Поделиться
Как охраняют банки? Секреты ИБ-спецов
Обеспечение ИБ в банках и страховых компаниях по всему миру давно перестало пониматься как затыкание очередной "дыры" в информационных системах. Наступила эра комплексных систем управления безопасностью на основе универсальных стандартов, например, ISO 27001, и специализированных отраслевых нормативных актов. Секреты и стратегии ИБ финансового сектора обсуждались в рамках круглого стола "Информационная безопасность банков и страховых компаний", проведенного CNews Conference.Юлий Демурджян: В ИБ нет панацеи, которая помогла бы решить все и сразу
На вопросы CNews ответил Юлий Демурджян, глава представительства компании Radware в РФ и СНГ.
CNews: Когда в России будут востребованы СМБ-решения по ИБ в банках?
Юлий Демурджян: СМБ-решения, как и любая другая технология ИБ, являются только лишь инструментом, существование и использование которого должно быть обусловлено четко выстроенной политикой ИБ. Политики, применительно к данному сегменту, должны определять различные аспекты защиты информации и обеспечение конфиденциальности данных банка и его клиентов, поддерживать соответствие законодательству, а также требованиям различных стандартов, как, например, ЦБ или BASEL II.
При развитии филиальной сети банков СМБ-решения в области ИБ играют большую роль не только в обеспечении защиты периметра, но и в роли звена, связывающего филиалы с центральным офисом и дата-центром банка с помощью технологий VPN. На рынке РФ представлены несколько производителей т.н. UTM-устройств (Unified Threat Management), которые позволяют наиболее эффективно обеспечить защиту периметра, предоставить сервисы anti-X (anti-spam, anti-virus, и т.д.). Данные решения пользуются популярностью уже сегодня, и темпы их внедрения будут возрастать по мере реализации банками необходимости в соответствии стандартам и в то же время снизить капиталовложения в инфраструктуру филиалов, а также оптимизировать операционные расходы.
CNews: Какие угрозы безопасности, на ваш взгляд, критичны для банков? Как с ними бороться?
Юлий Демурджян: Проблемы ИБ в банках затрагивают сразу несколько аспектов. Конечно же, защита данных банка и его клиентов, сохранение целостности и конфиденциальности информации являются очень важными задачами, которым приходится уделять внимание. Контроль над утечками информации, т.н. проблема инсайдеров - это источник головной боли для многих руководителей отделов ИБ. Сохранение конкурентоспособности банка во многом зависит от определенных наработок, ноу-хау которых хранится в секрете от конкурентов.
В РФ нечасто публикуется информация о проблемах в области ИБ, но на примере западных банков можно предполагать возможные последствия тех или иных ситуаций в нашей стране. Один из ярких примеров – продолжающийся скандал с продажей инсайдером одного из банков Люксембурга разведке Германии базы данных клиентов, с самыми негативными последствиями для банка, его учредителей, не говоря о клиентах, которые будут или могут быть обвинены в своих странах в уходе от налогообложения.
При обсуждении задач ИБ становится очевидным, что защита должна быть эффективной, и в то же время не влиять на бизнес-процессы организации и продуктивность, на доступность необходимой информации там и тогда, когда это необходимо, иначе через какое-то время защищать будет нечего. Политики ИБ и системы, помогающие их осуществлять и поддерживать, должны быть взаимосвязаны. Кроме того, они должны быть достаточно гибкими, чтобы вовремя и эффективно реагировать на изменения, например, в бизнес-процессах, системах, или же появление новых типов угроз информационной безопасности. Часть этих систем может обладать определенным уровнем "интеллекта", реагировать на угрозы или события автоматически. В свою очередь, существуют комплексы, отслеживающие определенные события в режиме реального времени и таким образом способные предотвратить некоторые нежелательные действия, особенно в области борьбы с инсайдерами. Но нет панацеи, которая помогла бы решить все и сразу. Задача руководителей отделов ИБ банков – это максимально эффективно защищать доверенную им инфраструктуру в рамках выделяемых бюджетов, размер которых зачастую зависит от понимания руководством организации потенциальных проблем, к которым могут привести те или иные сбои в функционировании систем и процессов ИБ.
К сожалению, не все банки на сегодняшний день серьезно относятся к проблемам ИБ. Периодически мы слышим комментарии, что если стоимость внедрения конкретного решения ИБ превышает сумму потенциального штрафа, то нет смысла использовать технологии, так как такая идея просто не пройдет через совет директоров. И, как гласит поговорка, пока гром не грянет…
Поделиться
Короткая ссылка
