Спецпроекты

Безопасность Стратегия безопасности Пользователю

Информационная безопасность: как снизить банковские риски

Сегодня банки вынуждены сами защищаться от всевозможных рисков как криминального, так и не криминального характера, причем эта защита, разумеется, должна соответствовать требованиям регулятора. С распространением услуги интернет-банкинга ситуация только усугубилась. Как видно, победить в этой игре может только та финансовая организация, которая полностью оснащена с точки зрения информационной безопасности.

Сложность защиты информации в банковском секторе определяется не только огромными массивами обрабатываемых данных и изощренностью средств, применяемых злоумышленниками для доступа к ним. Она характеризуется еще и тем, что банки, являясь частью единой финансовой системы государства, должны соответствовать жестким требованиям безопасности, но реализацию этих требований государство полностью возложило на сами кредитные организации.

ИТ-инфраструктура крупного универсального банка включает до нескольких сотен информационных систем, каждая из которых может стать слабым звеном с точки зрения безопасности. Риски в банковской сфере высоки, разнообразны и связаны не только с криминалом, но и с потерей информации и оперированием недостоверными данными в результате технических сбоев или влияния человеческого фактора.

Именно поэтому в ряде банков создаются целые управления, единственная задача которых – обеспечение информационной безопасности. Ее решения требует комплексного подхода, который включает правовые, организационные, технические, кадровые и другие аспекты.

В прессу попадают случаи ограбления инкассаторов, но ни один грабитель не нанесет такой ущерб, на который способен злоумышленник, получивший доступ к чужим счетам, или инсайдер, "сливающий" конфиденциальную информацию конкурентам.

Скачок в интернет

Эти риски минимизируются защитой информационных систем банка от несанкционированного доступа. Требования к безопасности данных постоянно повышаются, причем случаются периоды скачкообразного роста, один из которых произошел относительно недавно и связан с активным развитием интернет-банкинга. Долгое время банки решали вопросы безопасности данных, не выходя за пределы собственной информационной сети (центрального офиса, филиалов, банкоматов). Затем был сделан первый шаг в интернет: появились программы "клиент-банк" для юридических лиц, доступ к которым был крайне ограничен. И, наконец, в один прекрасный момент финансовые организации оказались перед лицом новых значительных рисков, когда в интернет вышли фронт-офисные системы, обслуживающие физических лиц.

Дистанционное обслуживание должно быть простым и удобным для клиента, иначе эта услуга не станет массовой и не принесет банку ту прибыль, ради которой она вводилась. Оптимальный для клиента вариант – доступ на защищенную часть сайта банка с авторизацией по паролю, и банки сейчас успешно его реализуют. Но чем проще доступ к услуге, тем сложнее обеспечить безопасность данных и не допустить незаконных транзакций.

Читать далее

Сергей Березин: К банковской ИБ надо подходить комплексно

На вопросы CNews ответил Сергей Березин, менеджер по маркетингу BCC Group

CNews: Какими характеристиками с точки зрения ИБ должна обладать банковская инфраструктура, чтобы быть наименее подверженной рискам?

Сергей Березин: К вопросам ИБ, как и к любой другой безопасности, надо подходить комплексно. В целом, информационная безопасность – это как минимум на 60% продуманная система организационно-технических мероприятий, и лишь потом, в период реализации – разного рода ИТ-продукты по поддержке ИБ. Поэтому ошибочным будет мнение, что приема на работу опытного CIO или CSO будет вполне достаточно для решения вышеуказанных задач, и можно будет лишь средствами ИТ кардинально обезопасить банк от инцидентов ИБ. Однако, поскольку в этом материале мы рассматриваем именно ИТ-составляющую ИБ, постараюсь прокомментировать эту тему под данным углом зрения, хотя все равно придется обращаться к бизнес первопричинам.

Читать далее

Короткая ссылка