IT ManagerИТ в бизнесеУправление

ИБ в банке: в фокусе человеческий фактор

Григорий Рудницкий | 31.03.2014

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

ИБ в банке: в фокусе человеческий фактор

Какие проблемы волнуют сегодня банковских специалистов по информационной безопасности? Как нам рассказал Александр Белясников, заместитель начальника департамента информационных технологий финансовой группы “Лайф”, задачи, связанные с инфраструктурой, с работой оборудования, сети и приложений отошли на второй план, а на первый вышли вопросы связанные с “человеческим фактором” - борьба с мошенничеством, утечками информации и т.д. 
Мы задали Александру несколько вопросов. 
Какие из стоящих сегодня перед специалистами по информационной безопасности финансовой группы “Лайф” задач являются наиболее важными?
Очень серьезный стратегический тренд, вынесенный нами на уровень инвестиционного проекта, отчетность по которому предоставляется напрямую президенту нашей финансовой группы, — это мероприятия и инициативы, направленные на противодействие мошенничеству, как внешнему, так и внутреннему (“антифрод”). В текущем году создана отдельная проектная группа, достаточно серьезно разрабатывающая данный вопрос. Причем мы идем не просто по пути реализации тех или иных технологий, а стараемся правильно оценить риски, работаем в тесном контакте с коллегами, непосредственно отвечающими за риски. На выходе формируется модель, на основании которой затем будет решаться вопрос, как закрывать риски, связанные с мошенничеством. Причем, имеется в виду как внешнее, так и внутреннее мошенничество. Наиболее подверженный атакам злоумышленников банковский сервис — дистанционное банковское обслуживание юридических лиц. Во всех банках случаются инциденты, а поэтому все этим озабочены. У нас, к счастью, инцидентов было не так много, но бизнес проявляет серьезную обеспокоенность данным вопросом, а потому мы решили усовершенствоваться. Второй тренд, который в нынешнем году особенно актуален, — защита от утечек конфиденциальной информации. Для автоматизации этого процесса обычно применяются системы класса DLP. Но сама система DLP — просто «лопата», которой кто-то должен “копать”. Здесь задача в чем-то схожа с антифродом: оцениваются риски, изучаются потоки перемещения информации в компании применительно к бизнес-процессам. Затем будет принято решение по внедрению систем класса DLP. А пока защита информации обеспечивается организационными мерами — процедурами доступа, логированием и т. д. Отдельной системы управления учетными записями (IDM) у нас пока нет, но мы частично используем возможности продукта Microsoft Forefront Identity Manager (FIM). Полностью он у нас не внедрен, только отдельные элементы. Аудит мы проводим не в автоматизированном режиме, а в ручном. Этим занимается Управление информационной безопасности. Ключевой момент для внедрения DLP — построение процессов — людей, службы, подходов, процедур, в рамках которого сотрудники будут взаимодействовать с бизнес-подразделениями банка. 

Финансовая группа “Лайф”  представляет собой группу  компаний. Как решаются вопросы информационной безопасности в различных банках, входящих в ее состав - централизованно или каждый сам определяет свои стандарты? 

В каждом из  наших банков есть отдельное подразделение по информационной безопасности, но большинство вопросов в данной сфере решаются централизованно в формате единой рабочей группы. Но при этом все документы и политики по ИБ в банках ФГ “Лайф” являются  одинаковыми.

Ваше приложение LifeMobile для мобильного банкинга считается одним из самых безопасных. В чем смысл тратить ресурсы на защиту этого приложения, если злоумышленники концентрируются на взломах юридических лиц или обычных ПК, принадлежащим физическим лицам? Не преувеличенные ли это риски и пустая ли это трата денег?

Защита дистанционного банковского обслуживания для физических лиц, также как и ДБО юридических лиц, является для финансовой группы “Лайф” приоритетной задачей. Вы не правы, мы не считаем это пустой тратой денег, тем более что инвестиции в безопасность мобильного банкинга являются абсолютно адекватными.

