В банковской сфере произошла «переоценка» информационных ресурсов
Несмотря на наличие множества международных и внутренних стандартов безопасности, многие вопросы так и остались неурегулированными. Более того, рынок часто обгоняет «законотворчество». Это явление особенно характерно для российского банковского рынка. Проблема заключается в том, что когда законы «догоняют» экономические субъекты, последним приходится полностью перестраивать существующие информационные системы. Так, «разбирательство» с персональными данными растянулось на несколько лет и потребовало от банков значительных инвестиций.
Не сотвори себе кумира
Сохранность информации о клиентах является одной из наиболее важных задач кредитных организаций. Долгое время образцом для подражания в плане защиты от утечек конфиденциальной информации считалась швейцарская банковская система, которая свято хранила информацию о клиентах не только от инсайдерских атак, но и от государственных надзорных органов.
Но в последние годы выяснилось, что и швейцарская система не безгрешна и проблема обеспечения конфиденциальности информации существует повсеместно. Для пресечения мирового терроризма и противодействия отмыванию средств, полученных преступным путем, банки должны сотрудничать с правоохранительными органами. Однако понятно, что чем больше «порогов» проходит информация, тем больше вероятность ее утечки в «открытое пространство». Тем не менее именно банки являются формальными владельцами информации, а потому именно они должны обеспечивать ее сохранность. Задача это достаточно сложная. Но с уверенностью можно сказать, что одним из наиболее важных условий обеспечения защиты конфиденциальности информации является наличие четкой законодательной базы.
Российские банки тянутся к «звездам»
Российская экономика, и в частности – российская банковская система, стремится приблизиться к мировым стандартам качества. И потому при регулировании деятельности за основу часто берутся мировые стандарты качества. В том числе и стандарты качества по безопасности.
Так, руководитель управления информационной безопасности «Ренессанс Кредит» Александр Невский поясняет: «На мой взгляд, организация в своей работе должна руководствоваться и российскими, и международными стандартами. Соблюдение стандартов безопасности Центрального банка Российской Федерации – обязательное требование для нас как для российской компании. Также при планировании, построении, внедрении, оценке, анализе системы управления информационной безопасностью банка мы руководствуемся международными стандартами серии 2700х и уже успешно сертифицировали ряд бизнес-процессов».
И действительно, банк проводит целенаправленную работу по «подтягиванию» уровня безопасности до мировых стандартов качества. Как рассказал эксперт, в 2008 году «Ренессанс Кредит» стал вторым банком в России, сертифицированным по международному стандарту ISO / IEC 27001:2005*, и первым банком, сертифицированным Британским институтом стандартов (BSI). В 2008 году в банке были сертифицированы процессы технической поддержки пользователей, что очень важно, так как внутренние угрозы утечки информации – одни из наиболее опасных. А в сентябре 2009 года «Ренессанс Кредит» сертифицировал бизнес-процессы производства и обслуживания пластиковых карт в соответствии с международными стандартами ISO/IEC 27001:2005
В банке «ГЛОБЭКС» также сообщили, что имеют целый список международных стандартов, ГОСТов, федеральных законов, постановлений правительства, документов ФСТЭК, ФСБ. «В этом списке всегда можно что-нибудь подобрать как «соответствие современным требованиям». Мы руководствуемся в своей работе СТО БР ИББС, СТАНДАРТ ИСО/МЭК 27001, ФЗ-152, ФЗ-1 и другими федеральными законами, которым мы должны соответствовать», – поясняет Юрий Зиновьев, начальник управления безопасности банка «ГЛОБЭКС».
АКЦЕНТ
М.М. ГРУНТОВИЧ, к. ф.-м. н., руководитель обособленного подразделения ОКБ САПР в г. Пенза
Еще в законе 1997 года персональные данные присутствовали в перечне конфиденциальной информации и требовали обеспечения защиты наряду с другими видами информации ограниченного распространения. Однако они настолько не воспринимались всерьез, что от гражданина буквально по любому поводу стали требовать указать его ФИО, адрес, номер телефона, день рождения...
Смешно, да и только. Осталось только отдать «ключ от квартиры...». Конечно, это привело-таки к злоупотреблениям с ощутимыми последствиями.
Появление же ФЗ-152 и подзаконных актов было воспринято публикой как некое страшное наступление на свободу бизнеса. Ан нет же, не наступление, а «пугало», которое призвано было заставить одуматься и осознать, что не надо без необходимости «коллекционировать» персональные данные граждан. Да, возможно, сделано это было довольно жестко. Но если исходить из того, что персональные данные есть информация
ограниченного распространения, то вполне логично было и требования к их защите предъявлять такие же, как к информации ограниченного распространения.
К слову, в отличие от ФСТЭК специалисты ФСБ предложили требования к ИСПДн совершенно такие же, какие выставлялись ими к системам защиты конфиденциальной информации. Были перевыпущены прежние нормативные документы.
Серьезные операторы персональных данных всегда вели себя вполне взвешенно, соблюдая законодательство в области защиты информации, а потому привести свои системы в соответствие требованиями закона «О персональных данных» им не составило труда. Один из лидеров в этом смысле - банковское сообщество, которое и прежде выделялось на общем фоне пакетом стандартов, современным по своему содержанию, - на сей раз сформулировало в комплексе документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (Комплекс БР ИББС) свое видение вопроса, согласовав его с регуляторами и продемонстрировав то, как надо решать вопросы, не пугаясь «пугала», без слез и стенаний.
Зачем рвать на себе волосы, если можно просто двигаться в правильно выбранном направлении? Тем более что оно теперь подтверждено и ФЗ-152.
Защитить то, не зная что
Понятие «конфиденциальная информация» в российском законодательстве имеет достаточно расплывчатое определение. По этой причине при организации деятельности у субъектов могут возникать проблемы с трактовкой и применением установленных нормативов.
Основополагающим законом в области защиты информации является Федеральный закон «Об информации, информатизации и защите информации». В нем определены основные понятия и принципы защиты информационных ресурсов: их сбор, хранение, накопление, распространение и прочее. В этом законе, в частности, определено, что конфиденциальная информация – это документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. Если обобщить приведенную в нормативном документе классификацию, то получается, что категория «конфиденциальная информация» объединяет все виды защищаемой информации (тайн). Это относится и к государственным, и к негосударственным информационным ресурсам. Стоит отметить, что есть еще особая категория информации – персональные данные о гражданах. Она формально относится к категории конфиденциальной информации, но регламентируется специальным законом ФЗ №152, ставшим за последние два года одним из самых популярных среди профучастников.
Закон, который перевернул все с ног на голову
Отсутствие четких принципов построения системы защиты конфиденциальной информации заставило банки за последние два года проделать титаническую работу. Им пришлось пересмотреть все используемые в банке средства безопасности и выделить из общего массива информации персональные данные.
Как уже отмечалось, персональные данные относятся к категории конфиденциальной информации, однако регулируются специальным законом. Новый закон вызвал достаточно много нареканий со стороны профучастников (как банковского сектора, так и других экономических субъектов), так как в первозданном варианте (до смягчения нормативов) потребовал от банков миллионных инвестиций.
Банкиры для смягчения требований, в частности, указывали разработчикам на то, что в банковском секторе эффективная защита информации изначально была одним из определяющих моментов, а банковская тайна и ранее включала персональные данные клиентов – физических лиц.
В этой связи президент Ассоциации российских банков Гарегин Тосунян предлагал: «В закон нужно внести изменения, в соответствии с которыми персональные данные должны защищаться в различных режимах в зависимости от того, включена ли эта информация в состав банковской или иной профессиональной тайны. Если же специального режима не установлено, то к персональным данным должны предъявляться общие требования. Это позволит избежать противоречий между требованиями к безопасности в существующих режимах конфиденциальности и к персональным данным, так как выделить персональные данные из цельной информационной системы в большинстве случаев практически невозможно».
В результате банкирам удалось добиться определенных послаблений. Однако систему безопасности так или иначе пришлось «перелопатить».
Александр Невский рассказал о том, как в банке «Ренессанс Кредит» систему безопасности приводили в соответствие требованиям ФЗ №152. «Закон «О персональных данных» и смежные документы определяют четкие требования к защите персональных данных. Нам потребовалось реализовать и обеспечить соблюдение этих требований. Система защиты конфиденциальной информации – например, коммерческой и банковской тайн, – регулируемая другими законами Российской Федерации, не претерпела существенных изменений», – рассказал спикер.
Конечно, все эти изменения потребовали от банков значительных инвестиций. Особенностью российского бизнеса является то, что закон отстает от бизнес-процессов. И не исключено, что системы защиты персональных данных окажутся далеко не единственным звеном, которое, по мнению регуляторов, потребует существенных доработок.
