Рост популярности вопросов защиты информации в банковской среде неслучаен. Бурное развитие украинского рынка банковских услуг, вывод на него новых продуктов, часто на базе еще не проверенных временем технологий, порой создает значительные бреши в информационном «щите» компании. Существует ли системный подход к решению подобных проблем, каким образом осуществляется контроль деятельности банков с точки зрения информационной безопасности? На вопросы PCWeek/UE отвечает Ирина Ивченко, начальник управления защиты информации департамента информатизации Национального банка Украины.

PCWeek/UE: Какие основные регуляторные функции осуществляет Нацбанк по отношению к банковской системе Украины в сфере ИТ-безопасности? Какими вопросами непосредственно занимается ваше Управление?


Ирина Ивченко:
В 1993 году после принятия решения о создании системы электронных платежей (СЭП) был поднят вопрос о защите информации в рамках этой системы. Тогда же в отделе компьютерных технологий создали сектор защиты информации. С 1994 года и по сегодняшний день команда из трех человек, которая работала там в первые годы, выросла до Управления.

Сегодня в компетенцию Управления, помимо защиты информации в СЭП Украины, входит как защита информации в информационных системах Национального банка, которые взаимодействуют с украинскими банками, так и вопросы защиты информации внутри самого НБУ. Как известно, НБУ в каждой области имеет свое территориальное управление, корпоративная сеть НБУ распространяется на всю территорию Украины, и банки для работы в различных информационных системах подключаются к сети Национального банка в ближайшем территориальном управлении НБУ.

В основные функции Управления входит разработка криптографических систем защиты: к ним относятся шифрование, электронная цифровая подпись (ЭЦП). Кстати, в системе электронных платежей цифровая подпись была внедрена еще в 1995 году, когда о законе «Про электронную цифровую подпись» еще не было и речи. Тогда же появился центр сертификации ключей для банков, функционирующий и по сей день. Библиотеки для проверки ЭЦП для банков и подразделений НБУ также разрабатываются у нас, в Управлении. У нас же находится несколько центров сертификации ключей, в первую очередь центр сертификации ключей для СЭП, в котором хранится около 8 тыс. ключей.

Еще одним направлением нашей работы является защита корпоративной сети НБУ от несанкционированного доступа, вирусов, хакерских атак. Следует отметить, что большое внимание здесь уделяется не только защите от воздействий на сеть извне, но и распределению прав доступа к информации со стороны сотрудников Национального банка.

В сферу нашей компетенции входит также безопасность Национальной системы массовых электронных платежей (НСМЭП) и управление ее ключевой системой. Таким образом, Управление  курирует все направления развития информационных технологий, так или иначе связанные с защитой информации.

Кроме того, мы занимаемся подготовкой требований к информационным системам банков, поскольку в соответствии с законом «Про Национальный банк» именно НБУ устанавливает требования к развитию информационных технологий и защите информации в банковской системе Украины. Наличие у НБУ регуляторных рычагов помогает повысить общий уровень безопасности во всей банковской системе. Отсутствие подобных механизмов неизбежно привело бы к тому, кто каждый банк пытался бы организовать защиту исходя из собственных соображений. А высококвалифицированных специалистов по защите информации в Украине, к сожалению, пока очень мало.

Подобная функция позволяет нам выдвигать для банков четкие нормативные требования — например, обязательное наличие администратора защиты информации в банке, две подписи для каждого платежного документа и т.п. Банкам в этой ситуации легче ориентироваться — фактически мы даем им путеводную нить. Кроме того, мы часто получаем и обратную связь в случае, если что-то в требованиях не упомянуто. Например, сейчас актуален вопрос: почему отсутствуют правила подключения банка к сети интернет?

PCWeek/UE: Какова общая концепция взаимодействия Нацбанка с коммерческими банками в области ИТ-безопасности?

И. И.:
При подготовке нормативного документа НБУ его проект всегда обнародуется на официальном сайте и открывается для обсуждения. Часто этот документ дополнительно рассылается по каналам НБУ в банки для внесения ими встречных предложений. По итогам работы создаётся окончательный нормативный документ, который проходит регистрацию в Министерстве юстиции, определяется срок начала его действия.

Наша точка зрения в области защиты информации, подтверждённая практическим опытом, состоит в следующем — сколько бы мы ни шифровали, сколько ни подписывали электронные документы, невозможно стопроцентно защитить информацию. Вопрос информационной безопасности тесно связан с разработкой безопасной технологии работы информационных систем. Поэтому очень многие нормативные документы пишутся совместно несколькими департаментами НБУ, и вопросы защиты интегрируются с общими нормативными требованиями к банкам. Пример: в постановление «Об организации операционной деятельности в банках» отдельным блоком входят и требования к защите информации.

Контроль за информационной безопасностью Национальный банк осуществляет в двух направлениях. При работе в системе электронных платежей и других информационных приложениях НБУ, требующих подключения банков к нашей сети, мы сами обеспечиваем их средствами защиты. При этом в договорах, заключаемых банками с НБУ, однозначно указано, что наши сотрудники осуществляют проверку любого банка, работающего с нашими средствами защиты. Общий же контроль безопасности банка осуществляет служба надзора Нацбанка, выполняющая комплексные проверки банков.

PCWeek/UE: Какие проблемы, связанные с информационной безопасностью в банковской деятельности, вы считаете наиболее актуальными?

И. И.:
Я бы выделила две основные проблемы. Первая — сегодня при осуществлении финансовых операций задействовано множество новых информационных технологий, в том числе использование интернет, мобильного банкинга и т.д. К сожалению, банки не всегда критически подходят к проблемам, которые могут возникать из-за отсутствия чёткого понимания рисков, связанных с новыми информационными технологиями. Со своей стороны, НБУ не может жестко регламентировать требования к веб-технологиям — ведь чаще всего они используются для обслуживания физических лиц, на основании договора между банком и клиентом. Предоставлять банкам типовой договор на обслуживание с помощью таких технологий Национальный банк не вправе, а рисков в этой сфере очень много. Причём риски в основном касаются клиентов банка, а договора составлены так, что часто риски покрываются за счёт клиента. Отсюда и первая «беда» — недостаточно разумное и безопасное использование новых технологий.

Вторая проблема — защита от инсайдеров, то есть от своих же сотрудников. В особенности это касается администраторов, которые «видят и могут всё». Чрезмерная доверчивость по отношению к ним может быть чревата весьма тяжёлыми последствиями для банка.

В определённой степени последняя проблема касается и самого Национального банка. Поэтому мы сейчас стараемся строить технологию работы таким образом, чтобы действия администраторов контролировались, а это — не самая простая задача. Наилучшим выходом здесь является банковское правило «двух рук»: один человек не вправе создать и выполнить платёжный документ, никто не может в одиночку администрировать серверы, иметь чрезмерные полномочия. Мы стараемся ограничивать полномочия для выполнения только своих функциональных обязанностей, регламентируем, какие функциональные обязанности нельзя совмещать в банке.

Простейший способ обезопасить информацию — не предоставлять одному администратору неограниченных полномочий. Пароль делится на две части с тем, чтобы только два человека из разных подразделений — в рамках Нацбанка это управление телекоммуникаций и управление защиты информации — работали в качестве единого администратора системы. Кроме этого, необходимо использовать и ограничение физического доступа. Защита информации — это, в первую очередь, комплексный подход. Поэтому первым шагом к построению таких систем в банке является верное написание политики информационной безопасности.

PCWeek/UE: Какие шаги предпринимаются НБУ для решения системных проблем с информационной безопасностью в банковской сфере? Существуют ли специальные программы в этой области?

И. И.:
Сейчас мы начинаем блок работ по созданию документов, регламентирующих процессы управления информационной безопасностью в банке. Часть из них будут нормативными, часть будет носить рекомендательный характер. Создание таких документов — довольно сложная задача, ведь полная информационная безопасность невозможна без безопасных технологий. Но, поскольку технологии используются самые разные, создать документ, прямо диктующий правила работы с точки зрения ИБ, невозможно. Даже у нас, в Нацбанке, используются различные каналы взаимодействия пользователей: одни работают в режиме файлового обмена, со своими требованиями безопасности, другие — в режиме онлайн. Следовательно, нужно применять различные подходы, учитывать требования международных стандартов безопасности и использовать примеры из мировой практики. Подготовить такие документы для банков мы рассчитываем в течение текущего и следующего года.

Главное препятствие для нас сегодня состоит в том, что стандарты ISO 27001, ISO 27002 не гармонизированы на территории Украины, сейчас этим вопросом занимается Госстандарт. Одна из основных проблем связана с терминологией. Мы готовы составить нормативные документы буквально в ближайшее время, но, если терминология не будет совпадать с принятой в украинской гармонизированной версии стандарта ISO, их ценность будет нивелирована. Вообще отсутствие регламентированной украинской терминологии я считаю одной из самых больших проблем в отечественной ИТ-сфере.

Второй большой проект, стартовавший в прошлом году, — создание удостоверяющего центра Национального банка Украины. В соответствии с законом об ЭЦП, при Министерстве транспорта и связи Украины создан центральный удостоверяющий орган, который уже несколько лет работает с различными центрами сертификации ключей. Целью создания удостоверяющего центра Национального банка является предоставление возможности регистрации и аккредитации центрам сертификации ключей банков (а в каждом банке их минимум один-два) для создания инфраструктуры центров сертификации ключей в банковской системе Украины.

Ориентировочно центр, появления которого банки уже с нетерпением ожидают, будет запущен к осени. А пока в НБУ готовятся нормативные документы, описывающие порядок регистрации и аккредитации в удостоверяющем центре и регламентирующие единый формат данных ЭЦП для банковской системы. Последнее позволит банкам без проблем «общаться» на уровне документов, пользуясь услугами нашего удостоверяющего центра.

PCWeek/UE: Опишите, в каких областях должен обладать компетенцией идеальный сотрудник, работающий в службе ИТ-безопасности банка?

И. И.:
По опыту общения с сотрудниками, которые отвечают за защиту информации в банках, могу отметить, что, к сожалению, не все специалисты способны охватить проблему защиты информации в банке целиком. Сотрудник, в чью сферу ответственности входит защита информации, должен иметь, в первую очередь, широкий кругозор — быть в какой-то степени аналитиком, способным оценить риски, возникающие не только в отдельно взятой информационной системе, но и во всём банке в целом.

Нередко в отечественных банках принят следующий подход: средства тратятся на защиту одной только информационной системы. При этом забывают, что она живет не сама по себе, а является частью информационной инфраструктуры банка, для которой действуют определенные организационные правила. Поэтому очень важно — найти «золотую середину», проанализировать всю инфраструктуру и построить систему защиты, которая, с одной стороны, не очень мешает работе, а с другой — является достаточно надёжной.

Второй основной постулат, которым должен руководствоваться специалист, — обеспечить оптимальное соотношение затрат и потерь. Если «весы перетягивают» в сторону стоимости защиты, она становится неэффективной с экономической точки зрения; если, наоборот, финансирование недостаточное — неэффективна уже сама система защиты с точки зрения обеспечения безопасности. