В области ИТ-безопасности разработчики предлагают сотни разнообразных решений для всех типов задач, а некоторые из них полностью фокусируются на защите данных. Но как определить, что из этого богатства действительно необходимо крупным компаниям, которые предъявляют повышенные требования к надёжности и защищённости своих ИТ-систем? В число таких компаний входят, прежде всего, банки. На руководителя банковской ИТ-службы возложена огромная ответственность, его работа критически важна для функционирования всей организации. О специфике ИТ-безопасности в банковской деятельности с редакцией PCWeek/UE беседует Сергей Цокол, член правления «ЭксимБанка».
 |
Сергей Цокол: Я курирую три подразделения банка: управление информационных технологий, управление защиты электронной информации и процессинговый центр. Из обязанностей главное – координация разработки, внедрения и бесперебойного функционирования ИТ-инфраструктуры банка.
PCWeek/UE: «ЭксимБанк» является государственной компанией. Связана ли с этим статусом какая-либо особая специфика в сфере информационной безопасности?
С. Ц.: У нас есть дополнительный статус - «уполномоченный банк», в связи с чем к нам предъявляются некоторые дополнительные организационные требования в вопросах безопасности, в том числе информационной.
PCWeek/UE: По каким критериям вы классифицируете весь комплекс угроз, с которыми приходится сталкиваться в работе, и каким образом вы им противодействуете?
С. Ц.: Я лично уверен в том, что безопасности много не бывает. Особенно когда речь идет о банковской деятельности. В вопросах функционирования ИТ-инфраструктур прежде всего следует говорить о необходимости взвешенного подхода к процессу управления ИТ-рисками. При этом обязательно учитывать риски готовности систем (по статистике оценивается как «критический» параметр), их безопасности (по статистике 63% - оказание серьезного влияния на бизнес инцидентов, связанных с утечкой данных и производительности (даже мелкие проблемы производительности могут распространяться по стоимостной цепочке и приводить к значительным потерям). Один из наиболее важных аспектов — выполнение действующих нормативных актов, ведь растущее их число и строгость требований к их соблюдению активно влияет на процесс внедрения средств управления ИТ-рисками. Неправильное отношение к процессу управления ИТ-рисками может привести к авариям ИТ-систем и в конечном итоге повлиять на непрерывность бизнеса. Это чрезвычайно важный вопрос особенно для банковской системы: негативные последствия сбоев в работе даже отдельных банков могут привести к быстрому развитию системного кризиса всей платёжной системы государства, нанести ущерб интересам собственников и клиентов.
Таким образом, одним из условий реализации целей банка является обеспечение необходимого и достаточного уровня его информационной безопасности. При этом адекватный потребностям бизнеса уровень обеспечения безопасности информации может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование правовых, организационных, программно-технических и других мер на единой концептуальной и методической основе. В дополнение к комплексности обязательными мерами являются также резервирование и избыточное дублирование. Эту мысль просто пояснить на примере антивирусной защиты. Ни одна антивирусная программа, не в обиду разработчикам антивирусного ПО будь сказано, не в состоянии полностью обеспечить антивирусную безопасность. При появлении нового вируса все поставщики рано или поздно реализуют защиту от него и вносят обновления в антивирусные базы. Чтобы не зависеть от скорости работы одного разработчика, в нашем банке используются одновременно несколько антивирусов. Мы – официальные подписчики многих «классических» антивирусных программ.
PCWeek/UE: Справедливо ли утверждение, что вопросы ИТ-рисков рассматриваются в комплексе обеспечения непрерывности бизнеса как первоочередные задачи?
С. Ц.: Мы понимаем, что означает непрерывность бизнеса, но пока рассматриваем ИТ-риски в следующем контексте. «ЭксимБанк» при создании системы управления рисками руководствуется указаниями рекомендации Basel II. Это комплекс рекомендаций Базельского Комитета банковского надзора, который охватывает всю систему управления рисками в банке. Разрабатывая комплекс мероприятий по управлению рисками, нельзя оставить в стороне операционные риски, поскольку управление операционными рисками и есть важная составляющая управления «непрерывностью бизнеса».
PCWeek/UE: Как, по вашему мнению, должны быть разделены обязанности между отделами ИБ и ИТ? Как это реализовано в вашей организации?
С. Ц.: В первую очередь, я уверен, что совмещать две должности – офицера ИБ и ИТ-специалиста — неправильно и опасно. В нашем банке эти полномочия разделены. Специалисты ИТ-сферы всегда стремятся использовать новейшие технологии, строят смелые планы будущего развития ИТ-инфраструктуры. А перед офицерами безопасности стоит задача обеспечения должного уровня информационной безопасности, что зачастую воспринимается «горячими головами» как ограничение темпов развития.
Существует определенная схема разделения полномочий офицеров безопасности и ИТ-сотрудников, которая основана на принципе несовмещения определенных функций. Это значит, что один человек никогда не сможет получить достаточно полномочий для совершения недопустимой операции.
PCWeek/UE: Аудит безопасности вы проводите собственными силами или приглашаете для этого сторонние организации?
С. Ц.: В настоящее время, в соответствии с «Законом о банках и банковской деятельности», внутренний аудит должен проверять все аспекты деятельности банка. Поэтому у нас ежегодно проводится несколько тематических проверок, которые непосредственно затрагивают вопросы обеспечения непрерывности бизнеса.
При этом мы можем заказывать сторонним организациям дополнительные проверки, связанные с устойчивостью от внешних угроз, анализом соответствия неким требованиям.
PCWeek/UE: Какими внутренними и международными стандартами вы руководствуетесь в своей работе, в частности в вопросах ИТ-безопасности?
