Банки

ИБ: бездействие сейчас - катастрофа в будущем

Рисков избежать нельзя. Их надо минимизировать. Наверное, ни у кого из участников банковского рынка не вызывает сомнений, что обеспечение информационной безопасности (ИБ) финансово-кредитных организаций - чрезвычайно актуальная проблема, важность которой постоянно растет. Конечно, невозможно сделать работу банка абсолютно безопасной, в ходе банковской деятельности риски возникают ежедневно и даже ежечасно.
209 0

Наверное, ни у кого из участников банковского рынка не вызывает сомнений, что обеспечение информационной безопасности (ИБ) финансово-кредитных организаций - чрезвычайно актуальная проблема, важность которой постоянно растет. Конечно, невозможно сделать работу банка абсолютно безопасной, в ходе банковской деятельности риски возникают ежедневно и даже ежечасно. И какой из них на тот или иной момент станет самым «рискованным», предугадать сложно. Специалисты по информационной безопасности банков видят свою задачу в том, чтобы способствовать минимизации данных рисков, адекватной их оценке и прогнозированию.

Механизмы защиты не изменились

Принципы и подходы к защите информации, по мнению экспертов, практически не изменились за посткризисный период. «Изменился характер угроз, - говорит директор департамента информационных технологий ДжиИ Мани Банка Татьяна Архарова. - Рост популярности мобильного и интернет-банковского обслуживания привел к тому, что и среди злоумышленников данные объекты стали популярной целью для атак, соответственно, и фокус по защите сместился на интернет- и мобильные технологии. Также в связи с объективными финансовыми ограничениями был виден рост по использованию бесплатных общедоступных средств защиты информации».

Специалист по информационной безопасности Банка БКФ Сергей Гаврилюк отмечает, что все угрозы, связанные с утечкой и модификацией информации, с ее доступностью, делятся на два вида: внешние атаки (30%) и внутренние (инсайдерские) угрозы (70%).

Решения для защиты от внешних атак - это типовая архитектура сети с соблюдением требований ИБ Firewall, ДМЗ, закрытие уязвимых протоколов и другие типовые решения, позволяющие закрыть сеть. Среди решений для защиты от внутренних угроз эксперт называет разработку нормативной документации и соблюдение ее требований, контроль отчуждаемых устройств, контроль работы с Интернетом, криптографическую защиту, разграничение доступа в соответствии с ролями.

Директор департамента информационных технологий СДМ-Банка Олег Илюхин среди наиболее эффективных механизмов защиты информации отмечает следующие. Во-первых, это отключение внутренней сети организации от любого доступа в Интернет. Во-вторых, формирование ролей пользователей и строгое ограничение доступа для каждой из них. В-третьих, ограничение передвижения информации внутри банка (ограничение на копирование, в том числе на usb-flash, пересылку и т.п.). Это достаточно простые административные требования, говорит эксперт, но вместе с тем они самые действенные.

«Не существует стопроцентного средства для защиты информации, - уверена Татьяна Архарова (ДжиИ Мани Банк). -Любую проблему информационной безопасности невозможно решить исключительно техническим или организационным методом. Только комбинируя те или иные средства, можно добиться приемлемого снижения рисков информационной безопасности».

Решения по ИБ: дорого и сложно

В настоящее время на рынке очень много решений по защите информации. Банковские эксперты отмечают их чрезвычайное разнообразие, сложность и дороговизну.

«Каждый раз несколько новых предложений на любую угрозу, - говорит Сергей Гаврилюк (Банк БКФ). - При этом цены увеличиваются на 15% по сравнению с прошлым годом».

«Автоматизированных решений достаточно, - соглашается Олег Илюхин (СДМ-Банк). - Проблема в том, что они зачастую слишком навороченные, и организация не в силах их «переварить». К тому же автоматизированные решения – это не панацея, их должны сопровождать грамотные организационные меры, а с этим обычно бывают проблемы».

Рынок решений по информационной безопасности быстро растет, считает Татьяна Архарова. Эксперт ДжиИ Мани Банка полагает, что темпы роста будут возрастать в связи с повышением роли ИТ в целом на банковском рынке. При этом диапазон цен варьируется от нуля за бесплатные решения до миллионов долларов, например, за коммерческие системы управления доступом и учетными записями.

