Центральный банк Азербайджана приветствует развитие электронных банковских услуг, но при этом возникает ряд проблем. В этой связи основные перспективные направления развития информационной безопасности в банковской сфере излагает Эмин Мамедов, консультант по вопросам информационной безопасности.

2013 год объявлен в республике Годом информационно-коммуникационных технологий. Страна взяла курс на развитие информационного общества, и вопросы информационной безопасности (ИБ) приобретают ещё большую актуальность.

Ещё в 2012 году Государственный комитет по стандартизации, метрологии и патентам Азербайджана утвердил государственные стандарты по информационной безопасности. Внедрение этих стандартов позволит осуществить конкретные шаги для совершенствования бизнес-процессов в рамках информационной безопасности.

На сегодняшний день руководители банковского сегмента начинают понимать важность обеспечения ИБ в ИТ-инфраструктуре, ведь угрозы мошенничества с использованием информационных технологий, в первую очередь в системах дистанционного банковского обслуживания (ДБО), угрозы безопасности, связанные с банковскими картами, инсайдерские угрозы, связанные с хищением информации, угрозы безопасности, обусловленные ошибочными действиями пользователей, явно выходят на первый план. Немалую роль в данном процессе играют и риски, связанные с тем, что бизнес-подразделения, не вполне понимая необходимость обеспечения ИБ и не имея в своём распоряжении специалистов по ИБ, пытаются активно внедрять информационные технологии и банковские продукты, которые не всегда отвечают требованиям безопасности.

Поэтому на данный момент финансовые вложения в защиту своих ресурсов в том или ином виде сделаны практически во всех банках: отдельные средства или комплексные системы безопасности установлены в каждом ИТ-подразделении. Но лишь немногие из финансовых учреждений выделяли достаточно средств для создания отделов информационной безопасности.

Для результативного и эффективного решения проблем информационной безопасности необходимо создавать соответствующее самостоятельное подразделение с выделенным бюджетом. Попытки решить проблему посредством службы ИТ позволяют добиться успеха лишь частично. Отвлечение службы ИТ от её прямых обязанностей для решения задач безопасности приведёт к тому, что решение бизнес-задач отодвинет задачи обеспечения безопасности на задний план.

Но где же взять специалистов по ИБ? Ведь на рынке крайне мало специалистов по информационной безопасности, тем более с опытом практической работы. Если говорить об аутсорсинге информационной безопасности, то на сегодняшний день допустить к секретной информации посторонних людей, пусть даже связанных соглашением о конфиденциальности и неразглашении информации, готовы далеко не все.

Следовательно, банки будут нести затраты на обучение сотрудников ИТ-подразделений, но это вполне приемлемые затраты по сравнению с величиной рисков аутсорсинга ИБ, когда опасения, что информация, касающаяся безопасности, станет доступной за пределами банка. Тем более что профессиональный аутсорсинг ИБ также не из разряда дешёвых.

Информационная безопасность любой организации представляет собой комплекс организационно-технических мер, и одних лишь организационных или технических методов решения здесь недостаточно.

Помимо организационных мероприятий по обеспечению ИБ, созданное подразделение нужно обеспечить необходимым инструментарием для качественного выполнения функциональных обязанностей.

Так какие же средства обеспечения ИБ являются наиболее востребованными и перспективными в банковской сфере? Помимо традиционных для ИТ средств по защите периметра сети, антивирусных решений, систем защиты почтового трафика от спама, блокировки USB-носителей и внешних устройств, серьёзный интерес проявляется к системам шифрования данных мобильных устройств, централизованного мониторинга и контроля действий пользователей в корпоративных сетях, а также системам обработки событий информационной безопасности.

Показательно, что крупные ИТ-вендоры скупают традиционных игроков рынка информационной безопасности и встраивают их решения в свои продукты и технологии. С их стороны уже сегодня предлагаются инфраструктурные решения по информационной безопасности, такие как межсетевые экраны, средства обнаружения вторжений, антивирусные средства, Identity Management, DLP-системы.

В банках, где уже существуют отдельные подразделения ИБ, постепенно будет происходить комплексное внедрение систем предотвращения утечек DLP (DataLossPrevention), с помощью которых можно предотвратить утечку критически важной для бизнеса информации. Ведь, несмотря на то, что большая часть сотрудников подписывает соглашение о неразглашении информации, многие нарушают его и передают корпоративные данные за пределы внутренней сети. Чаще всего для этого используют электронную почту и флешки. А утечка конфиденциальных данных чревата серьёзными репутационными рисками.

Помимо непосредственного внедрения самих систем дистанционного банковского обслуживания (ДБО), актуальной проблемой станет уязвимость данных систем, как на стороне банка, так и на стороне клиента. В данном случае будут востребованы и антифродовые системы, средства криптографической защиты информации, возможность многофакторной аутентификации и т.д.

С развитием каналов ДБО услуги мобильного банкинга будут становиться более популярными. Однако пути снижения рисков для мобильных устройств аналогичны рекомендациям для интернет-банкинга: не загружать игры и программы из сомнительных источников, не передавать телефон посторонним лицам, не удалив предварительно банковское приложение.

В результате создания новых банковских продуктов и внедрения инновационных услуг растёт как количество информационных ресурсов, так и число сотрудников организации, что затрудняет ведение мониторинга прав доступа пользователей администраторами систем. Для решения данной проблемы крупные банки начнут внедрение комплексных решений по управлению правами доступа и учётными записями пользователей Identity Management (IdM) или Access and Identity Management (AIM).

Интеграция систем информационной и физической безопасности актуальна не только для банковского сектора. Контроль доступа как в помещения организации, так и к информационным ресурсам является самым распространённым путём интеграции. Если раньше системы защиты информационных ресурсов устанавливались обособленно и почти никак не были связаны с инфраструктурой, которую они были призваны защищать, то сегодня такой подход является неперспективным.

Консолидация и виртуализация серверов относятся к наиболее заметным тенденциям в ИТ последних лет. В среду виртуализации всё чаще переносятся критически важные приложения. Без обеспечения безопасности для виртуальных сред данная среда становится легко уязвимой для злоумышленников. Поэтому к наиболее востребованным внедрениям в будущем можно отнести решения по организации защиты виртуальной среды.

Внедрение систем электронного документооборота (СЭД) позволяет обеспечить сокращение трудозатрат и времени на обработку и подготовку документов, принятие управленческих решений, упрощает механизм её контроля. В то же время СЭД порождает новые риски, и если не обеспечить комплексную безопасность системы, риски нарушения конфиденциальности, целостности и доступности информации будут весьма велики.

А вот к широко разрекламированным облачным вычислениям (Cloud Computing), каковы бы ни были прогнозы экспертов, банки не будут проявлять определённого интереса из-за специфики обеспечения конфиденциальности информации. Речь может идти только об обезличенных тестовых средах. Предложить банкирам хранить свои активы в другом, да ещё «облачном» банке? Для решения этой проблемы потребуются новые технологические платформы и стандарты безопасности.

В заключение хочу отметить, что расходы на ИБ должны рассматриваться именно как инвестиции, от которых бизнес ждёт обеспечения эффективности протекания бизнес-процессов.

abc.az