Азербайджан, Баку, 10 октября
Эмин Мамедов, консультант по вопросам информационной безопасности
2013 год объявлен в Азербайджане Годом информационно-коммуникационных технологий. Страна взяла курс на развитие информационного общества, и вопросы информационной безопасности приобретают еще большую актуальность.
Еще в 2012 году Государственный комитет по стандартизации, метрологии и патентам Азербайджана утвердил государственные стандарты по информационной безопасности (ИБ). Внедрение этих стандартов позволит осуществить конкретные шаги для совершенствования бизнес-процессов в рамках информационной безопасности.
На сегодняшний день руководители банковского сегмента начинают понимать важность обеспечения ИБ в ИТ-инфраструктуре, так как угрозы мошенничества с использованием информационных технологий, в первую очередь в системах дистанционного банковского обслуживания (ДБО), угрозы безопасности, связанные с банковскими картами, инсайдерские угрозы, связанные с хищением информации, угрозы безопасности, обусловленные ошибочными действиями пользователей, явно выходят на первый план.
Немалую роль в данном процессе играют и риски, связанные с тем, что бизнес-подразделения, не вполне понимая необходимость обеспечения ИБ и не имея в своем распоряжении специалистов в этой сфере, пытаются активно внедрять информационные технологии и банковские продукты, которые не всегда отвечают требованиям безопасности.
Поэтому на данный момент финансовые вложения в защиту своих ресурсов в том или ином виде сделаны практически во всех банках: отдельные средства или комплексные системы безопасности установлены в каждом ИТ-подразделении. Но лишь немногие из финансовых учреждений выделили достаточно средств для создания отделов информационной безопасности.
Для результативного и эффективного решения проблем информационной безопасности необходимо создать соответствующее самостоятельное подразделение с выделенным бюджетом. Попытки решить проблему при помощи службы ИТ позволяют добиться успеха лишь частично. Отвлечение службы ИТ от ее прямых обязанностей для решения задач безопасности приведет к тому, что решение бизнес-задач отодвинет задачи обеспечения безопасности на задний план.
Но где же взять специалистов по ИБ? Ведь на рынке крайне мало специалистов по информационной безопасности, тем более с опытом практической работы. Если говорить об аутсорсинге информационной безопасности, то на сегодняшний день допустить к секретной информации посторонних людей, пусть даже связанных соглашением о конфиденциальности и неразглашении информации, готовы далеко не все.
Следовательно, банки будут нести затраты по обучению сотрудников ИТ-подразделений, но это вполне приемлемые затраты по сравнению с величиной рисков аутсорсинга ИБ, когда имеются опасения, что информация, касающаяся безопасности, может стать доступной за пределами банка. Тем более, что профессиональный аутсорсинг ИБ - также не из разряда дешевых.
Информационная безопасность любой организации представляет собой комплекс организационно-технических мер, и одних лишь организационных или технических методов решения здесь недостаточно.
Помимо организационных мероприятий по обеспечению ИБ, созданное подразделение нужно обеспечить необходимым инструментарием для качественного выполнения функциональных обязанностей.
Так какие же средства обеспечения ИБ являются наиболее востребованными и перспективными в банковской сфере?
Помимо традиционных для ИТ средств по защите периметра сети, антивирусных решений, систем защиты почтового трафика от спама, блокировки USB-носителей и внешних устройств. серьезный интерес проявляется к системам шифрования данных мобильных устройств, централизованному мониторингу и контролю действий пользователей в корпоративных сетях, а также к системам обработки событий информационной безопасности.
Показательно, что крупные ИТ-вендоры скупают традиционных игроков рынка информационной безопасности и встраивают их решения в свои продукты и технологии. Ими уже сегодня предлагаются инфраструктурные решения по информационной безопасности, такие как межсетевые экраны, средства обнаружения вторжений, антивирусные средства, Identity Management, DLP-системы.
В банках, где уже существуют отдельные подразделения ИБ, постепенно будет происходить комплексное внедрение систем предотвращения утечек DLP (Data Loss Prevention), с помощью которых можно предотвратить утечку критически важной для бизнеса информации. Ведь, несмотря на то, что большая часть сотрудников подписывает соглашения о неразглашении информации, многие нарушают его и передают корпоративные данные за пределы внутренней сети. Чаще всего для этого используют электронную почту и флешки. А утечка конфиденциальных данных чревата серьезными репутационными рисками.
Помимо непосредственного внедрения самих систем дистанционного банковского обслуживания (ДБО), актуальной проблемой станет уязвимость данных систем как на стороне банка, так и на стороне клиента. В данном случае будут востребованы и антифродовые системы, средства криптографической защиты информации, возможность многофакторной аутентификации и т.д.
