|
|
  |
Главная страница / Архитектура отрасли Интервью с заместителем председателя Центрального банка Российской Федерации– Это связано с общемировой тенденцией. Вопросам информационной безопасности в банковской сфере с каждым годом уделяется все больше внимания. Отчасти это обусловлено тем, что банковский бизнес стал зависимым от информационных технологий. Современная финансово-банковская система является одним из самых крупных потребителей телекоммуникационных и ИТ-решений. И требования к ним с точки зрения качества и уровня развития применяемых технологий предъявляются очень жесткие. Кроме того, сокращение внутренних издержек банка хотя бы на 2 – 3 % дает очень большой эффект для повышения его доходности. А широкое применение электронных технологий позволяет существенно снизить издержки. Как только информационные технологии начали доминировать в банковской сфере, возникла проблема информационной защиты. Системы информационной безопасности в банках становятся все более сложными. Подход к их строительству сегодня очень серьезный и охватывает многие направления. В частности, системы информационной безопасности позволяют отслеживать, как ведется работа банковских сотрудников на рабочих местах. Каждому из них отводится своя роль, которая прописана в модели поведения сотрудника. И если допускаются некорректные действия, можно отследить, случайность это или закономерность. В последнем случае служба безопасности может поставить вопрос о том, является ли это следствием некомпетентности или же злого умысла. Например, в начале 2000-х годов отмечались утечки баз данных по банковским платежам. Для решения проблемы был принят ряд организационных и технических мер. Если раньше доступ к базам данных был открыт для множества сотрудников, то теперь сотрудник может получить доступ только к аналитическим материалам, которые готовятся на их основе. В частности, это сделало работу сотрудников департамента банковского регулирования и надзора более целенаправленной: сформулировав запрос, они могут получить готовый материал. Кроме того, системные администраторы, работающие с базами данных, стали получать для выполнения необходимых работ разовые пароли. А предпринятые ими действия – фиксироваться в системе, так что при возникновении проблем можно проверить характер выполнявшихся действий. Введение этих мер, конечно, потребовало определенной психологической перестройки пользователей. На первых порах было много недовольства из-за того, что людям пришлось менять привычный стиль работы. Но сегодня такой подход в большей или меньшей степени применяется во всех банках. А утечек информации с тех пор не было. – Сегодня в мире существует соглашение Basel II. Согласно этому соглашению, финансовые организации должны рассчитать риски, с которыми они встречаются в своей деятельности, – кредитные, рыночные и операционные. Например, операционные риски могут быть оказывать очень сильное влияние на устойчивость банка. Клиенты должны быть уверены, что с банком можно работать в долгосрочной перспективе. Для оценки устойчивости банка применяется определенная система оценки операционных рисков. Так, одним из операционных рисков является риск угрозы информационной безопасности, который зависит от того, насколько хорошо организована в банке информационная защита. Впервые требования о том, чтобы банк раскрывал аудиторским компаниям вопросы, связанные с защитой информации, возникли на Западе около десяти лет назад. В частности, аудиторы потребовали предоставления банками данных о том, с какими телекоммуникационными провайдерами они работают. Ведь если провайдер ненадежен, и существует риск прерывания телекоммуникационных услуг, банк рискует оставить клиентов без доступа к их счетам. В результате у банка возникнут большие проблемы, которые скажутся и на других участниках рынка. Следовательно, вся инфраструктурная среда, в которой банк работает, тоже должна быть прозрачна и подвергаться аудиту. Согласно сформулированным требованиям, у банка должно быть не менее двух независимых телекоммуникационных провайдеров, не имеющих аффилированности. Более того, проложенные ими кабельные линии должны быть разнесены по разным трассам. Перечисленные и многие другие требования к информационной среде банков стали частью системы обеспечения информационной безопасности банка, которая была зафиксирована в стандартах. Стандарт СТО БР ИББС-1.0 разрабатывался в течение нескольких лет. Существующие зарубежные документы и стандарты, лучшие мировые практики, касающиеся защиты банковской информации, управления информационными ресурсами и т. д., были проанализированы и переработаны с учетом норм российского законодательства. В проведенных аналитических исследованиях активное участие приняла, в частности, НПФ «Кристалл» в Пензе, с которой мы и сейчас продолжаем сотрудничество.