Особенности банковского «перевода»
Как уже отмечалось, системы защиты персональных данных регламентируются специальным законом. Остальной массив информации, классифицирующейся как конфиденциальная, функционирует совершенно по другим принципам. И понятно, что специфика деятельности кредитных организаций накладывает особые отпечаток на применение законодательных норм. Так, в банках разрабатывают собственные системы классификации и категоризации конфиденциальной информации.
Юрий Зиновьев рассказал, как трактуется понятие «конфиденциальная информация» в банке «ГЛОБЭКС»: «Согласно внутренним нормативным документам банка, к конфиденциальной информации отнесены банковская, коммерческая тайна и персональные данные».
В банке «Ренессанс Кредит» придерживаются аналогичного принципа. «К конфиденциальной информации мы относим данные, которые представляют для банка действительную или потенциальную ценность, а также данные, использование которых регулируется законодательством Российской Федерации. В России несколько десятков видов тайн, но для банка в первую очередь актуальным является установление режима коммерческой тайны, обеспечение банковской тайны и защита персональных данных клиентов и сотрудников банка», – рассказал Александр Невский.
В «Концепции информационной безопасности Морского акционерного банка» понятие конфиденциальности определено как «свойство информации, указывающее на необходимость введения ограничений на круг лиц, имеющих доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию».
Таким образом, несмотря на существующий «плюрализм мнений» в данном вопросе, банкам удалось выработать единый подход.
На первый-второй рассчитайся
Особо стоит отметить, что в статье 21 Закона об информации определяется режим защиты информации. Принципиальным здесь является положение, что режим защиты конфиденциальной информации определяет ее собственник, то есть соответствующий орган государственной власти или управления, организация, учреждение, предприятие. Поэтому банки самостоятельно производят классификацию, ориентируясь на существующие федеральные законы и внутриотраслевые регламенты. Для создания четкой взаимосвязанной системы банки осуществляют ранжирование конфиденциальной информации.
Александр Невский пояснил: «Ранжирование (классификация) конфиденциальной информации определяется обладателем конфиденциальной информации. Возможны различные варианты, обусловленные спецификой деятельности той или иной организации. В банке принят подход, согласно которому информация, не попадающая в категории коммерческой тайны, персональных данных или банковской тайны, может быть классифицирована как конфиденциальная или для внутреннего пользования. В целом классификация конфиденциальной информации – один из базовых процессов, и он лежит в основе экономического обоснования и последующего выбора средств и мер защиты информации организации. Благодаря ранжированию мы определяем характеристики данных, обеспечиваем их группирование в логические, управляемые категории. При успешной реализации процесса классификации конфиденциальной информации снижаются неоправданные затраты в области информационной безопасности организации, а бизнес-требования и процессы соотносятся с требованиями информационной безопасности».
Юрий Зиновьев также подтвердил, что классификация информации является обязательной операцией, так как позволяет существенно повысить эффективность мероприятий. «В банке существует ограниченное количество информационных систем, в которых обрабатываются огромные объемы информации. Вся эта информация разбита на категории. Определение категории, уровня доступа и ответственности за использование информационных ресурсов внутренним положением возложено на руководителя структурного подразделения. Управление безопасности контролирует информационные потоки и соответствие запрошенных ресурсов должностным обязанностям. Кроме того, анализ информационных потоков позволяет определять критичные направления для активирования деятельности отдела информационной безопасности. Они определяют степень необходимой защиты», – рассказывает эксперт банка «ГЛОБЭКС».
В одной из существующих классификаций по степени секретности конфиденциальную информацию разбивают на:
абсолютно конфиденциальную, содержащую секретные сведения, разглашение которых способно нанести ущерб стратегического характера;
строго конфиденциальную, содержащую совершенно секретные сведения;
конфиденциальную, содержащую секретные сведения;
для служебного пользования, содержащую наименее секретные сведения, не предназначенные лишь для открытой печати.
Однако в связи с тем, что российская банковская система в последние годы развивалась очень стремительно, структура интеграции ИТ-систем бывает очень запутанной и сложной. Поэтому даже после проведения классификации разграничить доступ и обеспечить необходимую защиту специалистам бывает очень сложно. По этой причине система безопасности в российских банках подчас имеет гораздо более сложную структуру, чем у западных коллег.
Секреты стоят дорого
Как уже отмечалось, в зависимости от степени критичности информации выбираются средства ее защиты. При этом цена в системах защиты различных категорий конфиденциальной информации может отличаться в разы.