С. Ц.: К сожалению, до сих пор в Украине отсутствует основополагающий документ в этой сфере, а именно соответствующий стандарт, который бы устанавливал основные цели и задачи по обеспечению информационной безопасности организаций банковской системы Украины. Наличие такого стандарта позволило бы создать ряд документов во исполнение его требований. Примерами таких документов могут быть: методика оценки соответствия информационной безопасности; рекомендации по подготовке документации; руководства по самооценке безопасности, аудиту информационной безопасности и другие нормативно-методические документы в этой области. Это дало бы возможность повысить уровень информационной безопасности как банковской системы в целом, так и в каждой из ее организаций в отдельности. Более того, наличие таких централизованных документов позволило бы, путем внесения соответствующих изменений в них, создавать условия для реализации ряда положений, содержащихся в обязательных к исполнению международных нормативных документах.
В отличие от России, где проведена большая работа по установлению российских стандартов безопасности, мы пытаемся сразу обсуждать применимость международных стандартов, например стандарта информационной безопасности ISO 27001. Но при этом мы теряем промежуточную стадию, которую провели наши соседи. Не учитывая специфики внутренних рынков, мы уходим от создания собственных национальных стандартов.
Актуальность соответствия международным стандартам, конечно, никто не отрицает, но это не решает всех вопросов. Например, в последнее время многие коммерческие банки Украины оказались в затруднительной ситуации в связи с сертификацией процессинговых центров по требованиям стандарта PCI DSS.
Совет представителей от платёжных систем Visa, MasterCard и других крупнейших систем (PCI Security Standards Council) выработал стандарт PCI DSS и предложил процессинговым банкам оперативно выполнить условия этого стандарта. Наш банк уже около года занимается приведением своего процессингового центра в соответствие с требованиями PCI DSS. Оказалось, что реализацию требований PCI DSS очень трудно совместить с выполнением требований ISO 27001. Однако все украинские банки, работающие с крупнейшими платёжными системами, обязаны выполнить эти требования в сжатые сроки, поскольку их невыполнение грозит высокими штрафами. Соответствие банка стандарту PCI DSS подтверждается ежегодным международным аудитом, а раз в квартал производится дополнительное сканирование сетей и телекоммуникаций.
Требования к сертифицирующей компании также оказались весьма строги, в результате ни одна украинская компания эту аккредитацию не получила.
Национальный банк пока, к сожалению, не проводит централизованной политики в этом направлении. Наше взаимодействие с НБУ не привело к ощутимым результатам, поэтому «ЭксимБанк» самостоятельно работает над приведением своего процессингового центра к требованиям PCI DSS.
PCWeek/UE: В чем состоят трудности сертификации банка по стандарту PCI DSS?
С. Ц.: В данном стандарте определены совершенно конкретные требования к организации ИТ-безопасности, к хранению той или иной информации в базе данных, к технологии обработки этих данных. Два стандарта используют противоположные подходы к реализации: от операций — к стратегии у PCI DSS, и от стратегии — к операциям у ISO. При этом требования PСI DSS часто не соответствуют нашей стратегии безопасности, по которой уже выстроена вся существующая ИТ-инфраструктура и система безопасности. Теперь приходится вносить коррективы в уже работающую систему, что, разумеется, непросто. Основное препятствие – нехватка времени, ведь предстоит выполнить колоссальный объём работ.
PCWeek/UE: Насколько успешно, на ваш взгляд, в нашей стране развивается электронный документооборот, в частности системы электронной подписи?
С. Ц.: В Украине проведена большая работа по определению статуса электронных документов. Был принят целый ряд законов об электронном документе и электронном документообороте. При этом в каждой организации по-прежнему существует архив бумажных документов, в котором движение документов и работа с ними производится по определённым правилам. После того как электронные документы получили такой же правовой статус, что и бумажные, возникла проблема организации надлежащего архивного хранения электронных документов. В настоящее время эта проблема не решена: ни один из производителей на отечественном рынке пока не предложил системы, которая обеспечивала бы все аспекты архивного хранения электронных документов в банковской системе, включая электронную подпись и автоматизированные процедуры работы с такими документами («электронный архивариус»).
На мой взгляд, было бы целесообразно Национальному банку выступить заказчиком такой системы, а остальные банки приняли бы участие в финансировании этой разработки. Таким образом была бы создана единая защищённая система создания архивов электронных документов банковской системы Украины.
PCWeek/UE: Каким образом организован механизм взаимодействия между «ЭксимБанком» и отечественными интеграторами? Какие из работ вы можете поручить системным интеграторам и какие — нет?
С. Ц.: В банковской практике приняты несколько видов конфиденциальности. Например, в определенных ситуациях программное обеспечение не является конфиденциальным, а секретно только информационное наполнение. В этом случае мы работаем с несколькими сторонними компаниями до момента промышленного запуска, после чего в систему вводятся конфиденциальные данные, и с этого момента все сторонние участники остаются за рамками проекта. Внедрение и эксплуатация системы производится уже без них. А действия, связанные, например, со стратегическим планированием системы информационной безопасности выполняются, безусловно, собственными силами.
PCWeek/UE: Какие направления в области системной интеграции, по вашему мнению, в ближайшее время продемонстрируют наиболее активный рост?
С. Ц.: В первую очередь, будут бурно развиваться системы комплексного управления событиями безопасности. Они позволяют офицеру безопасности вести мониторинг работы разнообразных компонентов ИТ-инфраструктуры и дают возможность увидеть целостную картину состояния безопасности.
PCWeek/UE: Какие вопросы в области ИТ-безопасности, относящиеся к вашей компетенции, требуют наиболее срочного решения?
С. Ц.: Больше всего усилий нам придется приложить для получения сертификации по стандарту PCI DSS.
