Центральный Банк, главный российский регулятор в финансовой сфере выпустил стандарт по информационной безопасности. Документ, который имеет пока лишь рекомендательный характер, призван помочь кредитным организациям выстроить свои системы информационный бе
Банки любой страны уделяют пристальное внимание вопросам информационной безопасности. Россия не исключение. Но, в отличие от зарубежных коллег, отечественные банкиры имеют гораздо больше забот. Несмотря на большое количество кредитных организаций, банковская система в России находится на стадии становления. Поэтому отсутствуют общие методики и принципы построения систем информационной защиты. Каждый банк по-своему создает комплексы предотвращения вторжений, перекрывает каналы утечек данных, но нередко допускает ошибки. Как результат, электронная безопасность в российских финансовых институтах оставляет желать лучшего. Центральный Банк России взялся решить проблему и подготовил единый стандарт по информационной безопасности СТО БР ИББС.
Стандарт опирается на ряд отечественных и международных нормативов в области безопасности и управления качеством. ГОСТ 34.601-90, ГОСТ Р ИСО/МЭК 15408-1ч3-2002, ГОСТ Р ИСО 9001-2001, ISO/IEC IS 13335-1ч2, ISO TR 13569, ISO/IEC TR 18028-1ч5, ISO/IEC TR 18043, ISO/IEC TR 18044-2004, ISO/IEC IS 27001-2005 и пр. Большинство перечисленных стандартов иностранные. Это не удивительно, ведь зарубежные эксперты накопили несравнимо больший опыт и в банковской сфере в целом, и в области управления качеством, и в вопросах информационной безопасности.
Банковские угрозы
Банки постоянно подвергаются широкому спектру угроз, каждая из которых несет убытки различной степени тяжести. По данным Deloitte Touche Tohmatsu, одной из крупнейших в мире аудиторских компаний, в 2006 году от утечек информации пострадали 100% канадских банков. Разумеется, наибольшую опасность для банков представляют инсайдеры. Поэтому службам информационной безопасности следует обращать особое внимание на использование различных мобильных носителей, USB-устройств. Эксперты компании Perimetrix считают, что можно существенно затруднить деятельность инсайдеров, даже если просто классифицировать информацию и строго разделить права доступа сотрудников в банковских сетях. Кроме того, полезно записывать и хранить все обращения к конфиденциальным сведениям. В некоторых случаях приходится использовать профессиональные комплексы защиты от утечек. Подобная мера требует солидных средств, но она чрезвычайно эффективная.
Внешние атаки тоже опасны, хоть и уступают внутренним угрозам по масштабу вероятных убытков. Поскольку периметр банковской безопасности обычно хорошо укреплен, то даже опытные хакеры оказываются бессильны. Поэтому злоумышленники атакуют более уязвимые компьютеры клиентов. Создаются даже специальные «троянские кони» для пользователей электронных систем отдельных банков. Их описания можно найти в «Вирусной энциклопедии» на портале Viruslist.com.
Иногда хакеры действуют совместно с инсайдерами. Сначала внедренные в банки сотрудники получают доступ к базе данных клиентов, а затем потенциальным жертвам рассылают шпионские модули. Кроме того, злоумышленники могут применять технологию фишинга, когда пользователя заманивают на страницу, где необходимо ввести логин и пароль для доступа к электронной системе. Внешне все похоже на настоящий сайт банка, но в действительности посетитель передает свои учетные данные владельцу домена.
Еще одно слабое звено во взаимоотношениях банков с клиентами — пластиковые карты. Утечки информации о дебетовых и кредитных карточках происходят с пугающей регулярностью. Временами обнаруживаются и огромные бреши. В начале 2007 года TJX Companies потеряла данные свыше 40 млн. клиентов. Раздобыть номер и ПИН-код карточки нетрудно. В Internet функционирует достаточно ресурсов, где можно приобрести выборку подобных сведений. В Сети же можно и воспользоваться полученными виртуальными кредитками. Многочисленные онлайн-магазины с удовольствием снимут с карточки «энную» сумму за свой товар.
Если говорить о качественном соотношении угроз, можно обратиться к данным компании InfoWatch за 2007 год. Наибольшую опасность представляют внутренние факторы — кража информации (64%) и халатность сотрудников (52%). Рядом также идут вредоносные программы (45%) и программно-аппаратные сбои (43%). Все перечисленные, а также некоторые другие угрозы предъявляют достаточно строгие требования к системам электронной безопасности.
Не идеал
К сожалению, назвать стандарт панацеей не получается. Некоторое время назад Сообщество пользователей стандартов Центрального Банка Российской Федерации по обеспечению информационной безопасности организаций банковской системы (Сообщество ABISS, Association for Banking Information Security Standards) и компания InfoWatch провели исследование, которое выявило недостатки СТО БР ИББС. Опрос конечных исполнителей нормативов (см. диаграмму), банковских специалистов по информационной безопасности показал, что положения недостаточно формализованы, не хватает конкретных документов, политик, регламентов. В банках стандарт трактуют по-своему. Чтобы избежать ошибок и помочь внедрить его на практике, Центробанку следует выпустить типовые формы документов, дополнительные руководства, провести обучающие семинары.
Другие трудности, которые лежат на пути реализации стандарта, — это отсутствие действительных экономических стимулов (указал 31% респондентов), непонимание высшего руководства (30%) и давление со стороны регулятора (17%), то есть самого Центробанка. Кроме того, в перечне препятствий присутствуют традиционные бюджетные ограничения (40%).