Александр Невский констатирует: «Выбор механизмов и средств защиты информации определяется исходя из анализа рисков: чем выше степень критичности защищаемой информации, тем, как правило, больше денег готова тратить организация на обеспечение ее защиты. Кроме того, для разных категорий информации и на разных этапах ее жизненного цикла применяются разные механизмы защиты, такие как шифрование или идентификация и аутентификация пользователей».
Юрий Зиновьев также делится своим опытом: «Отличаться могут существенно, начиная с организационных мер и заканчивая специально оборудованными помещениями. Внутри этого диапазона – программные, аппаратные средства защиты, комбинированные и далее акустика, ПЭМИН и т. д».
Поэтому точная классификация конфиденциальной информации и подбор оптимальных средств защиты являются залогом не только успешного внедрения ИТ-систем, но и существенной экономии.
АКЦЕНТ
Константин СОКОЛОВ, директор департамента информационной безопасности АМТ-ГРУП
Статистически наибольшее количество атак производится из внешних сетей, в первую очередь - из сети Интернет, однако если исключить атаки типа DDoS, самыми критичными являются действия инсайдеров. В результате кризисной демо-тивации персонала и резкого падения лояльности в последние два года участились преднамеренные утечки информации, возросли риски, обусловленные небрежностью работников.
И хотя построенные с учетом требований стандартов СТО БР, PCI DSS, ISO 27001 информационные системы обычно устойчивы к действиям инсайдеров, множественные ошибки и вредоносные действия персонала могут привести к необходимости увеличения OPEX на поддержание режима ИБ и модернизации системы обеспечения ИБ.
Заново оценить риски массовых нарушений можно с помощью средств контроля действий персонала в информационных системах и сетевой активности пользователей, в том числе во внешней среде. Из угроз от внешних источников наиболее массовыми и вредоносными являются атаки на публичные сервисы кредитных организаций. Данные атаки в большинстве своем имеют компонент DDoS (распределенная атака на отказ в обслуживании). Атаки типа DDoS, по сути своей являющиеся атаками на инфраструктуру, наиболее критичны для приложений, суть которых -предоставление банковских сервисов через публичные сети.
В первую очередь это системы мобильного и интернет-банкинга. Такие атаки злоумышленники применяют не только для того, чтобы прекратить предоставление того или иного сервиса. Для них это также способ отвлечь внимание персонала, отвечающего за безопасность, от проводимой в то же время попытки проникновения, использующей уязвимости доступных из Интернета ресурсов.
Для борьбы с такими атаками можно приобрести специализированное оборудование или сервис по очистке трафика. И хотя мощность и нацеленность атак все время возрастают, риски, связанные с недоступностью банковских сервисов через общедоступные сети, можно свести к необходимому минимуму.
Чужой среди своих
Достаточно давно ведется спор о том, какие угрозы – внешние или внутренние – представляют наибольшую опасность для банка.
По мнению экспертов Морского банка, внутренние угрозы могут представлять наибольшую опасность. В этом случае угрозы объектам информационной безопасности проявляются в виде разглашения конфиденциальной информации, утечки конфиденциальной информации через технические средства различного назначения, несанкционированного доступа к охраняемым информационным ресурсам, несанкционированного уничтожения и модификации информационных ресурсов, нарушения работы автоматизированных систем и сетей.
Александр Невский согласен с мнением коллег по цеху: «Общее мнение таково, что атаки преимущественно исходят от внутренних источников. При этом в отличие от внешних атак внутренние не всегда являются результатом злого умысла сотрудников. В компаниях проблемы могут быть вызваны недостаточной информированностью о требованиях, правилах и политиках информационной безопасности. Вместе с тем внешние атаки также вовсе не являются мифом, они вполне реальны и оказывают более разрушительное воздействие на информацию и информационные ресурсы организации».
При этом, по наблюдениям Юрия Зиновьева, наибольшим спросом у злоумышленников пользуется информация, относящаяся к коммерческой тайне, реже – к банковской тайне. «В основном опасность исходит от немотивированности персонала, а отсюда поиск новой работы, формирование профессионального багажа, хищение нормативного определения новых банковских продуктов. При этом у банка появляется реальный шанс проиграть в конкурентной борьбе», – поясняет спикер.
Александр Невский также отмечает, что часто атакам подвергаются и персональные данные клиентов и сотрудников. «Например, к самым частым нарушениям можно отнести сообщение пользователями друг другу паролей доступа к компьютеру или информационным системам компаний», – констатирует эксперт.
Утечка любой информации, коммерческой тайны или персональных данных клиентов может обернуться для банка серьезными проблемами. А потому службе безопасности приходится вести планомерную работу во всех направлениях. Как известно, где тонко, там и рвется. А такого в условиях бурного роста рынка и технического прогресса допустить нельзя.