С развитием каналов ДБО услуги мобильного банкинга будут становиться более популярными. Однако пути снижения рисков для мобильных устройств аналогичны рекомендациям для интернет-банкинга, а именно - не загружать игры и программы из сомнительных источников, не передавать телефон посторонним лицам, не удалив предварительно банковское приложение.
В результате создания новых банковских продуктов и внедрения инновационных услуг растет как количество информационных ресурсов, так и сотрудников организации, что затрудняет ведение мониторинга прав доступа пользователей администраторами систем. Для решения данной проблемы крупные банки начнут внедрение комплексных решений по управлению правами доступа и учетными записями пользователей "Identity Management" (IdM) или "Access and Identity Management" (AIM).
Интеграция систем информационной и физической безопасности актуальна не только для банковского сектора. Контроль доступа как в помещения организации, так и к информационным ресурсам является самым распространенным путем интеграции. Если раньше системы защиты информационных ресурсов устанавливались обособленно и почти никак не были связаны с инфраструктурой, которую они были призваны защищать, то сегодня такой подход является неперспективным.
Консолидация и виртуализация серверов относятся к наиболее заметным тенденциям в ИТ последних лет. В среды виртуализации все чаще переносятся критически важные приложения. Без обеспечения безопасности для виртуальных сред данная среда становится легко уязвима для злоумышленников. Поэтому к наиболее востребованным внедрениям в будущем можно будет отнести решения по организации защиты виртуальных сред.
Внедрение систем электронного документооборота (СЭД) позволяет обеспечить сокращение трудозатрат и времени на обработку и подготовку документов, принятие управленческих решений, упрощает механизм ее контроля. В то же время, СЭД порождает новые риски, и, если не обеспечить комплексную безопасность системы, то риски нарушения конфиденциальности, целостности и доступности информации будут весьма велики.
А вот к широко разрекламированным "облачным вычислениям" (Cloud Computing), каковы бы ни были прогнозы экспертов, банки не будут проявлять определенного интереса из-за специфики обеспечения конфиденциальности информации. Речь может идти только об обезличенных тестовых средах. Предложить банкирам хранить свои активы в другом, да еще "облачном" банке? Для решения этой проблемы потребуются новые технологические платформы и стандарты безопасности.
В заключение хочу отметить, что расходы на ИБ должны рассматриваться именно как инвестиции, от которых бизнес ждет обеспечения эффективности протекания бизнес-процессов.
В 2012 году Государственный комитет по стандартизации, метрологии и патентам Азербайджана утвердил подготовленные Техническим комитетом по стандартизации сферы ИКТ, который, в частности, занимается подготовкой стандартов в сфере ИКТ и локализацией международных стандартов на азербайджанский язык, государственные стандарты:
- AZS ISO/IEC 27000-2012 "Информационные технологии - методы безопасности. Системы управления информационной безопасностью. Обзор и словник" - охватывает обзор стандартов, связанных с системой управления информационной безопасностью (СУИБ), вход в системы, краткий обзор процесса "Планирование - выполнение - проверка - воздействие" (PDCA) и термины и определения, используемые в сборнике стандартов СУИБ.
- AZS ISO/IEC 27003-2012 "Информационные технологии - методы безопасности. Инструкция по внедрению системы управления информационной безопасностью" - направлен на основные аспекты, требуемые для подготовки и внедрения СУИБ в соответствии с ISO/IEC 27001:2005. Он описывает процесс разработки от подготовки спецификаций и планов внедрения СУИБ до производства, процесс утверждения руководством внедрения СУИБ, определяет проект для внедрения СУИБ и инструктирует планирование проекта СУИБ, который завершится итоговым проектом по внедрению СУИБ.
- AZS ISO/IEC 27004-2012 "Информационные технологии - методы безопасности. Управление информационной безопасностью. Измерение" - обеспечивает инструкцию по разработке и использованию мер и измерений для оценки эффективности созданных СУИБ и средств управления или групп средств управления, указанных в ISO/IEC 27001.
- AZS ISO/IEC 27006-2012 "Информационные технологии - методы безопасности. Аудит систем управления информационной безопасностью и требования к органам, обеспечивающим сертификацию" в дополнение к требованиям, отмеченным в ISO/IEC 17021 и ISO/IEC 27001, обеспечивает инструкциями и уточняет требования для аудита СУИБ и органов, обеспечивающих сертификацию. В первую очередь, это необходимо для помощи при аккредитации органов сертификации, обеспечивающих сертификацию СУИБ.
- AZS ISO/IEC 27033-1-2012 "Информационная безопасность - методы безопасности. Безопасность IT-сетей. Часть I: Обзор и определение" - предоставляет обзор определений по сетевой безопасности и сопутствующим понятиям. Стандарт определяет и описывает определения, связанные с сетевой безопасностью, и одновременно обеспечивает инструкцию по сетевой безопасности.