Стандартизация в области информационной безопасности необходима. Но никакое регулирование не поможет, если сами пользователи будут безграмотно относиться к защите конфиденциальных данных. Таким образом, главные условия информационной безопасности — это квалифицированные кадры и качественные решения, которые позволят перекрыть все возможные каналы утечки сведений. В аналитическом центре InfoWatch отмечают тенденцию к объединению различных видов угроз в рамках комбинированных атак на корпоративные ресурсы. Причем речь может идти и о совместных действиях внешних и внутренних злоумышленников.
Что касается кадров, то, как правило, в подразделениях информационной безопасности банков работают квалифицированные сотрудники. Но иногда им просто не хватает опыта или специфических знаний. Поэтому при выборе продукта для защиты информации особую важность приобретают такие факторы, как условия внедрения, возможность обучения персонала, а также техническая поддержка функционирующих решений. Приятно отметить, что российские компании в этом плане оказываются более конкурентоспособными, чем зарубежные.
Дивиденды стандарта
Несмотря на добровольный статус стандарта, можно не сомневаться, что спустя некоторое время его положения станут обязательными для кредитных организаций, и работу по внедрению лучше начинать уже сегодня. Банк России прежде всего думал о том, как лучше защитить банки. Стандарт помогает найти и устранить уязвимости в системе электронной безопасности. Как следствие, будут снижены информационные риски. Достаточно явно указываются и лица, ответственные за обеспечение информационной безопасности.
Одним из ключевых преимуществ банка, защищенного по стандарту, является высокая конкурентоспособность. Во-первых, уменьшается количество инцидентов, в том числе и публично известных. Во-вторых, само по себе внедрение достаточно сложных правил является показателем надежности, стабильного финансового положения и качественной внутренней организации. В-третьих, клиенты и контрагенты будут прекрасно понимать: их сведения действительно защищены от утечек. Все это улучшает репутацию банка. А репутация в сочетании с высокой конкуренции является одним из ключевых факторов успеха. Поэтому положения стандарта можно рекомендовать для широкого круга предприятий, даже не связанных с финансовой деятельностью.
Еще один аспект стандартизации информационной безопасности актуален в большей степени для крупных банков. Чтобы выйти на международную арену, прежде всего на рынок развитых европейских стран, необходимо соответствовать и строгим зарубежным нормативам в финансовой сфере. Стандарт Банка России является прекрасным способом попробовать свои силы. Кроме того, как уже упоминалось, российский свод вобрал в себя лучшую зарубежную практику, а потому в немалой степени отвечает и иностранным
требованиям.
В том, что банки тратят огромные средства на информационную безопасность, никто не сомневается. Недавнее исследование крупной международной организации Computing Technology Industry Association (CompTIA) показало, что 20% ИТ-расходов компаний различных сфер деятельности приходится именно на безопасность. В целом стандарт призван рационализировать затраты финансовых институтов на электронную безопасность.
Внедрять или подождать?
Банки — это довольно закрытые организации, и они не любят распространяться о своих проблемах, а тем более о безопасности. Большинство организаций самостоятельно обеспечивают защиту сетевых ресурсов, обычно используя множество разнообразных продуктов. Встает вопрос, насколько эффективна система, составленная из разнородных и не всегда совместимых решений? Несомненно, меры защиты должны быть упорядочены.
Стандарт Банка России по информационной безопасности не гарантирует сохранность конфиденциальных данных, не всегда стыкуется с реальным положением дел. Например, согласно одному из пунктов стандарта, доступ к архиву электронной почты должен быть лишь у подразделения, ответственного за информационную безопасность. Однако много небольших банков не имеют специализированных подразделений по информационной безопасности. Всем, что связано с современными цифровыми технологиями, занимаются обычные сотрудники ИТ-отделов. При этом формально за безопасность отвечают все же работники службы безопасности, что неправильно по определению.
Главные инструменты, которыми достигаются цели внедрения стандарта, — это унификация и системный подход. Многие информационные системы в российских банках создавались еще в середине девяностых. Параллельно развивались и средства информационной безопасности. Когда появилась угроза нападений извне, банковские служащие начали защищаться от хакеров. Возникли сетевые вирусы — установили антивирусное программное обеспечение. Затем антиспамовые системы, средства защиты от утечек и т.д. В результате банковские системы информационной безопасности представляют собой набор разрозненных инструментов для защиты различных узлов. Обслуживание такой разнородной системы обходится очень дорого. Стандарт Банка России предлагает выход из сложившейся ситуации — единый комплексный подход к созданию системы информационной безопасности. Каждый элемент такой системы строится с учетом особенностей соседних участков. В результате защищены как отдельные узлы, так и вся ИТ-инфраструктура. Подобная информационная система относительно проста, понятна персоналу и легко управляема.
Некоторые организации не спешат внедрять стандарт, объясняя это тем, что в ближайшей перспективе финансовая выгода не очевидна. Действительно, это так. Но редко солидный ИТ-проект мгновенно окупается. По мнению Дмитрия Назипова, директора по ИТ банка ВТБ, эффекта от внедрения крупной ИТ-системы следует ожидать лишь через полтора-два года. Это справедливо и для начинания Банка России. Перестройка системы информационной безопасности является скорее бизнес-, а не ИТ-проектом, ведь изменения касаются всех областей работы банка. Внедрение стандарта Банка России по информационной безопасности — это работа на перспективу с реальной отдачей.
Владимир Ульянов — независимый эксперт по информационной безопасности, ulyanov.vladimir@yahoo.com