– Созданный стандарт не является обязательным для коммерческих банков, по нему выстраивает свою работу в области информационной безопасности Банк России. Но поскольку других подобных документов в банковской среде нет, многие банки, понимая необходимость следования мировой тенденции, начали его использовать. В результате банковское сообщество самостоятельно создало орган, тестирующий уровень информационной безопасности на соответствие стандарту Банка России и выдающий соответствующие сертификаты. Речь идет о сообществе ABISS. Это общественная организация, куда входят специалисты из банковской среды, представители Ассоциации российских банков, ЦБ РФ и других служб. В настоящее время она работает на добровольных началах. Но ABISS развивается и, возможно, со временем организация может быть узаконена в рамках Ассоциации российских банков. – Существует специальный опросник, который банк должен заполнить. В нем содержатся вопросы о том, каким образом в банке реализованы те или иные меры обеспечения информационной безопасности. Данные опросника анализируются, в результате чего выставляется определенный балл, отражающий степень соответствия банка стандарту информационной безопасности. В настоящее время на 100% стандарту не соответствует ни один банк. Существует пять уровней соответствия стандарту. Если достигнут второй или третий уровень – это уже неплохо. Если четвертый – очень хорошо. Пятый, идеальный, уровень пока практически недостижим. Выстраивание системы информационной безопасности – длительный процесс, требующий серьезных финансовых вложений. Оценив уровень соответствия банка стандарту, ABISS выдает ему надлежащий документ. Почему это важно для банка? Потому что существует аудит операционных рисков, которые связаны, прежде всего, с техническими средствами для защиты информационных ресурсов. Если у банка нет никакого документа, который мог бы послужить основанием для заключения аудиторов, последние начинают использовать собственные схемы оценки уровня информационной безопасности, основанные, как правило, на западных подходах, которые не всегда применимы к российским реалиям. В этом смысле стандарт Банка России предоставляет банкам определенный правовой базис. Поэтому реакция на появление стандарта было положительной, многим он реально помог.– Ассоциация российских банков очень серьезно анализирует результаты работы ABISS. Это естественно, поскольку основная задача АРБ, как и Центробанка, – укрепление банковской среды. Но Центробанк действует с помощью своих надзорных органов и нормативных документов, а Ассоциация – посредством достижения консенсуса в профессиональной среде. Иными словами, в банковской сфере имеются два регулятора, которые подходят к задаче регулирования с разных точек. С одной стороны – законы и нормативные акты, с другой – саморегулирование. То и другое позволяет банкам достигать более высокого профессионального уровня. Если в банковской среде появляется какая-то тенденция, важная для развития банковского сообщества, Ассоциация российских банков ее поддерживает. Поэтому АРБ положительно относится к появлению стандарта Банка России и поддерживает его внедрение. – Банк России проводил опрос на предмет оценки банками того влияния, которое оказывает стандарт на эффективность ведения бизнеса. Выяснилось, что 34% опрошенных банков считают, что стандарт им очень помогает; 47% ответили, что он способствует бизнесу, но не существенно; 14% уверены, что стандарт не оказывает никакого воздействия на их деятельность, 5% указали на его отрицательное влияние. Следует отметить, что 34% – это крупные банки, которые вошли в систему страхования вкладов, а 5% – банки, не вошедшие в эту систему и, соответственно, не имеющие вкладчиков из числа физических лиц. А если банк работает только с корпоративными клиентами, причем именно с теми, которые и создали этот банк, то меры по поднятию доверия вкладчиков для них не столь