Информационная безопасность и IT-ландшафт в банке: не жить друг без друга
Зайцев Виктор
заместитель директора
департамента информационных технологий (ОАО «Банк Москвы»)
«BIS Journal» № 1(20)/2016
Профилактика и разрешение возможных «конфликтов интересов», оптимизация взаимодействия
Проблема соотношения информационной безопасности и IT-технологий существует во всех отраслях, просто в банковском деле проявляется особенно остро. Как в силу угрозы прямого финансового ущерба, так и потому, что банки находятся под пристальным вниманием отраслевых государственных регулирующих органов — Банка России, ФСБ России, ФСТЭК России и Роскомнадзора. Кроме того, обеспечение информационной безопасности банков регулируется большой, быстро развивающейся нормативно-правовой базой, положения которой должны выполняться, чтобы деятельность банка была успешной.
ЕДИНСТВО И ПРОТИВОПОЛОЖНОСТЬ ИНТЕРЕСОВ
Суть рассматриваемой проблемы такова: функционирование и развитие IT-инфраструктуры, с одной стороны, и обеспечение информационной безопасности банка, с другой стороны, являются направлениями деятельности, задачи которых в чём-то полностью совпадают, но в чём-то разнятся до полной противоположности. Отсюда проистекают как возможные «конфликты интересов» подразделений, отвечающих за эти направления работы, так и способы их разрешения, формы налаживания эффективного взаимодействия.
Обеспечение информационной безопасности далеко не всегда помогает выполнять такие первостепенные требования бизнеса к IT-инфраструктуре, как высокая производительность и экономия ресурсов. Функциональные удобства и безопасность чаще всего не совпадают, а могут и прямо противоречить друг другу. 90% решений, связанных с внедрением средств информационной безопасности, входят в противоречие с интересами IT.
С точки зрения информационной безопасности самый лучший компьютер?—?не подключенный к интернету, или вообще к сети. Что, конечно же, неприемлемо для IT-специалиста, задача которого состоит в обеспечении максимальной доступности IT-сервсов организации с установленными бизнесом требованиями и SLA для сотрудников, контрагентов и клиентов.
В банках, как и в прочих организациях, возможны разные, даже полярные организационные решения взаимодействия подразделений, отвечающих за IT-инфраструктуру и за информационную безопасность. От равноправных полномочий до подчинения одного направления другому. В каждом организационном решении заложены возможности разных конфликтов интересов и, напротив, форм эффективного взаимодействия на пользу бизнес-процессам.
Начинать нужно с того, как выстроена должностная иерархия?—?каким образом соотносятся эти функции. Теоретически или нормативно этот вопрос пока не решён, единого мнения не выработано, и практика показывает наличие самых разных решений.
НЮАНСЫ СУБОРДИНАЦИИ
Первый возможный вариант?—?когда служба информационной безопасности находится «внутри» IT-подразделения, в подчинённом положении. В таком случае, естественно, конфликтов может быть минимум. Только аспекты информационной безопасности, по понятным причинам должностной субординации, чаще всего будут приноситься в жертву функциональному удобству IT-инфраструктуры.
Возможны и реально существуют другие организационные решения. Каждое, опять-таки, со своими плюсами и минусами. Пример такого другого решения?—?когда подразделение информационной безопасности оформлено «параллельно» IT, и курируется одним из первых лиц в руководстве банка. В случае, если подразделения информационной безопасности и IT занимают равное положение в организационной иерархии, их взаимодействие будет равноправным.
При организационной самостоятельности специалистам по информационной безопасности легче обосновывать своё видение задач и пути их решения, получать бюджет и прочие ресурсы. Это важно, поскольку не секрет: обеспечение информационной безопасности требует дополнительных расходов на IT-инфраструктуру. Для получения бюджета на нужды информационной безопасности должна быть оформлена аргументированная заявка, согласованная с IT-подразделением, поскольку, в случае выделения средств, решения предстоит внедрять совместно.
Когда структуры IT и информационной безопасности «параллельны», то обладают сопоставимыми полномочиями, на равных участвуют в выработке решений, формулируют свои доводы. В таком случае подразделение информационной безопасности может более эффективно выполнять одну из своих главных функций?—?контрольную. При отсутствии прямой зависимости от IT-подразделения легче проверять, насколько эффективно выполняются требования и рекомендации, как работают системы защиты информации.
Кроме описанных двух полярных решений возможны и смешанные, «гибридные»: например, информационная безопасность является организационным направлением общей безопасности. В таком случае, как это ни парадоксально может выглядеть, возрастает зависимость, хотя и не прямая, информационной безопасности от IT-подразделения.