Сотрудники вашей финансовой группы используют личные мобильные устройства для доступа к внутренним ресурсам? Cчитали ли вы выгоды от концепции BYOD?

Концепцию BYOD наша финансовая группа на данный момент серьезно не рассматривает, так как ее использование усложняет обеспечение высокого уровня обеспечения информационной безопасности в компании. У нас несколько консервативная позиция по данному вопросу. Да, мы разрешаем ключевым сотрудникам, чаще всего это топ-менеджеры, пользоваться для работы своим собственным ноутбуком. Но при этом им доступен жестко ограниченный набор сервисов. Чаще всего это системы электронного документооборота и электронная почта. Для того чтобы работать в удаленным режиме с ключевыми АБС, на устройства накладываются определенные требования и политики. Так, мы используем контейнеры для хранения ключей, необходимо подключение через отдельный шлюз, а ноутбук должен соответствовать политикам безопасности банка, на нем должно быть установлено банковское антивирусное ПО, которое централизованно обновляется. В большинстве же случаев наши сотрудники работают на устройствах, приобретенных нашей компанией.

Некоторые кредитные организации переходят на облачные автоматизированные банковские системы, например, “Фактуру”. Вы не рассматривали такую возможность?

Переход на другие АБС мы сегодня не рассматриваем. Но мы изучаем возможность перевода некоторых наших ключевых АБС на ресурсы облачных провайдеров. Это предусмотрено одним из стратегических ИТ-проектов финансовой группы “Лайф”, который должен быть реализован в этом году.  В данный момент мы оцениваем экономическую эффективность такого шага, а также риски в области информационной безопасности, связанные с этим. 

Банк России в мае планирует утвердить 5-ю версию своего стандарта по безопасности (СТО БР ИББС). Каково ваше отношение к данному комплексу документов? Внедрен ли он в банках ФГ “Лайф”?

Да, этот стандарт уже внедрен во всех банках нашей финансовой группы. 

Международный совет PCI Council требует от кредитных организаций, обрабатывающих данные платежных карт, выполнения стандарта PCI DSS 3-я версия которого вступила в силу с 1-го января 2014 года. Вы проходили аудит соответствия этому стандарту? 

Да и неоднократно. “Пробизнесбанк”, головной банк нашей финансовой группы, уже три раза проходил аудит на соответствие стандарту PCI DSS. Очередной аудит намечен на 4-й квартал 2014 года.

Банк России заявил в феврале о возможности создания банковского центра реагирования на инциденты и мошенничества. Вы готовы передавать в него информацию о тех мошеннических действиях, которые происходят в вашей финансовой группе?

При определенных гарантиях неразглашения этих данных – готовы. В соответствии с требованиями регулятора, банки финансовой группы “Лайф” и так каждый месяц подают отчетность, содержащую информацию о инцидентах в области информационной безопасности.

Ключевые слова: безопасность, облачные технологии, мобильные приложения, внешние угрозы

Об авторах

Григорий Рудницкий

Григорий Рудницкий

Историк по образованию. В ИТ-прессе – бумажной и онлайновой – с 2002 года: публикуется в изданиях, ориентированных как на домашних, так и на корпоративных пользователей. Любимые темы: гаджеты, мобильность, облачные сервисы, свободное программное обеспечение.

Мероприятия

23.09.2018 — 25.09.2018
XII Конгресс "Подмосковные вечера"

Москва, Атлас Парк Отель. Домодедово, Судаково, 92,

26.09.2018
Loginom Day 2018: продвинутая аналитика, легкая в приготовлении

Москва, event-холл «Инфопространство»

02.10.2018 — 03.10.2018
Открытая конференция для бизнеса и ИТ «ACCELERATE»

Москва, Краснопресненская набережная, 14 Экспоцентр

02.10.2018
Практики построения современного трейдинга

Москва, Арарат Парк Хаятт, зал Саргсян

04.10.2018 — 05.10.2018
БИТ Санкт-Петербург 2018

Санкт-Петербург, проспект Медиков, дом 3, Конгресс-центр «ЛПМ»