Спрос на решения по защите информации за последний год несколько увеличился. Финансовая организация выбирает то или иное приемлемое для себя решение и взаимодействует со своими партнерами-интеграторами по его внедрению.

По мнению Олега Илюхина, спрос на такие решения повышается в связи с ужесточением требований регуляторов, а также из-за постоянного роста количества инцидентов в области ИБ. И все же этот спрос не так велик по сравнению, например, с проектами автоматизации направлений бизнеса. «У подрядчиков часто выстраивается очередь на проекты длиной в год и больше, - говорит Олег Илюхин. - У вендоров ИБ, скорее, обратная ситуация: чаще как раз они ищут себе проекты и заказчиков».

Сергей Гаврилюк считает, что спрос на решения по ИБ не увеличился, а остался неизменным. Причины такой ситуации связаны с тем, что ИБ, по мнению руководителей банков, «не та задача, которая требует первоочередного внимания в посткризисный период». Решения для защиты информации приобретаются в большинстве случаев уже после того, как произошли те или иные нежелательные события в сфере ИБ.

Конечно, многое зависит от того, сколько средств выделяется на комплексные меры по защите информации. В крупных банках затраты адекватны необходимости. В мелких и средних финансово-кредитных организациях выделяемые на ИБ средства покрывают только «прожиточный минимум», считает Сергей Гаврилюк. «Уровень бюджета зависит от уровня понимания руководством проблем ИБ и от способности директора по ИБ идти до конца, убедить всех в необходимости изменений», - говорит Олег Илюхин. В целом эксперт считает, что бюджеты ИБ вполне адекватны.

Есть другая проблема, которая мешает более успешному развитию сферы ИБ в банках: неспособность менеджеров по ИТ и ИБ разговаривать на одном языке с руководством организации. По идее, топ-менеджмент банка должен понимать необходимость принятия превентивных мер. Но, к сожалению, такая ситуация является для банковского рынка, скорее, идеалом, чем нормой.

Кроме того, бывает очень сложно, а иногда и просто невозможно в денежном эквиваленте соотнести затраты на ИБ с вероятными финансовыми потерями в случае инцидентов.

Стандарты безопасности от ЦБ

Несмотря на все сложности, в настоящее время в банковском сообществе формируется тенденция к концентрации внимания на выстраивании и совершенствовании процессов управления информационной безопасностью. Отражением этого является одновременный процесс совершенствования стандартов ИБ. В частности, мы видим эволюцию вопросов управления информационной безопасностью в стандартах и рекомендациях Банка России. В период с 2004 по гон год были выпущены четыре редакции основного стандарта и ряд других документов, причем при непосредственном участии банковского сообщества. Более 8о% банков присоединилось к выполнению положений стандарта БР. Это означает, что финансово-кредитные организации фактически осознали необходимость построения системы менеджмента информационной безопасности с процессным подходом в этой области.

Можно пойти по наиболее простому пути совершенствования системы управления информационной безопасностью в финансово-кредитных организациях, говорит Олег Илюхин: «Берешь стандарт Банка России по информационной безопасности и улучшаешь систему управления». Стандарты содержат много важных и значимых положений, применение которых в повседневной деятельности позитивным образом скажется на ИБ. «И еще надо постоянно заниматься информационной безопасностью, - добавляет эксперт, - потому что простои сейчас может обернуться катастрофой в будущем».

Необходимо обязать все кредитные организации соблюдать стандарты Банка России по ИБ и в рамках этих стандартов конкретизировать меры по ИБ с точки зрения рекомендуемых решений, считает Сергей Гаврилюк.

«Система управления информационной безопасностью должна быть интегрирована в общие процессы по безопасности и по управлению операционными рисками», - уверена Татьяна Архарова. Только при выполнении этих условий система ИБ будет эффективной.

Эксперты отмечают, что многие банки все больше внимания уделяют вопросам сбора и анализа событий информационной безопасности. Кстати, стандарт Банка России содержит раздел, в котором отражены соответствующие задачи и вопросы.
Таким образом, налицо тот факт, что теория и практика в сфере обеспечения ИБ все больше сближаются друг с другом за счет повышения уровня осознания банками вопросов информационной безопасности.

Сергей БЫСТРИЦКИЙ, технический директор 000 «ЭКОН Технологии»

Все организации, выполняющие обработку персональных данных (ПДн) в своих информационных системах (ИС), являются операторами ПДн и должны обеспечить соответствие своих ИС требованиям ФЗ-152 «0 персональных данных» и нормативным документам регулирующих органов РФ.

