Банки должны серьезно относиться к информационной безопасности

Согласно нормативам Центрального банка Азербайджана, местные финансовые структуры должны работать исключительно с лицензионным программным обеспечением при соблюдении информационной безопасности (ИБ). 

Под конец года предлагаем выборку размышлений Эмина Мамедова, ведущего консультанта по этим вопросам. По его мнению, руководители банковского сегмента понимают важность обеспечения ИБ в ИТ инфраструктуре, но лишь немногие из финансовых учреждений дают достаточно денег для создания отделов информационной безопасности, - для результативного и эффективного решения проблем ИБ необходимо создавать соответствующее самостоятельное подразделение с выделенным бюджетом. 

Попытки решить проблему посредством службы ИТ позволяют добиться частичного успеха, ибо отвлечение ее от прямых обязанностей для решения задач безопасности приведет к тому, что решение бизнес задач отодвинет задачи обеспечения безопасности на задний план. Где же взять специалистов по ИБ, когда на рынке их крайне мало, тем более с опытом практической работы. Если говорить об аутсорсинге информационной безопасности, то на сегодняшний день допустить к секретной информации посторонних людей, пусть даже связанных соглашением о конфиденциальности и неразглашении информации, готовы далеко не все. Следовательно банки будут нести затраты на обучении сотрудников ИТ подразделений, но это вполне приемлемые затраты по сравнению с величиной рисков аутсорсинга ИБ, когда опасения, что информация, касающаяся  безопасности, станет доступной за пределами банка. Тем более, что профессиональный аутсорсинг ИБ также не из разряда дешевых. 

Так какие же средства обеспечения ИБ являются наиболее востребованными и перспективными в банковской сфере? Помимо традиционных для ИТ средств по защите периметра сети, антивирусных решений, систем защиты почтового трафика от спама, блокировки USB-носителей и внешних устройств. серьезный интерес проявляется к системам шифрования данных мобильных устройств, централизованного мониторинга и контроля действий пользователей в корпоративных сетях, а также системам обработки событий информационной безопасности. Показательно, что крупные ИТ-вендоры скупают традиционных игроков рынка информационной безопасности и встраивают их решения в свои продукты и технологии. С их стороны уже сегодня предлагаются инфраструктурные решения по информационной безопасности, такие как межсетевые экраны, средства обнаружения вторжений,  антивирусные средства, Identity Management, DLP системы. 

В банках, где уже существуют отдельные подразделения ИБ, постепенно будет происходить комплексное внедрение систем предотвращения утечек DLP (Data Loss Prevention), с помощью которых можно предотвратить утечку критически важной для бизнеса информации. Ведь несмотря на то, что большая часть сотрудников подписывает соглашение о неразглашении информации, многие нарушают его и передают корпоративные данные за пределы внутренней сети. Чаще всего для этого используют электронную почту и флешки. А утечка конфиденциальных данных чревата серьезными репутационными рисками. 

Помимо непосредственного внедрения самих систем дистанционного банковского обслуживания (ДБО), актуальной проблемой станет уязвимость данных систем, как на стороне банка, так и на стороне клиента. В данном случае будут востребованы и антифродовые системы,  средства криптографической защиты информации, возможность многофакторной аутентификации и т.д. 

С развитием каналов ДБО услуги мобильного банкинга будут становиться более популярными. Однако пути снижения рисков для мобильных устройств аналогичны рекомендациям для интернет банкинга -  не загружать игры и программы из сомнительных источников, не передавать телефон посторонним лицам, не удалив предварительно банковское приложение. 

В результате создания новых банковских продуктов и внедрения инновационных услуг растет, как количество информационных ресурсов, так и сотрудников организации, что затрудняет ведение мониторинга прав доступа пользователей администраторами систем. 

Внедрение систем электронного документооборота (СЭД), позволяет обеспечить сокращение трудозатрат и времени на обработку и подготовку документов, принятие управленческих решений, упрощает механизм ее контроля. В то же время, СЭД порождает новые риски, и если не обеспечить комплексную  безопасность системы, риски нарушения конфиденциальности, целостности и доступности информации будут весьма велики. А вот к широко разрекламированным облачным вычислениям (Cloud Computing), каковы бы не были прогнозы экспертов, банки не будут проявлять определенного интереса из-за специфики обеспечения конфиденциальности информации. Речь может идти только о обезличенных тестовых средах. Предложить банкирам хранить свои активы в другом, да еще "облачном" банке? Для решения этой проблемы потребуются новые технологические платформы и стандарты безопасности. 

Мамедов считает, что расходы на цели информационной безопасности должны рассматриваться именно как инвестиции, от которых бизнес ждет обеспечения эффективности протекания бизнес-процессов. --17D-