Банки

ИБ: бездействие сейчас - катастрофа в будущем

Рисков избежать нельзя. Их надо минимизировать. Наверное, ни у кого из участников банковского рынка не вызывает сомнений, что обеспечение информационной безопасности (ИБ) финансово-кредитных организаций - чрезвычайно актуальная проблема, важность которой постоянно растет. Конечно, невозможно сделать работу банка абсолютно безопасной, в ходе банковской деятельности риски возникают ежедневно и даже ежечасно.
209 0

Наверное, ни у кого из участников банковского рынка не вызывает сомнений, что обеспечение информационной безопасности (ИБ) финансово-кредитных организаций - чрезвычайно актуальная проблема, важность которой постоянно растет. Конечно, невозможно сделать работу банка абсолютно безопасной, в ходе банковской деятельности риски возникают ежедневно и даже ежечасно. И какой из них на тот или иной момент станет самым «рискованным», предугадать сложно. Специалисты по информационной безопасности банков видят свою задачу в том, чтобы способствовать минимизации данных рисков, адекватной их оценке и прогнозированию.

Механизмы защиты не изменились

Принципы и подходы к защите информации, по мнению экспертов, практически не изменились за посткризисный период. «Изменился характер угроз, - говорит директор департамента информационных технологий ДжиИ Мани Банка Татьяна Архарова. - Рост популярности мобильного и интернет-банковского обслуживания привел к тому, что и среди злоумышленников данные объекты стали популярной целью для атак, соответственно, и фокус по защите сместился на интернет- и мобильные технологии. Также в связи с объективными финансовыми ограничениями был виден рост по использованию бесплатных общедоступных средств защиты информации».

Специалист по информационной безопасности Банка БКФ Сергей Гаврилюк отмечает, что все угрозы, связанные с утечкой и модификацией информации, с ее доступностью, делятся на два вида: внешние атаки (30%) и внутренние (инсайдерские) угрозы (70%).

Решения для защиты от внешних атак - это типовая архитектура сети с соблюдением требований ИБ Firewall, ДМЗ, закрытие уязвимых протоколов и другие типовые решения, позволяющие закрыть сеть. Среди решений для защиты от внутренних угроз эксперт называет разработку нормативной документации и соблюдение ее требований, контроль отчуждаемых устройств, контроль работы с Интернетом, криптографическую защиту, разграничение доступа в соответствии с ролями.

Директор департамента информационных технологий СДМ-Банка Олег Илюхин среди наиболее эффективных механизмов защиты информации отмечает следующие. Во-первых, это отключение внутренней сети организации от любого доступа в Интернет. Во-вторых, формирование ролей пользователей и строгое ограничение доступа для каждой из них. В-третьих, ограничение передвижения информации внутри банка (ограничение на копирование, в том числе на usb-flash, пересылку и т.п.). Это достаточно простые административные требования, говорит эксперт, но вместе с тем они самые действенные.

«Не существует стопроцентного средства для защиты информации, - уверена Татьяна Архарова (ДжиИ Мани Банк). -Любую проблему информационной безопасности невозможно решить исключительно техническим или организационным методом. Только комбинируя те или иные средства, можно добиться приемлемого снижения рисков информационной безопасности».

Решения по ИБ: дорого и сложно

В настоящее время на рынке очень много решений по защите информации. Банковские эксперты отмечают их чрезвычайное разнообразие, сложность и дороговизну.

«Каждый раз несколько новых предложений на любую угрозу, - говорит Сергей Гаврилюк (Банк БКФ). - При этом цены увеличиваются на 15% по сравнению с прошлым годом».

«Автоматизированных решений достаточно, - соглашается Олег Илюхин (СДМ-Банк). - Проблема в том, что они зачастую слишком навороченные, и организация не в силах их «переварить». К тому же автоматизированные решения – это не панацея, их должны сопровождать грамотные организационные меры, а с этим обычно бывают проблемы».

Рынок решений по информационной безопасности быстро растет, считает Татьяна Архарова. Эксперт ДжиИ Мани Банка полагает, что темпы роста будут возрастать в связи с повышением роли ИТ в целом на банковском рынке. При этом диапазон цен варьируется от нуля за бесплатные решения до миллионов долларов, например, за коммерческие системы управления доступом и учетными записями.

Спрос на решения по защите информации за последний год несколько увеличился. Финансовая организация выбирает то или иное приемлемое для себя решение и взаимодействует со своими партнерами-интеграторами по его внедрению.

По мнению Олега Илюхина, спрос на такие решения повышается в связи с ужесточением требований регуляторов, а также из-за постоянного роста количества инцидентов в области ИБ. И все же этот спрос не так велик по сравнению, например, с проектами автоматизации направлений бизнеса. «У подрядчиков часто выстраивается очередь на проекты длиной в год и больше, - говорит Олег Илюхин. - У вендоров ИБ, скорее, обратная ситуация: чаще как раз они ищут себе проекты и заказчиков».

Сергей Гаврилюк считает, что спрос на решения по ИБ не увеличился, а остался неизменным. Причины такой ситуации связаны с тем, что ИБ, по мнению руководителей банков, «не та задача, которая требует первоочередного внимания в посткризисный период». Решения для защиты информации приобретаются в большинстве случаев уже после того, как произошли те или иные нежелательные события в сфере ИБ.

Конечно, многое зависит от того, сколько средств выделяется на комплексные меры по защите информации. В крупных банках затраты адекватны необходимости. В мелких и средних финансово-кредитных организациях выделяемые на ИБ средства покрывают только «прожиточный минимум», считает Сергей Гаврилюк. «Уровень бюджета зависит от уровня понимания руководством проблем ИБ и от способности директора по ИБ идти до конца, убедить всех в необходимости изменений», - говорит Олег Илюхин. В целом эксперт считает, что бюджеты ИБ вполне адекватны.

Есть другая проблема, которая мешает более успешному развитию сферы ИБ в банках: неспособность менеджеров по ИТ и ИБ разговаривать на одном языке с руководством организации. По идее, топ-менеджмент банка должен понимать необходимость принятия превентивных мер. Но, к сожалению, такая ситуация является для банковского рынка, скорее, идеалом, чем нормой.

Кроме того, бывает очень сложно, а иногда и просто невозможно в денежном эквиваленте соотнести затраты на ИБ с вероятными финансовыми потерями в случае инцидентов.

Стандарты безопасности от ЦБ

Несмотря на все сложности, в настоящее время в банковском сообществе формируется тенденция к концентрации внимания на выстраивании и совершенствовании процессов управления информационной безопасностью. Отражением этого является одновременный процесс совершенствования стандартов ИБ. В частности, мы видим эволюцию вопросов управления информационной безопасностью в стандартах и рекомендациях Банка России. В период с 2004 по гон год были выпущены четыре редакции основного стандарта и ряд других документов, причем при непосредственном участии банковского сообщества. Более 8о% банков присоединилось к выполнению положений стандарта БР. Это означает, что финансово-кредитные организации фактически осознали необходимость построения системы менеджмента информационной безопасности с процессным подходом в этой области.

Можно пойти по наиболее простому пути совершенствования системы управления информационной безопасностью в финансово-кредитных организациях, говорит Олег Илюхин: «Берешь стандарт Банка России по информационной безопасности и улучшаешь систему управления». Стандарты содержат много важных и значимых положений, применение которых в повседневной деятельности позитивным образом скажется на ИБ. «И еще надо постоянно заниматься информационной безопасностью, - добавляет эксперт, - потому что простои сейчас может обернуться катастрофой в будущем».

Необходимо обязать все кредитные организации соблюдать стандарты Банка России по ИБ и в рамках этих стандартов конкретизировать меры по ИБ с точки зрения рекомендуемых решений, считает Сергей Гаврилюк.

«Система управления информационной безопасностью должна быть интегрирована в общие процессы по безопасности и по управлению операционными рисками», - уверена Татьяна Архарова. Только при выполнении этих условий система ИБ будет эффективной.

Эксперты отмечают, что многие банки все больше внимания уделяют вопросам сбора и анализа событий информационной безопасности. Кстати, стандарт Банка России содержит раздел, в котором отражены соответствующие задачи и вопросы.
Таким образом, налицо тот факт, что теория и практика в сфере обеспечения ИБ все больше сближаются друг с другом за счет повышения уровня осознания банками вопросов информационной безопасности.

Сергей БЫСТРИЦКИЙ, технический директор 000 «ЭКОН Технологии»

Все организации, выполняющие обработку персональных данных (ПДн) в своих информационных системах (ИС), являются операторами ПДн и должны обеспечить соответствие своих ИС требованиям ФЗ-152 «0 персональных данных» и нормативным документам регулирующих органов РФ.