Информационная культура
На опасность внутренних нарушений банкирам неоднократно указывал Центральный банк. Регулятор, предложив банковскому сообществу Стандарт по безопасности, указал на то, что можно внедрить самые современные и дорогие системы безопасности, однако если при этом не соблюдать правила эксплуатации и внутренние регламенты, их эффективность окажется на нуле.
«Наиболее важным, с нашей точки зрения, является построение легко контролируемой, измеряемой, а также прозрачной для менеджмента системы управления информационной безопасностью. Технические средства и механизмы контроля – лишь инструменты, которые позволяют минимизировать риски», – согласился с регулятором Александр Невский.
Приблизительно такой же позиции придерживаются и в банке «ГЛОБЭКС». «С нашей точки зрения, это корпоративная культура в области информационной безопасности, т.е. регламентирование деятельности, а далее – техническое обеспечение и контроль деятельности с помощью программно-технических средств», – заключил Юрий Зиновьев.
Сейчас большинство банков уже внедрили Стандарт Банка России. Однако некоторые не останавливаются на «стандартных» требованиях и разрабатывают внутренние нормативы. Так, в самарском банке «Приоритет» сохранение конфиденциальности информации стало одним из пунктов кодекса профессиональной этики. «Сотрудник банка должен соблюдать конфиденциальность информации, полученной в процессе предоставления профессиональных услуг, и не использовать или раскрывать такую информацию без надлежащих и конкретных на то полномочий, за исключением случаев, когда раскрытие такой информации продиктовано его профессиональными или юридическими правами или обязанностями», – сообщается в документе.
Возможно, четкий надзор со стороны регуляторов и личная инициатива банкиров по защите конфиденциальной информации повысят защищенность клиентов. Но при построении системы безопасности, как и в любом деле, важно не перегнуть палку. Иначе глобальные внедрения могут обернуться масштабными утечками. Информационная культура требуется не только от исполнителей, но и от надзирательных органов.
АКЦЕНТ
STONESOFT: СЕРТИФИКАЦИЯ «ОПТОМ», А НЕ «ШТУЧНО»
Екатерина ЯБЛОКОВА, заместитель директора по развитию бизнеса Stonesoft в России, СНГ и странах Балтии
Хотя формально для защиты конфиденциальной информации нет обязательного требования по сертификации средств защиты, на практике в основном применяются именно сертифицированные средства. Однако здесь очень тяжело достигнуть баланса между, с одной стороны, формальным соответствием требованиям нормативных документов, а с другой - функциональностью, производительностью, удобством работы и обеспечением защиты от реальных угроз. Кроме того, почти все современные банковские системы подключены к сети Интернет, и обеспечение их защиты в полном соответствии с требованиями нормативных документов -очень непростая задача.
Существует много вопросов по защите в виртуальной среде, по обеспечению целостности и доступности, нарушение которых для информационных систем финансовых организаций в отдельных случаях может превысить ущерб от нарушения конфиденциальности. Часто возникает ситуация, что средства защиты иностранного производства, которые хотелось бы использовать заказчику, нельзя применять, поскольку они не сертифицированы или сертифицированы только партиями. Чем плоха схема сертификации партиями для заказчика на практике? Это дополнительные расходы не только на саму сертификацию или закупку сертифицированной версии, но и траты на проведение процедур инспекционного контроля после выхода каждой новой версии продукта, а значит - деньги, силы и время… В августе 2010 года компания Stonesoft завершает процесс сертификации всех своих решений по требованиям безопасности информации ФСТЭК России по схеме сертификации производства, что позволит эффективно решить проблему перехода на новые версии продуктов.
Межсетевой экран StoneGate Firewall будет сертифицирован по 2-му классу защищенности для межсетевых экранов, система предотвращения вторжений StoneGate IPS и шлюз защиты удаленного доступа StoneGate SSL - по 3-му классу. Все продукты, включая версии для защиты в виртуальной среде, будут сертифицированы по 4-му уровню контроля НДВ. Кроме того, в продуктах StoneGate Firewall и StoneGate SSL встроена поддержка сертифицированных криптографических продуктов Крипто Про. В настоящее время также ведутся работы по обеспечению сертификации обоих продуктов в системе сертификации ФСБ России. Таким образом, функциональные и производительные решения по сетевой защите StoneGate можно применять для защиты конфиденциальной информации и информационных систем персональных данных до класса K1 включительно.
Начать дискуссию