При внедрении системы защиты персональных данных (СЗПДн) необходимо решить задачу внедрения в организации СЗПДн, удовлетворяющей требованиям регулирующих органов РФ, не нарушив работу бизнес-процессов и не снизив надежность, доступность и масштабируемость ИС. Мы предлагаем использовать для построения СЗПДн следующие сертифицированные средства защиты информации производства компании Check Point Security Gateway. Во-первых, межсетевое экранирование, которое является обязательным требованием для ИСПДн, имеющих подключение к публичным сетям общего пользования или взаимодействующих с другими ИС. Межсетевой экран Check Point Security Gateway сертифицирован по 3-му классу защищенности и может использоваться в ИСПДн любого класса (включая 1-ый).

Во-вторых, обнаружение/предупреждение вторжений. Система обнаружения вторжений (СОВ) является обязательной компонентой защиты ИСПДн, имеющих подключение к публичным сетям общего пользования. Шлюз безопасности Check Point Security Gateway имеет встроенный функционал предупреждения вторжений (IPS), комбинирующий как сигнатурные, так и поведенческие методы обнаружения атак. В-третьих, организация защищенных каналов связи. Оператор ПДн должен предусмотреть меры по защите данных, передаваемых по каналам связи между объектами производственной структуры организации. Шлюз безопасности Check Point Security Gateway обеспечивает возможность криптографической защиты данных, передаваемых между шлюзами безопасности объектов, с использованием российских алгоритмов шифрования.

Наконец, организация защищенного удаленного доступа пользователей. Стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» направлен на обеспечение достаточного уровня информационной безопасности организаций банковской системы и их активов (в том числе информационных).

Немаловажно, что последняя версия стандарта гармонизирована с требованиями федерального законодательства по персональным данным (ФЗ-152), что повышает эффективность и упрощает задачу по реализации данных требований в кредитных организациях. Кроме этого, внедрение данного стандарта обеспечивает частичное выполнение требований международного стандарта IS0/IEC 27001 в области информационной безопасности для создания, развития и поддержания системы менеджмента информационной безопасности.

Выполнение требований стандарта Банка России обеспечивает надежную защиту конфиденциальных данных, поэтому на данный момент СТО БР ИББС очень активно внедряется в кредитно-финансовых учреждениях России. 000 «ЭКОН Технологии» предлагает услуги по оценке соответствия и внедрению стандарта в кредитно-финансовых учреждениях. Полный комплекс работ по оценке соответствия и внедрению стандарта СТО БР ИББС-1.0-2010 включает следующие этапы. Во-первых, предварительная оценка соответствия. Она проводится для анализа текущего состояния системы ИБ и, в свою очередь, включает разработку и согласование плана проведения оценки соответствия; сбор свидетельств оценки на месте; расчет показателей, формирование свидетельств оценки соответствия; подготовку и утверждение заключения по результатам оценки. Во-вторых, разработка плана мероприятий по внедрению стандарта: составление перечня информационных активов, подлежащих защите в соответствии с требованиями СТО БР ИББС-1.0-2010; анализ актуальных рисков и угроз; разработка плана мероприятий по внедрению СТО БР ИББС-1.0-2010.

В-третьих, внедрение стандарта. И, наконец, итоговая оценка соответствия, которая проводится для подтверждения соответствия СЗИ требованиям стандарта. По результатам оценки выпускается документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России.

Начать дискуссию

Сотрудник банка отдохнул за границей и обогатился за счет клиентки на 29 млн рублей

Сотрудники управления экономической безопасности и противодействия коррупции МВД по Ростовской области выявили факт многомиллионного мошенничества в особо крупном размере сотрудником банковской организации.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Три главных изменения 2024 года для бухгалтера ВЭД

Продавцы из ЕАЭС начнут платить налоги в российскую казну, бизнес освободят от отчетности по мелким сделкам с зарубежными партнерами, а цифровые активы становятся обычным способом расчета.

Иллюстрация: Вера Ревина/Клерк.ру

Обязательную маркировку ювелирных изделий перенесут на 2025 год

Чтобы снизить нагрузку с Пробирной палаты, которая будет ставить клеймо на украшения, Минфин перенесет срок обязательной маркировки на 1 сентября 2025 года.