При внедрении системы защиты персональных данных (СЗПДн) необходимо решить задачу внедрения в организации СЗПДн, удовлетворяющей требованиям регулирующих органов РФ, не нарушив работу бизнес-процессов и не снизив надежность, доступность и масштабируемость ИС. Мы предлагаем использовать для построения СЗПДн следующие сертифицированные средства защиты информации производства компании Check Point Security Gateway. Во-первых, межсетевое экранирование, которое является обязательным требованием для ИСПДн, имеющих подключение к публичным сетям общего пользования или взаимодействующих с другими ИС. Межсетевой экран Check Point Security Gateway сертифицирован по 3-му классу защищенности и может использоваться в ИСПДн любого класса (включая 1-ый).

Во-вторых, обнаружение/предупреждение вторжений. Система обнаружения вторжений (СОВ) является обязательной компонентой защиты ИСПДн, имеющих подключение к публичным сетям общего пользования. Шлюз безопасности Check Point Security Gateway имеет встроенный функционал предупреждения вторжений (IPS), комбинирующий как сигнатурные, так и поведенческие методы обнаружения атак. В-третьих, организация защищенных каналов связи. Оператор ПДн должен предусмотреть меры по защите данных, передаваемых по каналам связи между объектами производственной структуры организации. Шлюз безопасности Check Point Security Gateway обеспечивает возможность криптографической защиты данных, передаваемых между шлюзами безопасности объектов, с использованием российских алгоритмов шифрования.

Наконец, организация защищенного удаленного доступа пользователей. Стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» направлен на обеспечение достаточного уровня информационной безопасности организаций банковской системы и их активов (в том числе информационных).

Немаловажно, что последняя версия стандарта гармонизирована с требованиями федерального законодательства по персональным данным (ФЗ-152), что повышает эффективность и упрощает задачу по реализации данных требований в кредитных организациях. Кроме этого, внедрение данного стандарта обеспечивает частичное выполнение требований международного стандарта IS0/IEC 27001 в области информационной безопасности для создания, развития и поддержания системы менеджмента информационной безопасности.

Выполнение требований стандарта Банка России обеспечивает надежную защиту конфиденциальных данных, поэтому на данный момент СТО БР ИББС очень активно внедряется в кредитно-финансовых учреждениях России. 000 «ЭКОН Технологии» предлагает услуги по оценке соответствия и внедрению стандарта в кредитно-финансовых учреждениях. Полный комплекс работ по оценке соответствия и внедрению стандарта СТО БР ИББС-1.0-2010 включает следующие этапы. Во-первых, предварительная оценка соответствия. Она проводится для анализа текущего состояния системы ИБ и, в свою очередь, включает разработку и согласование плана проведения оценки соответствия; сбор свидетельств оценки на месте; расчет показателей, формирование свидетельств оценки соответствия; подготовку и утверждение заключения по результатам оценки. Во-вторых, разработка плана мероприятий по внедрению стандарта: составление перечня информационных активов, подлежащих защите в соответствии с требованиями СТО БР ИББС-1.0-2010; анализ актуальных рисков и угроз; разработка плана мероприятий по внедрению СТО БР ИББС-1.0-2010.

В-третьих, внедрение стандарта. И, наконец, итоговая оценка соответствия, которая проводится для подтверждения соответствия СЗИ требованиям стандарта. По результатам оценки выпускается документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России.

Начать дискуссию

Как сделать возврат или зачет суммы излишне уплаченного налога в 2024: новая форма заявления 

Суммы налогов, которые излишне уплачены в составе ЕНП, по сути переплата в бюджет, они образуют на ЕНС положительного сальдо. Такую переплату можно вернуть на расчетный счет или зачесть в счет будущей задолженности, которая будет сформирована. 

Как сделать возврат или зачет суммы излишне уплаченного налога в 2024: новая форма заявления 
15

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Директора подразделения «Росатома» арестовали за взятку

Топ-менеджера структурного подразделения ГК «Росатом» заключили под стражу до 26 мая 2024 года. Его подозревают в получении взятки в особо крупном размере.

18

Фиктивная сотрудница, ничего не делая, за год «заработала» более 500 000 рублей

В Сочи направлено в суд уголовное дело о мошенничестве при трудоустройстве.

52
Лучшие спикеры, новый каждый день

Какие выплаты положены работнику при увольнении переводом

Если сотрудник увольняется переводом к другому работодателю, то никаких выходных пособий и компенсаций в ТК за это не предусмотрено.

