В то же время банковский сектор, являясь хранителем большого объема конфиденциальной информации, вызывает огромный интерес у правонарушителей. Статистика подтверждает, что количество компьютерных преступлений, совершаемых против компаний финансового сектора, растет с каждым годом. По данным PricewaterhouseCoopers за 2011 год, киберпреступления в финансовой отрасли стали вторым по популярности видом преступлений (их доля составила 38%). Для сравнения, для компаний из других, не финансовых секторов экономики, доля таких преступлений от общего числа правонарушений, ниже более чем в 2 раза и составляет лишь 16%.
Надежность банка, его репутация, конкурентоспособность и место в рейтинге напрямую зависят от возможности банка обеспечить полную сохранность и конфиденциальность информации, т.е. гарантировать информационную безопасность. Помимо рыночных факторов, необходимость внедрения системы управления информационной безопасностью (СУИБ) в украинских банках продиктована требованиями Базельского комитета Basel II по управлению и уменьшению операционных рисков банков.
С момента принятия постановления Национального банка Украины № 474 «О введении в действие стандартов по управлению информационной безопасностью в банковской системе Украины», обязывающего банки Украины внедрить систему управления информационной безопасностью (СУИБ), прошло уже более 2-х лет. Однако на фоне понижения Всемирным банком прогнозов роста украинской экономики на 2013 год с 3,8% до 2,2%, а также в силу того, что создание СУИБ лежит в плоскости дополнительных инвестиций, на практике мы видим, что не все банки сразу активно включились в процесс создания СУИБ.
Это привело к тому, что сегодня во многих банках остро стоит вопрос формального приведения организационных мер информационной безопасности (ИБ) в соответствие с требованиями стандартов посредством оперативного «латания» наиболее существенных «дыр» в системе безопасности. При этом уже доказано на практике, что формальный подход в большинстве случаев обусловливает низкую эффективность организационных мер ИБ и необходимость их последующего повторного пересмотра. Подобный способ решения вопроса не позволяет банкам быть уверенными в успешном прохождении процедур внешнего аудита в рамках процессов оценки рисков, что негативно влияло и влияет на прогнозы, а также может сказаться на ухудшении показателей рейтинга банка. Для ряда банков, которые уже начали процесс внедрения СУИБ, характерны задержки с реализацией организационных и технических мер или их низкая эффективность, что связано с изначально неверной оценкой бизнес-процессов в связи с их неполным или некорректным описанием и сложностью определения владельцев бизнес-процессов.
Также для украинских банков характерен анализ стоимости внедрения СУИБ по отношению к размерам оплаты штрафных санкций за несоответствие требованиям регулятора, при этом фактический уровень угроз и возможные потери при утечке конфиденциальной информации не учитываются, что в корне не верно.
Для того, чтобы результатом внедрения СУИБ стало реальное снижение рисков, а также повышение стабильности и рибыльности бизнеса, управление безопасностью должно быть одним из элементов внутрибанковского менеджмента и иметь системный характер, а ТОП-менеджмент должен быть вовлечен в данный процесс. Без понимания ТОП-менеджментом важности и необходимости внедрения СУИБ, усилия, направленные на ее реализацию, будут малоэффективными.
Являясь частью общей системы управления банком, система управления информационной безопасностью базируется на анализе бизнес-процессов и информационных рисков и предназначена для обеспечения эффективной защиты важной для банка информации вне зависимости от вида данной информации, а также от носителя, на котором данная информация находится физически.
План реализации мер информационной безопасности можно представить в виде следующей схемы:
Очень важный момент, на который стоит обратить особое внимание, — это то, что в настоящее время выполнение требований национальных стандартов не требует от украинских банков реализации в короткие сроки всех мер ИБ для каждого из направлений, будь то политика ИБ, контроль доступа, управление персоналом или непрерывность бизнеса. При этом не стоит допускать акцентирования усилий службы безопасности на отражении какого-либо одного или нескольких видов потенциальных угроз в ущерб остальным.
Концептуальный алгоритм построения СУИБ следующий:
Тем банкам, которые в качестве основной цели создания СУИБ в соответствии с требованиями стандарта НБУ видят фактическое эффективное функционирование системы, в качестве первоочередного решения компания АМИ рекомендуют реализацию пилотного проекта, обеспечивающего:
• Определение области действия СУИБ, перечня основных и вспомогательных банковских процессов, подлежащих защите.
• Подготовку рабочей группы, проведение тренингов для персонала службы ИБ.
• Диагностику процессов ИБ и оценку степени соответствия требованиям стандартов.
• Планирование внедрения СУИБ, формирование базовых организационных документов СУИБ.
• Разработку методики оценки рисков ИБ и ее проверку на пилотном наборе информационных активов.
Реализация данных мер позволит оптимальным образом спланировать последующие шаги внедрения СУИБ, в том числе реализацию организационных и технических мер ИБ. Пилотный проект с областью действия, покрывающей несколько критичных бизнес-процессов, поможет выявить потенциальные сложности и значимые факторы, которые могут повлиять на процесс, сроки, бюджет основного проекта и на его результат. Кроме того, по завершению пилотного проекта наблюдается повышение уровня знаний персонала, ответственного за ИБ и проведение внутренних аудитов.
Таким образом, повышение квалификации собственного персонала банка вместе с привлечением внешних консультантов, имеющих опыт создания СУИБ, позволяет максимально эффективно начать реализацию СУИБ, обеспечить понимание руководством банка необходимости внедрения СУИБ, объяснить бизнес-подразделениям цели и задачи внедрения системы, их роль в данном процессе. Данный подход также позволяет исключить возможность ошибочного понимания СУИБ как набора программных, аппаратных и организационных мер ИБ, предоставляя персоналу банка комплексное видение работы СУИБ как «системы управления».
Возможности компании АМИ в области обеспечения информационной безопасности
Компания АМИ является партнером TUV SUD Ukraine — украинского филиала международной сертифицирующей организации. Свою деятельность в сфере защиты информации АМИ осуществляет на основании лицензии Государственной службы специальной связи и защиты информации Украины на выполнение работ в сфере технической защиты информации (Серия АВ №611947 от 20.04.2012г.).
Дополнительным преимуществом выбора услуг компании АМИ в качестве консультанта по построению СУИБ, является предоставление нашими специалистами оценки уровня зрелости ИТ-инфраструктуры, обеспечивающей работу критичных для бизнеса ИТ-систем, а также разработка плана проектов по совершенствованию ИТ, согласованного с планом реализации СУИБ.
Компания АМИ является одним из крупнейших системных интеграторов на территории Украины. За 20 лет работы на рынке системной интеграции АМИ приобрела большой опыт создания уникальных по своему масштабу проектов в области обеспечения информационной безопасности и предлагает полный комплекс услуг в данном направлении: от аудита информационной безопасности до проектирования и внедрения комплексных систем защиты информации (КСЗИ).