актуальны. Но если банк работает с физическими лицами, наличие в банке системы защиты информации, соответствующей стандарту Банка России, – дополнительная гарантия для вкладчиков. В первую очередь стандарт начинают внедрять большие многофилиальные банки. Средние банки тоже довольно серьезно относятся к данному вопросу. Что касается малых банков, то не все из них могут позволить себе капиталовложения, которые необходимы для достижения высокого уровня информационной безопасности. По зарубежным оценкам, на обеспечение ИБ уходит до 30% инвестиций, выделяемых на развитие информатизации в банковской сфере. Разные банки по-разному ведут бизнес и поэтому по-разному оценивают эффективность капиталовложений в информационную безопасность. – Стандарты – это общие нормативы, которым должны соответствовать все банки. Но технические реализации стандарта могут быть разными. Все зависит от того, какая технологическая база используется в конкретном банке. На рынке работают десятки фирм – поставщиков оборудования для локальных вычислительных сетей, баз данных, средств управления и средств защиты информации. Так что спектр вариантов технических решений достаточно широк. Вопрос еще и в том, от каких угроз необходимо защищаться в каждом конкретном случае. Например, платежная система, существующая в Банке России, не имеет выхода в систему общего пользования. Это закрытая система, изолированная от внешних систем, доступ к ней имеют только сертифицированные пользователи, и необходимости защищать ее от вирусов нет. Но платежную систему нужно защитить от возможных хакерских атак – с этой целью выстраивается многослойная система защиты от внешнего воздействия. Кроме того, должна быть защита от инсайдеров – создается другая система защиты. У другого банка система взаимодействия с клиентом может строиться, например, с использованием каналов Интернет. Соответственно, там должна быть предусмотрена защита от интернет-угроз. В целом, для выстраивания стратегии защиты должны быть созданы модель угрозы и модель потенциального нарушителя. Это два документа, необходимых для реализации банковского стандарта. – Разумеется, работа над стандартом продолжается. Когда стандарт начал применяться, стало ясно, что какие-то области не охвачены, определенные аспекты нужно доработать. Такая работа ведется совместными усилиями Главного управления безопасности и защиты информации, НПФ «Кристалл», с участием департамента информационных систем. Свои предложения вносит также департамент банковского регулирования и надзора, в частности, сейчас у него возникли определенные вопросы в сфере интернет-банкинга. Жесткого графика выхода того или иного стандарта либо очередной версии нет. Работа над стандартами выполняется по мере возникновения практических задач. Сейчас, например, встала задача структуризации управления в области информационно-телекоммуникационных систем. Появление в работе банка любого нового технологического процесса связано с определенными рисками, которые нужно оценить и создать механизмы по их управлению и блокированию. Стандарт информационной безопасности как раз и создает основу для управления рисками, а для банков это самое главное. Планов перевода стандарта Центробанка в категорию обязательных пока нет. – Развитие банковских услуг и банковского бизнеса в целом напрямую связано с развитием информатизации и телекоммуникаций. Еще раз хочу повторить, что банковский сектор – крупнейший и самый взыскательный потребитель современных информационных и телекоммуникационных услуг. Поэтому требования к информационной безопасности, которые непосредственно связаны с информационным и телекоммуникационным оснащением банковской сферы, будут повышаться, а системы информационной безопасности – усложняться. И здесь нельзя уповать только на технологии, это должен быть симбиоз организационных и технических решений. Одно без другого эффекта не даст. Кроме того, выстраивая систему информационной безопасности, банку необходимо оценивать существующие риски. У каждого банка имеются свои особенности, потому системы информационной безопасности строятся индивидуально, и каждый сам для себя определяет, в защиту от каких рисков нужно вложить средства, а какие риски не являются существенными с точки зрения бизнеса. Выбор конкретных средств защиты – индивидуальная задача каждого банка. Главная страница / Архитектура отрасли |