Всегда нужно помнить, что информационная безопасность в отрыве от IT-ландшафта существовать не может. В современных условиях для эффективного обеспечения информационной безопасности необходимо глубоко вникать в IT-инженерию, в телекоммуникации и т.п. Как минимум?— знать?базовые вещи, что, в частности, позволяет говорить с IT-специалистами на одном языке.
РЕШЕНИЕ НЕРАЗРЕШИМОГО
Возможны самые разные формы эффективного, плодотворного сотрудничества, без которого некоторые вопросы решать намного труднее, а иногда и вообще невозможно. Например, чтобы убедительно объяснить руководству необходимость выделения ресурсов на те или иные решения, способствующие обеспечение безопасности, часто приходится привлекать специалистов IT-подразделения. Которые объясняют, почему недостаточно базовых средств защиты вроде логинов и паролей, которые находятся в их ведении, и необходимы дополнительные решения, и как их внедрение скажется на бизнес-процессах.
Можно привести много ситуаций, в которых при помощи средств IT-инженерии решаются вопросы информационной безопасности, практически не разрешимые другими путями. Значительные трудности возникают с некоторыми положениями федеральных законов. Нормативные требования не всегда можно буквально выполнить по разным причинам: из-за значительных затрат ресурсов, критического увеличения нагрузки на каналы передачи данных и т.п.
Например, федеральном законе «О персональных данных» №152-ФЗ от 27 июля 2006 года содержит требование шифровать по ГОСТу персональные данные клиентов в автоматизированных банковских системах и сервисах. И вот с какими проблемами довелось столкнуться при его выполнении.
Мало того, что шифрование сопряжено с дополнительной нагрузкой на вычислительные ресурсы оборудования?—?до 25–30%, в зависимости от алгоритма. Шифрование увеличивает количество передаваемой информации, и в часы пиковой нагрузки полоса доступа может оказаться недостаточно широкой. Далее, персональные данные часто используются при поиске информации в базах данных. А зашифровка отключит некоторые сервисы, например, механизмы индексирования по номеру телефона, фамилии, адресу проживания клиента. Но и не выполнять требования закона тоже нельзя.
ВЫХОД?—?КОМПЕНСАЦИОННЫЕ МЕРЫ
Каков же выход? В компенсационных мерах, которые позволяют решать задачи информационной безопасности средствами IT-инженерии. Компенсационные меры могут быть разнообразными. Это и разграничения доступа сотрудников к различным информационным ресурсам, и «тонкие» настройки антивирусной защиты, и использование специализированного оборудования и программного обеспечения, и внедрение автоматизированных систем информационной безопасности, —? антифрод-систем и т.п.
Возьмём, например, внедрение PCI DSS ?— стандарта международных платёжных систем VISA и MasterCard. В нём заданы нормы безопасности банковских карт, и, в частности, процессинга, защиты от технических сбоев и мошенничеств, хищений платёжных данных и средств. Казалось бы, это чисто стандарт информационной безопасности, но внедрять его необходимо рука об руку со специалистами процессинга.
Стандарт PCI DSS содержит очень много общих положений, даже его нынешняя, уже третья редакция. Есть нормы предоставления ряда видов информации в режиме онлайн, в считанные секунды, как в интернет-банкинге, посредством веб-сервисов?—?браузера и мобильных приложений. Эти потоки данных, задействованные в процессинге, —?об остатках средств на карточных счетах и т.д.,—?подпадают под PCI DSS.
Некоторые положения этого стандарта, если трактовать их буквально, «в лоб», на практике невыполнимы. Например, потребуется полное прекращение процессинга, приостановка его интеграции с внешними системами. Или же придётся использовать решения, которые потребуют таких затрат, которые и за десять лет не окупятся.
Например, стандарт PCI DSS требует документировать не только транзакции, но и другие действия пользователей, связанных с пластиковыми картами. Внедрение этого требования предполагает аудит баз данных и влечёт значительную нагрузку на вычислительные ресурсы сервера. Встаёт вопрос, как это сделать, не приостанавливая онлайн-операций и не привлекая значительных дополнительных ресурсов.
Было найдено инженерное решение задачи: вместо проведения аудита средствами СУБД задействовать техническую возможность специализированных программно-аппаратных комплексов. А именно анализировать информацию о транзакциях по параллельному трафику со SPAN-портов коммутатора, связанного с базой данных. Таким образом, в специализированной системе будет иметься вся информация об активности в базе данных, а при в случаях инцидентов возможно проводить расследование.
