Центр обработки данных обеспечивает непрерывность бизнес-процессов и повышает коэффициент доступности

TelecomTV — универсальная масштабируемая платформа предоставления мультимедийных услуг

Проекты «под ключ» — это специализация ВСС на рынке инжиниринговых и общестроительных работ

Сергей Березин: К банковской ИБ надо подходить комплексно (CNews)

Источник информации: http://www.cnews.ru/reviews/index.shtml?2011/04/07/435460_3

На вопросы CNews ответил Сергей Березин, менеджер по маркетингу BCC Group

CNews: Какими характеристиками с точки зрения ИБ должна обладать банковская инфраструктура, чтобы быть наименее подверженной рискам?

Сергей Березин: К вопросам ИБ, как и к любой другой безопасности, надо подходить комплексно. В целом, информационная безопасность — это как минимум на 60% продуманная система организационно-технических мероприятий, и лишь потом, в период реализации — разного рода ИТ-продукты по поддержке ИБ. Поэтому ошибочным будет мнение, что приема на работу опытного CIO или CSO будет вполне достаточно для решения вышеуказанных задач, и можно будет лишь средствами ИТ кардинально обезопасить банк от инцидентов ИБ. Однако, поскольку в этом материале мы рассматриваем именно ИТ-составляющую ИБ, постараюсь прокомментировать эту тему под данным углом зрения, хотя все равно придется обращаться к бизнес первопричинам.

Если посмотреть на современную ИT—систему практически любого из российских банков, то вы обнаружите там десятки, а то и сотни одновременно функционирующих информационных систем, — в том числе, унаследованные от прежних слияний и поглощений. При этом образуется сложный и трудно управляемый ИT-ландшафт, который как раз и служит той «питательной» средой, что рождает непредсказуемые дыры в управляемости и, как следствие, проблемы с ИБ.

При этом сама по себе безопасность не должна быть фетишем, самоцелью, которая достигается установкой все новых и новых продуктов ИБ. Высокий уровень ИБ — это естественный результат грамотно построенной ИТ-инфраструктуры банка в целом и отлаженных и сбалансированных организационных процедур, причем не только в ИТ. Образно выражаясь, добротно построенной крыше не страшен никакой дождь, а если она худая, — то и никаких тазиков не хватит.

Ключевыми технологиями в ИТ-инфраструктуре банков должны стать централизация, интеграция и виртуализация. Правильно, когда все приложения АБС интегрируются общей информационной шиной и централизованно исполняются на серверах головного офиса. При этом сотрудники банка со своих рабочих мест получают доступ к АБС с помощью средств виртуализации десктопов (ранее это называлось удаленным доступом к ПО). Сегодня функциональность этих средств, предлагаемых на рынке тандемом Citrix и Microsoft, достигла очень высокого уровня. Благодаря виртуализации, сотрудники на рабочих местах во всех филиалах, операционных офисах и в уполномоченных агентствах работают в защищенной среде с единой версией приложений и данных прямо на серверах ЦОД банка. Это существенно сужает периметр информационной защиты, — ведь на локальных компьютерах служащих не хранится никаких данных, — соответственно, риск их утери или фальсификации значительно снижается. Для банков с большим числом филиалов такой подход к ИТ-инфраструктуре особенно важен, т. к. чем больше рабочих мест, тем больше точек потенциальной уязвимости ИБ, а продукты Citrix позволяют разом закрыть целый класс уязвимостей.

Известно, что подобная ИТ-инфраструктура со средствами виртуализации рабочих мест с помощью программных продуктов Citrix сегодня установлены в Сбербанке, Газпромбанке, МДМ-Банке и целом ряде других финансовых учреждений.

CNews: Насколько, на ваш взгляд, часты утечки банковской информации? С чем это связано?

Сергей Березин: Инциденты ИБ случаются в банках ежедневно, но сведения о них не принято афишировать. Это логично, поскольку с репутационной стороны любой банк в глазах клиентов стремится быть безупречным. Достаточно намеренно или случайно допустить утечку информации об инцидентах ИБ, как на следующий день перед дверями банка может уже бушевать толпа вкладчиков, желающих немедленно вернуть назад свои деньги.

Как результат, мы знаем только о тех инцидентах ИБ, которые озвучиваются в СМИ. Наиболее громкий случай, который наверно все помнят, — это процесс над машинистом московского метрополитена Алексеем Лепехиным по иску «Банка Москвы» в 2009г. По ошибке админа ИТ-системы банка, господин Лепехин получил через интернет-портал банка доступ к ссудному счету банка. В одночасье оказавшись богатым человеком, Алексей начал покупать новые иномарки и недвижимость, сняв за полгода со счета 85,5 млн руб. Кстати, как ни удивительно, но уголовного преследования за пользование такими суммами неосновательного обогащения Алексей мог бы избежать, будь он не машинистом метро, а реальным миллионером. Тогда его адвокаты вполне могли бы доказать, что человек просто не заметил лишних денег и потратил их, полагая, что они поступили законно. Отличное подтверждение народной поговорки, что «деньги к деньгам», не правда ли?

CNews: Насколько популярны в банках DLP-системы?

Сергей Березин: Работа систем предотвращения утечек конфиденциальной информации из информационной системы (англ. Data Leak Prevention, DLP) строится на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в потоке конфиденциальной информации (логины, пароли) срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Говоря о популярности DLP-систем в отечественных банках, сначала следует упомянуть существующую до сих пор расплывчатость формального определения, что, собственно, считать DLP-системой. Поэтому можно быть правым, говоря как и о повсеместном внедрении DLP-систем, так и о недостаточном проникновении этого класса продуктов в ИТ-системы банков.

Мощные DLP-системы должны обладать такими свойствами, как многоканальность, учет и содержания, и контекста, наличие средств активной защиты и унифицированного менеджмента политиками безопасности. Если какой-либо из перечисленных функциональностей в конкретном продукте нет или она представлена слабо, то это все равно будет называться DLP-системой. На рынке сегодня представлены около двух десятков отечественных и зарубежных продуктов, обладающих признаками DLP-cистем, включая комплексные продукты от InfoWatch, Perimetrix и WebSence. Кстати, факт установки последней из упомянутых DLP-систем в ВТБ активно пиарился в прессе.

CNews: Какие проекты по обеспечению банковской ИБ с участием вашей компании были реализованы за последний год?

Сергей Березин: Конфиденциальность сведений о проектах в области обеспечения банковской ИБ является одним из регламентных средств по обеспечению ИБ. Зная, какой системный интегратор осуществлял проект ИБ в конкретном банке, с помощью пресловутых голливудских «6 рукопожатий» всегда можно выйти на кого-либо из конкретных специалистов, исполнителей. А поскольку этот человек по роду своей деятельности досконально изучил средства ИБ банка, на него можно разными способами воздействовать, используя для успешного взлома информационной системы банка. Разумеется, BCC Group как крупный системный интегратор регулярно выполняет проекты ИБ для финансовых учреждений, в том числе и для банков из ТОР-10.