Поделиться
Как охраняют банки? Секреты ИБ-спецов
Обеспечение ИБ в банках и страховых компаниях по всему миру давно перестало пониматься как затыкание очередной "дыры" в информационных системах. Наступила эра комплексных систем управления безопасностью на основе универсальных стандартов, например, ISO 27001, и специализированных отраслевых нормативных актов. Секреты и стратегии ИБ финансового сектора обсуждались в рамках круглого стола "Информационная безопасность банков и страховых компаний", проведенного CNews Conference.Это, в свою очередь, означает, что для высшего менеджмента компании перестал существовать технический вопрос информационной безопасности, а появился набор рисков и убытков от них, которыми надо управлять с целью минимизации. Так закончилась эра ИБ в банках и началась эпоха риск- менеджмента.
Как показывают авторы исследования развития риск-менеджмента, а также считают создатели СТО Банка России ИББС-1.0-2006, ИБ прочно стала компонентом операционных рисков. А учитывая возможность трансформации одних видов в другие, то и вовсе рисков, как таковых. А осуществлять комплексное управление ими гораздо дешевле, чем "зоопарком" не связанных между собой технических и программных средств.
Этапы развития риск-менеджмента
Журнал "Банковское обозрение", 2007
По мнению директора киевского центра технической поддержки "Доктор Веб" Алексея Гребенюка, основной тенденцией мирового рынка ИБ стало окончательное осознание компаниями зависимости их бизнеса от уровня защиты информации. "Наряду со стабильно высоким спросом на средства защиты от внешних угроз стремительно растет интерес к управлению безопасностью с учетом внутренних угроз", - считает он.
В итоге компания "Доктор Веб" проповедует стратегию "триады построения безопасных бизнес-процессов в банке". Первым пунктом стоит правильное распределение ролей, соответствующих им прав и полномочий, а также привилегий, связанных с контрольными функциями.
Во-вторых, любой процесс доступа к информационному ресурсу регламентируется исключительно ролью работника и соответствующим ей правам и полномочиям.
И, наконец, контрольные функции по исполнению действующего регламента возлагаются исключительно на специалистов (сотрудников подразделений ИТ и ИБ), которые действуют в рамках предоставленных им прав и привилегий.
В результате образуется следующая методология - абсолютно каждый бизнес-процесс на любом предприятии, включая банки, имеет составляющую безопасности, которую нельзя игнорировать.
Но возникает проблема реализации этого функционала и пересмотра подхода, когда программно технические меры ИБ рассматриваются как дополнение к существующим информационным процессам.
"Однако особенностью российского банковского мира ИБ является – с одной стороны зарегулированность со стороны государства, а с другой – несовершенство законодательства" - говорит Михаил Емельянников, заместитель коммерческого директора компании "Информзащита".
Он напомнил коллегам, что с 26 января 2007 года все банки и страховые компании, согласно закону "О персональных данных", стали операторами этих персональных данных. А с 1 января 2008 года большинство из них должны были уведомить об этом соответствующие инстанции. Почему они это не сделали?
Постановление правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" определило, что ФСБ России и ФСТЭК должны в трехмесячный срок (с момента выхода постановления) утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных положением.
Прошло 17 февраля 2008 года (дата принятия), потом 25 февраля (день опубликования), но акты и документы, которые ждут операторы и поставщики услуг, так и не появились…
Пока в данной ситуации банки и страховые компании ориентируется на собственное понимание вопроса и существующие нормы, например, стандарт ЦБ РФ в области ИБ, соответствовать которому очень трудно без внедрения систем мониторинга событий ИБ.
По словам Евгения Дружинина, ведущего системного инженера компании "Крок", финансовые компании зачастую имеют весьма сложную гетерогенную структуру. Проводить аудит ИБ, как внутренний, так и внешний - достаточно сложная задача без наличия средств автоматизированного выявления и расследования инцидентов ИБ. При этом управление ими обязательно должно базироваться на регулировании их жизненного цикла: автоматическая идентификация инцидентов в соответствии с результатами корреляции, его оценка и описание, наличие базы знаний по выходящим в него событиям, возможность его обработки: назначение, контроль выполнения действий, сохранение результатов реагирования, а также ведение базы.
Тенденции в развитии рынка SEIM
Источник: "Крок", 2008
Компания "Крок" предлагает решение подобных задач на основе единой системы мониторинга событий информационной безопасности (Security Event and Information Management) и единой системы выявления соответствия корпоративным политикам безопасности и лучшим мировым практикам.
Поделиться
Короткая ссылка
