07 Апреля 2011 14:04 | 07 Апр 2011 14:04 | |

Поделиться

Информационная безопасность: как снизить банковские риски

страницы:   предыдущая   |   1    |   2   |   3    |  следующая

Ситуация, когда злоумышленник может получить доступ к чужому счету с любого компьютера без взлома специализированного клиентского ПО, без преодоления физических средств защиты типа токенов, говорит о доступности атакующих технологий и снижении их стоимости. При этом стоимость информационных систем возрастает.

Враг внутри

На стоимость ИС влияют и системы защиты от неправомерных действий собственных сотрудников, которые могут нанести ущерб множеством способов от компрометации клиентской базы до присвоения активов банка. Инсайдеры – настоящая головная боль для акционеров и служб безопасности, поскольку все средства разграничения доступа к электронным данным и к бумажным документам, защиты от копирования на диски и флэшки не работают на сто процентов. Существуют системы оперативного слежения за действиями сотрудников, но не придумана еще абсолютная техническая защита от изготовления лишней копии документа и выноса ее в кармане, фотографирования монитора на мобильный телефон или от непреднамеренного разглашения конфиденциальной информации в разговорах с коллегами. Эта часть задачи в основном ложится на плечи сотрудников служб безопасности и информационной безопасности банка.

ИТ со всех сторон

Также банки обязаны выполнять требования регуляторов, например, в части своевременного предоставления обязательной отчетности, защиты персональных данных, противодействия отмыванию средств и финансированию терроризма. Соответственно, необходимо поставить дорогостоящие специализированные системы, которые смогут на лету проводить мониторинг большого числа событий, реагировать на них и быстро формировать отчетность. Если эти требования не будут выполняться, организация имеет шансы пополнить список из более 1600 банков, чьи лицензии уже были отозваны ЦБ, в том числе и по указанным причинам.

Рынок предлагает большое число систем комплексной защиты информации (СЗКИ), но возникает проблема их сертификации. Системы защиты постоянно развиваются и совершенствуются в соответствии с новыми требованиями бизнеса, а сертификация их ФСТЭК и ФСБ России, естественно, отстает от этого процесса. Поэтому перед банками часто стоит выбор: использовать не новую, но сертифицированную систему, или приобрести систему без сертификата, но более эффективную и полностью отвечающую требованиям конкретного банка по функционалу и совместимости с имеющейся инфраструктурой. В этом случае банк вынужден начать долгую и дорогую процедуру сертификации СЗКИ, причем без гарантированного положительного результата.

Еще один аспект безопасности не связан с защитой от криминала и относится к обеспечению целостности и непротиворечивости данных. Для защиты банка от финансовых потерь данные должны правильно вводиться, доставляться без искажений, быть согласованными с другими данными и надежно храниться. При этом необходимо обеспечить полную прозрачность всех процессов движения данных с возможностью детализации до конкретного счета, клиента или сотрудника, ответственного за транзакцию. В большинстве случаев это реализуется созданием единого хранилища данных с дополнительными системами, отвечающими за контроль качества информации, а также внедрением автоматических процедур ее мониторинга, архивации и восстановления после сбоев.

Где искать защиту?

Обеспечение информационной безопасности, как правило, зависит от потребностей бизнеса, требований регулятора и существующей ИТ-инфраструктуры банка.

Защита данных начинается с аудита существующей ситуации и разработки общей концепции, политик и корпоративных стандартов управления информационной безопасностью. Цель этих мероприятий – создание системы обеспечения информационной безопасности. Стандарт Банка России СТО БР ИББС–1.0–2008 определяет ее как совокупность системы информационной безопасности (защитные меры, средства и процессы) и системы управления информационной безопасностью (часть системы управления банка, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ).

К созданию системы обеспечения информационной безопасности должны быть причастны не только служба ИБ, ИТ-служба, но и топ-менеджмент, юридическая служба и другие структуры. Связано это с многогранностью задач, требующих решения.

Поскольку обеспечение безопасности – это непрерывный процесс, то для него требуется непрерывный цикл мероприятий: планирование, реализация, проверка, действие (ПРПД), описанный в стандарте.

В ходе планирования в первую очередь определяются цели и масштаб СУИБ, оцениваются риски и предлагается план работы по их минимизации. Далее план создания СУИБ реализуется с учетом корректировок, принятых на стадиях проверки и действия. Поскольку этот цикл непрерывный, проверки могут проводиться в любое время и с любой периодичностью в зависимости от ситуации.

Результатом должна стать система информационной безопасности, покрывающая все основные классы угроз и соответствующая требованиям бизнеса, регулятора и ИТ. В состав системы ИБ могут входить следующие компоненты: подсистема управления ИБ; межсетевой экран; подсистема разграничения доступа к электронным ресурсам; подсистема защиты от вторжений, а также подсистема защиты внутренних сетевых ресурсов. Невозможно обойтись и без таких компонентов, как подсистема защиты web-ресурсов; антивирусная защита; контроль трафика и подсистема криптографической защиты информации. Не менее важными являются подсистемы защиты от физического доступа (PKI, защита от копирования…) и мониторинга средств защиты и отчетов безопасности.

Выбор конкретных продуктов зависит от ситуации. Наиболее известны комплексные и специализированные решения компаний ArcSight, Check Point, Cisco Systems, InfoWatch, Max Patrol, RSA, Websense, "Аладдин" и многих других.

Павел Притула / CNews

страницы:   предыдущая   |   1    |   2   |   3    |  следующая

Поделиться

Короткая ссылка