Подобные компенсационные меры, не нарушающие текущей работы банка, обслуживания клиентов, совместно разрабатываются профильными подразделениями банка. Приходится искать согласия: обозначить проблему, наметить пути решения, добиваться консенсуса. Важно иметь в штате банка, как со стороны информационной безопасности, так и со стороны IT, грамотных специалистов с расширенной подготовкой, готовых взаимодействовать со смежными подразделениями.
Золотое правило: до тех пор, пока не выработано консолидированное решение IT-служб и подразделения информационной безопасности, оно не внедряется. Хотя часто случается, что IT-инженеры и между собой-то договориться не могут, не то что со специалистами информационной безопасности. Тогда приходится апеллировать к решению руководства банка, но лишь в последнюю очередь, когда проработаны все возможные варианты.
НЕ ЖИТЬ ДРУГ БЕЗ ДРУГА
Эффективное взаимодействие обоюдовыгодно. Не только тем, что IT-инженеры могут помочь решить сложнейшие проблемы информационной безопасности. Эта зависимость взаимная: в современном мире любое высокотехнологическое решение неразрывно связано с информационной безопасностью. При старте бизнеса, начале нового проекта обязательно привлекаются и IT-инженеры, и специалисты информационной безопасности.
Есть немало негативных примеров, когда IT-решения внедрялись без предварительной проработки вопросов информационной безопасности. В таких случаях рано или поздно приходилось проводить полную переделку, надолго приостанавливать работу, серьёзно ограничивать функционал информационных систем и сервисов. Технологическая эффективность и безопасность решений должны закладываться в бизнес-процессы изначально, на этапе проектирования. Чтобы постараться по максимуму предупредить возможность переделок в дальнейшем.
Эффективность банковских бизнес-процессов, в том числе при запуске новых проектов, сервисов, является главными критерием успешного взаимодействия подразделений IT и информационной безопасности. Разработка и внедрение нововведений готовятся и сопровождаются слаженной работой подразделений IT и информационной безопасности.
С точки зрения IT достаточно просчитать необходимую производительность и затраты: нагрузку?—?количество клиентов, частоту и характер операций в единицу времени, стоимость транзакции и т.д. С точки зрения информационной безопасности необходимо управление рисками, для чего их нужно оценить. На основании определения рисков строится модель информационной безопасности, просчитываются варианты различных решений. Затем оцениваются затраты ресурсов на проведение организационных мер и внедрение технических средств, формируется и защищается бюджет.
Роль информационной безопасности особенно велика во взаимодействии банка с внешними контрагентами: государственными регуляторами, другими банками, платёжными системами, а также с клиентами при оказании дистанционных услуг. Потому что при этом вовне передаётся критически важная информация. Как сведения, составляющие банковскую тайну, так и платёжные данные, позволяющие распоряжаться денежными средствами на электронных счетах.
Зачастую при взаимодействии с внешними сервисами передача важнейшей информации осуществляется через интеренет, то есть среду которая по умолчанию нельзя считать доверенной средой. Эта среда за периметром не находится под управлением специалистов по IT и информационной безопасности банка. Напротив, там много участников, она может использоваться злоумышленниками.
Доверенного сектора интернета пока нет, и такую среду с точки зрения безопасности даже лучше считать враждебной. Персональные компьютеры и мобильные устройства клиента могут быть заражены вредоносными программами, служить элементами бот-сетей. Да и вероятность физического доступа злоумышленника к ним намного выше, чем к банковскому оборудованию. Вопросы информационной безопасности здесь являются ключевыми.
В РОЛИ «МИСТЕРА НЕЛЬЗЯ»
У каждого из специалистов банка, участвующих в разработке, внедрении и обслуживании бизнес-процессов, своя специальность и своя сфера ответственности. Так, функционал для мобильных приложений не может формироваться IT-специалистами без рекомендаций безопасности. А результате он упрощён, в отличие от веб-сервисов, шифрование осуществляется по определённым алгоритмам, устанавливаются расходные лимиты по суммам разных операций.
Программист должен писать код, реализовывать алгоритм. Сотрудник IT-инфраструктуры обязан обеспечить непрерывность бизнеса?—?доступность и работу сервиса, своевременное резервное копирование данных. В зоне ответственности информационной безопасности?—?поиск уязвимостей, их анализ, разработка рекомендаций для разработчиков функционала, алгоритмов и мер защиты от злоумышленников. У специалиста информационной безопасности есть специальные знания и доступ к специфической информации, которых нет у его коллег?—?сотрудников IT-подразделений, программистов. У каждого свой фронт работ.