24

😠 Если ИП на УСН «доходы» закроется в январе 2025 года, его вычет на взносы 1% просто сгорит. Бухгалтеры возмущены

Взносы ИП 1% за 2024 год налог по УСН за 2024 год не уменьшают. Они пойдут на уменьшение налога только за 2025 год. Если конечно там будет, что уменьшать.

24

Центробанк снова продлил ограничения на перевод средств за рубеж

Ограничения на денежные переводы за границу будут действовать еще 6 месяцев — до 30 сентября 2024 года.

31
Опытом делятся эксперты-практики, без воды

Как бизнесу снизить налоговую нагрузку: 5 законных способов

Каждая компания хочет получать больше прибыли и платить меньше налогов. Но чтобы сделать это законно, нужно знать, какими способами можно снизить налоговую нагрузку на бизнес. 

Как бизнесу снизить налоговую нагрузку: 5 законных способов
29

ФАС требует от Ozon объяснений по введению сбора в ПВЗ

Представители рынка электронной торговли направили в ФАС жалобу на Ozon, который установил сервисные сборы для владельцев пунктов выдачи заказов.

50

Тонкое искусство управления дедлайнами

Ежедневники, блокноты, календари, заметки в телефоне, стикеры, бумажечки и даже тыльная сторона ладони… Все это — инструменты, которые многие используют для фиксирования важных событий и дат. При таком управлении дедлайнами постоянная спешка, опоздания по срокам и недовольные клиенты — неизменные компаньоны. Далее расскажем, как от них избавиться.

Тонкое искусство управления дедлайнами
38

Предприниматели оформили рекордное число кредитов с плавающей ставкой

Число кредитов, процентная ставка которых привязана к ключевой, уже выросла почти до 50%. Бизнес уверен, что ЦБ снизит ключевую ставку, а вместе с ней сократятся проценты по займам.

45
УСН

ИП на УСН «доходы» не нужно заявление на зачет взносов 1%

Срок уплаты взносов ИП 1% с дохода свыше 300 тысяч рублей за 2023 год – 01.07.2024. Но можно не тянуть до последнего, а оплатить уже сейчас.

87

Chanel завершает свой бизнес в России

Компания Chanel решила полностью уйти с российского рынка. Ей могут грозить неустойки по договорам аренды, которые оценивают в десятки миллионов рублей.

134
Миникурсы, текстовые и видеоинструкции для бухгалтеров

Коротко, для чего нужен финансовый план? Как его создать

В малом бизнесе владелец может учитывать все финансовые движения в уме. Однако когда операции разрастаются, а их отслеживание становится сложным, приходит время заняться финансовым планированием.

Коротко, для чего нужен финансовый план? Как его создать
25
НДФЛ

Оплата вынужденного прогула облагается НДФЛ

Если увольнение сотрудника было признано незаконным и через суд он добился восстановления и оплаты вынужденного прогула, то такая оплата – это облагаемый НДФЛ доход.

45

❗ Компания может попасть на штраф, если при переходе на ЕНС переплату по одному налогу ФНС зачла в счет долга по другому

За неумышленную неуплату налога из-за занижения базы или иного неправильного исчисления предусмотрен штраф 20% от суммы налога (по п. 1 ст. 122 НК).

141

Сколько длится дело по субсидиарке? Что приводит к затягиванию суда

Длительность рассмотрения дела связана с разными факторами. Разберем, что приводит к затягиванию рассмотрения дела в суде

27

Объявления об онлайн-продаже табака могут заблокировать без решения суда

Чтобы заблокировать интернет-ресурс с информацией о дистанционной продаже табачной продукции, понадобится больше 3-х месяцев. Власти хотят ввести механизм внесудебной блокировки — такой же, какой сейчас действует в отношении алкоголя.

34

Почему не существует шутки, которая нравится всем? Проведем эксперимент

Маяковский считал, что театр — это не отображающее зеркало, а увеличительное стекло. Если продолжить эту мысль поэта, то юмор — это не отображающее зеркало и даже не увеличительное стекло.

Почему не существует шутки, которая нравится всем? Проведем эксперимент
318

Как обезопасить массовые выплаты внештатникам

Компании, которые сотрудничают с большим числом внештатников, проводят массовые выплаты со своего счета. Такие платежи могут нести риски с точки зрения ИФНС и банков. Рассказываем, в чем причины и как обезопасить переводы.

Как обезопасить массовые выплаты внештатникам
159

Интересные материалы

НДС

Уточнят нормы НК об НДС 0% при экспорте

Торгово-промышленная палата России (ТПП) предложила исключить двойное толкование норм о международной перевозке с точки зрения налогового законодательства.

194