Лучшие спикеры, новый каждый день

С 1 мая запустят эксперимент по маркировке моторных масел

Для борьбы с контрафактом на рынке Минпромторгу предложили включить в эксперимент по маркировке не только моторные масла для автомобилей, но и свечи зажигания, детали подвески и рулевого управления.

Календарь вебинаров для бухгалтера в апреле 2024. Акцент на проверки

Вебинар — простой способ разобраться в любом важном для бухгалтера вопросе. «Клерк» приглашает на вебинары экспертов-практиков, которые понятно и с примерами разберут любую тему. Вы можете задавать спикеру вопросы и он ответит на них в прямом эфире.

Иллюстрация: freepik/freepik
Экспорт

Минпромторг сократит список экспортеров, которые могут получать транспортные субсидии

Изменения затронут только тех, кто занимается экспортом товаров из высокомаржинальных групп.

Опытом делятся эксперты-практики, без воды

С 01 апреля 2024 года порог беспошлинного ввоза товаров, возможно, вернется к уровню €200 евро

Но подготовка новых документов не началась.

УК РФ

Опасное производство 2 года работало без лицензии и получило доход 26 млн рублей

В Ставропольском крае перед судом предстанет обвиняемый в незаконном предпринимательстве с извлечением дохода на сумму более 26 млн рублей.

Обеспечительные меры при ВНП, предварительные обеспечительные меры + защитный лайфхак

Всегда ли налоговики могут наложить обеспечительные меры (арест) на имущество по результатам проверки?

Иллюстрация: Вера Ревина / Клерк.ру
4
61

Кто имеет право работать неполный день

Если у сотрудников есть основания для неполной занятости, работодатель должен установить удобный для работника график и снизить нагрузку.

Календарь вебинаров для бухгалтера в апреле 2024. Платные и бесплатные

Собрали для вас анонсы вебинаров на апрель 2024 года.

Каким числом выставлять счет-фактуру на аванс: бухгалтеры разбираются с формулировками в НК. «Ночной бухгалтер» № 1652

В телеграм-канале «Клерка» бухгалтеры спорили о том, какую дату указать в счет-фактуре на аванс — день получения аванса или любую из последующих пяти дней, которые даны на выставление документа. Истину нашли (вроде).

Иллюстрация: Вера Ревина/Клерк.ру
Миникурсы, текстовые и видеоинструкции для бухгалтеров
IT-компании

Яндекс запустил линейку нейросетей YandexGPT третьего поколения

Искусственный интеллект нового поколения лучше работает со сложными задачами. Бизнес может самостоятельно дообучить нейростеть.

39
Бесплатно с Архив документов

Сколько лет все-таки хранить кадровые документы? Мини-курс

Разбираемся в мини-курсе, какие типы хранения кадровых документов выделяют и какова продолжительность хранения кадровых документов.

Сколько лет все-таки хранить кадровые документы? Мини-курс
НДФЛ

В 2024 году ФНС разошлет уведомления на НДФЛ с процентов по вкладам за 2023 год

В 2024 году вкладчикам впервые необходимо будет уплатить НДФЛ с процентов от банковских вкладов за 2023 год.

Перерасчет имущественных налогов будут делать по-новому

Физлица будут направлять в ИФНС заявления на перерасчет налога на имущество, земельного и транспортного, к которому можно приложить документы, а можно и не прикладывать. Налоговики будут рассматривать это заявление 30 дней.

Как разработать эффективную программу обучения для новых сотрудников

Обучение персонала — сложный и многогранный процесс. Если проводить его правильно, он может стать ключевым инструментом для усиления корпоративной культуры, увеличения продуктивности и стимулирования мотивации сотрудников.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
5
38
УК РФ

Поиск бывшего гендира может вылиться в вымогательство

Сотрудники главного управления уголовного розыска МВД совместно с коллегами из Красноярского края задержали подозреваемых в серии вымогательств у бизнесменов.

⚡️Итоги дня: Ozon изменил расчет сбора, Дурова призвали внимательнее следить за Telegram, Камчатку трясет

Подготовили обзор главных событий дня. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Интересные материалы

Селлеры нарастили продажи на Ozon в 2,5 раза

Заметнее всего нарастили обороты предприниматели Дальневосточного федерального округа, которые торгуют на маркетплейсе Ozon. Они стали продавать почти в 5 раз больше товаров.