Время от времени оказывается, что на рынок выводится или вот-вот будет выведен новый банковский высокотехнологичный продукт. Более удобный, недорогой и привлекательный для клиентов сервис, способный помочь расширить присутствие банка на рынке. Конечно, удобно: кнопку нажал, сразу деньги перевелись и на счёта получателя зачислены.
Информационная безопасность выступает стоп-фактором, поскольку с её точки зрения такие удобства?—?рай для злоумышленников. Чем более привлекателен сервис для клиента, тем больше несёт рисков, поскольку он удобнее и для злоумышленника. Информационная безопасность должна эти риски минимизировать, разработать меры и просчитать необходимые ресурсы. И аргументировано представить бизнесу: такие-то риски можно минимизировать до такой-то степени, сделать для этого надо то-то и то-то, вот что для этого нужно и вот сколько будет стоить.
Принимать итоговые решения о новых сервисах?—?полномочия бизнеса. Дело это нелёгкое: в современных организациях, тем более финансовых, точно определить вклад того или иного сервиса в общую прибыль бывает непросто. Тем более, прогнозируемую прибыльность, пока сервис ещё даже не разработан. Известно, что всякий новый сервис поначалу?—?одни затраты. Бизнес начинает строить финансовую модель, ведёт подсчёты: новый сервис увеличит объём услуг, количество клиентов на столько-то, при таких-то расценках общий доход за год выходит вот такой. Соотнося с затратами, окупаемость получается такая-то…
Как вдруг вмешивается информационная безопасность, заметно усложняя и ухудшая условия решения задачи: этого вообще делать нельзя, здесь возможности нового сервиса надо подрезать, а вот это можно, но нужны средства защиты, на которые потребуются дополнительные затраты. В разработке и продвижении новых сервисов руководитель подразделения информационной безопасности выступает в роли, которую на зарубежный манер окрестим «мистером Нельзя». А если «можно», то труднее, дороже и менее выгодно. Дискуссии ведутся долгие и горячие, но конечное решение должно оказываться взвешенным, максимально проработанным.
ПРЕДЕЛЫ ДОВЕРИЯ
Выработка решений бывает непростой, и понимание, что по-иному нельзя, приходит в итоге. В качестве примера можно привести внедрение внешних сервисов для защиты периметра от DDoS-атак. Представители IT-подразделения поначалу могут выражать сомнения, стоит ли овчинка выделки, указывали на некоторые неудобства, дополнительные заботы. Однако после некоторого времени эксплуатации им приходится убедиться: внешние сервисы избавили их от периодического шквала звонков с жалобами на то, что что-то не работает. Да и ответственность оказалась переложена на внешнюю организацию.
Немалое значение для плодотворного сотрудничества подразделений IT и информационной безопасности играет авторитет. Который формируется не в один момент, а по результатам многих успешных решений, которые подтвердили свою правильность. И, конечно, важно взаимное доверие, которое также вырабатывается постепенно, в ходе совместной работы, которая демонстрирует нужность и полезность друг для друга подразделений разного профиля.
Но есть вопросы, в которых необходима принципиальность. Особенно в случае инцидентов информационной безопасности, когда встаёт вопрос об ответственности. В общем виде разграничение выглядит так: сфера ответственности IT-подразделения?—?предотвращение и устранение технических сбоев, а информационной безопасности?—?защита конфиденциальной информации и сохранность денежных средств. Конфликт интересов возможен, например, в виде угрозы инсайда.
Информационная безопасность, среди прочих задач, следит, чтобы у возможных инсайдеров в организации не было возможности получить доступ к конфиденциальной информации или внедрить программное обеспечение, предназначенное для кражи паролей, изучения внутреннего устройства сети и т.п. А у кого есть все инструменты доступа практически к любой банковской информации, как не у собственного IT-подразделения? Кому легче несанкционированно её скопировать, передать вовне для использования в ущерб интересам банка и его клиентов?
Разве не существует угроз информационной безопасности со стороны «человеческого фактора», в особенности злоумышленников, не только внешних, но и внутренних Подобные задачи решает и общая безопасность, но приоритет в защите информационных ресурсов, несомненно, у информационной безопасности.
У подразделений и специалистов банков, отвечающих за IT-инфраструктуру и за информационную безопасность, безусловно, не только не совпадающие, но и смежные интересы. И, самое главное, одна и та же общая сверхзадача: поддержка эффективного банковского бизнеса. То есть обеспечение бесперебойной работы IT-инфраструктуры и клиентских сервисов. В идеале — предупреждая как технические сбои, так и инциденты, связанные с человеческим фактором. А в реальной жизни — сводя их к минимуму и оперативно ликвидируя последствия.
Источник: BIS-Journal http://www.ib-bank.ru/bis/