, а информационная безопасность для бизнеса. Этот постулат позволяет находить взаимовыгодный компромисс и достигать поставленных целей по защите информации в любом учреждении».
Даешь финансирование
Среди трудностей, с которыми сталкиваются банковские специалисты при реализации политики информационной безопасности, называют, как правило, недостаточное финансирование, изменение требований законодательства и иных требований в ходе внедрения системы информационной безопасности. Также эксперты акцентируют внимание на отсутствии квалифицированных специалистов и должной поддержки высшего руководства организации.
Уровень затрат на ИБ (и это особенно характерно для средних и небольших банков) является недостаточным, считает председатель правления Флексинвест Банка Марина Мишурис. Причины очевидны: подобные решения зачастую требуют значительных начальных инвестиций. Наряду с этим развитие ИБ в банках, по мнению эксперта, тормозит отсутствие отраслевых стандартов, дифференцированных в зависимости от размера бизнеса, которые были бы обязательными к исполнению. Это явилось бы хорошим обоснованием затрат на ИБ, говорит Марина Мишурис, планка расходов на ИТ, ниже которой банки просто не смогут работать, повысилась бы.
Кроме того, иногда руководство банков, принимающее решения о выделении средств на ИБ, к сожалению, не совсем верно понимает, что же такое информационная безопасность. Возникает некая иллюзия, что ИБ - готовый продукт, который можно купить, внедрить - и забыть о нем.
Эксперты подчеркивают, что информационная безопасность - это процесс, который для своей нормальной жизнедеятельности требует постоянного выделения средств. Если приостанавливается ресурсная «подпитка» ИБ, рано или поздно можно ожидать снижения защищенности информационных систем финансово-кредитных учреждений.
СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ
КАК ПРАВИЛЬНО ПОСТРОИТЬ И ВНЕДРИТЬ ПОЛИТИКУ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ФИНАНСОВОМ УЧРЕЖДЕНИИ
Дмитрий Ушаков, руководитель отдела технических решений Stonesoft
Система защиты - нечто виртуальное, что нельзя пощупать руками или положить в сейф. Про нее лишь можно сказать, есть она у вас (по вашему мнению) или нет. Это, если можно позволить себе такое сравнение, как вдохновение или чувство удовлетворения: никто вокруг и не догадывается - легкий намек может быть разве что по улыбке на лице. Безусловно, система защиты - это не настолько виртуальная субстанция. Однако, как уже было сказано, реальность ее существования тяжело подтвердить документально. Простой пример. Убедиться в том, что установлен межсетевой экран (МЭ) легко -нужно только найти его в серверной комнате. Проверить, что он корректно настроен, чуть тяжелее: нужно как минимум формализовать методику проверки, а именно перечень тех портов, протоколов, приложений, пользователей и т.п., которые он должен контролировать - все это называется политикой межсетевого экранирования. Достаточно ли МЭ в организации? Возможно. Однако в большинстве случаев - нет. А для финансовых организаций, по крайней мере, для тех, которые занимаются обработкой платежей по пластиковым картам, - однозначно нет. Нужна еще система предотвращения вторжений и анализа сетевых потоков. Хорошо, а теперь попробуем сложить две системы вместе. Служба информационной безопасности (ИБ), очевидно, должна обслуживать оба решения и обеспечивать деятельность организации в соответствии с упомянутыми политиками безопасности, но должны ли это быть два человека, как они между собой должны общаться, какова процедура реагирования на инциденты и пр. - тут возникает очень много вопросов.
В классической теории ИБ нас учат начинать с процедуры управления рисками. Безусловно, это важно. Именно это определит необходимость (и достаточность) использования средств МЭ, обнаружения и предотвращения вторжений, защиты каналов, детектирования утечек и пр. В части базовой методологии помогает нормативная база. Для банков руководствами к действию могут быть как зарубежные стандарты (например, ISO 27001, PCI DSS), так и отечественные (например, СТО БР ИБСС, 152-ФЗ и методические рекомендации). Они же позволят запланировать и реализовать процедуры обработки инцидентов, а также другие, связанные с жизненным циклом системы ИБ события (планирование, реализация, проверка, действие). Чем сложнее система, тем больше будет нюансов интеграции и тем сложнее в одиночку корректно реализовать все механизмы и подсистемы. Для этого рекомендуется обращаться в компетентные организации, которые помогут и спроектировать, и построить, и провести аудит соответствия требованиям.
Подводя итог короткой статье, следует отметить следующее. Для того чтобы сделать систему ИБ «осязаемой», нужно: провести оценку рисков, разработать модель нарушителя и угроз, спроектировать систему согласно актуальным угрозам и требованиям стандартов (включая наиболее обсуждаемый в последнее время 152-ФЗ), внедрить систему, разработать нормативное обеспечение для работы с построенной системой. Далее - перейти к этапу анализа и совершенствования: как и любой живой организм, система ИБ должна развиваться и постоянно совершенствоваться. Только после выполнения всех перечисленных задач можно будет утверждать, что система в организации есть не виртуально - она действительно существует, «дышит», в том числе и на бумаге, заверенной подписью и печатью организации-аудитора.
ЭКСПЕРТНОЕ МНЕНИЕ
«КЛИЕНТ-ТЕРМИНАЛ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ»
Игорь Долженков, эксперт компании Huawei Technologies
Несмотря на кризисные явления в мировой экономике, банки и финансовые институты продолжают расширять и совершенствовать предоставляемые услуги. Для обеспечения этого процесса необходим рост числа точек доступа к финансовым услугам (филиалы финансовых институтов, интеллектуальные информационно-платежные терминалы, мобильные пользователи, интернет-банкинг и т.п.). Но с каждой новой возможностью доступа к банковским сервисам растет и уязвимость банковских систем. Профессиональные хакеры атакуют банковские терминалы и точки доступа, используя передовые информационные технологии. В результате обрабатываемые данные могут быть перехвачены, повреждены, предоставляемые банковские услуги прерваны, сеть банка может быть использована для распространения вредоносных кодов, в результате организация понесет значительный финансовый и репутационный ущерб.
На основе всесторонней оценки и анализа конфигураций точек доступа и предоставления услуг компания Huawei Technologies совместно с партнерами разработала клиент-терминал управления безопасностью. Данное решение активно оценивает состояние безопасности точки доступа и выстраивает на основе анализа сценарий доступа и восстановления защиты точки - терминала доступа к финансовым услугам.
Для защиты точек доступа от различных типов атак необходим комплекс мер, требующих высоких затрат. Банки и финансовые организации должны развернуть комплекс защитных решений. Зачастую такие мультивендорные решения сложно развертывать на сети финансовой организации в централизованном порядке. Снизить затраты на обеспечение защиты и совокупную стоимость владения (с сохранением требуемого уровня защиты) позволяет внедрение клиент-терминала управления безопасностью. Данное внедрение дает возможность централизованно контролировать доступ к сети и услугам, управлять политиками безопасности, контролировать поведение персонала, управлять распространением программного обеспечения.
Предлагаемый программно-аппаратный комплекс также может быть элементом сертифицированных решений по организации защищенного периметра и VPN-взаимодействия (на основе ГОСТ криптоалгоритма). Успех использования подобных решений определяется партнерством производителя сетевого оборудования и разработчика программных продуктов (VPN, Firewall). В качестве примера можно привести партнерство компаний Huawei Technologies и Инфо-текс, результатом деятельности которых является сертифицированное ФСБ и ФСТЭК решение по построению защищенных сетей для финансовых организаций и банков.
ЭКСПЕРТНОЕ МНЕНИЕ
ИСПОЛЬЗОВАНИЕ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ В ФИНАНСОВОЙ СФЕРЕ
Алексей Ершов, менеджер по продукту ООО «МультиСофт Системз»
Нельзя не согласиться с утверждением, что предприятия финансовой сферы находятся в группе риска в отношении угроз информационной безопасности - на кону как активы клиентов, будь то крупные предприятия или частные лица, так и важнейший ресурс, накапливаемый годами кропотливой работы, - репутация!
Сегодня для того, чтобы минимизировать риски от угроз информационной безопасности (хищений, компрометации, наконец, навязывания), компаниям необходимо вести бизнес, ориентируясь на четкие стратегии защиты коммерческой тайны (актуальность проблемы только повышается со вступлением в силу требований 152-ФЗ). Для крупной компании это невозможно без введения специальных регламентов, описывающих все детали и принципы обработки информации. В таких случаях все возможные воздействия на информационную систему потенциального злоумышленника описываются в специальном документе, называемом моделью угроз. Базируясь на тезисах модели угроз в конкретной системе, выбираются средства защиты, обладающие теми или иными свойствами.
Одним из важнейших элементов системы защиты, регламентированных в соответствии с нынешним законодательством для многих крупных компаний, является подсистема идентификации пользователей и криптографической защиты электронного документооборота. В соответствии с внутренними распорядительными документами компании для защиты ЭДО может быть применено современное сертифицированное средство СКЗИ «MS_KEY K». В частности, устройство может применяться в совокупности с такими популярными системами защиты, как КриптоПро CSP 3.6 в качестве доверенного защищенного носителя ключевых контейнеров. СКЗИ «MS_KEY K» способно хранить до 10 контейнеров КриптоПро CSP 3.6, что расширяет возможную функциональность системы. В сочетании с визуальной идентификацией пользователей на СКЗИ «MS_KEY K» в форм-факторе смарт-карты устройство представляет собой мощное решение для крупных компаний, озабоченных уровнем своей безопасности. Впрочем, использование СКЗИ «MS_KEY K» в качестве хранилища ключевых контейнеров не умаляет и главной его особенности - возможности параллельно использовать принципы функционирования устройств с неизвлекаемым ключом квалифицированной электронной подписи.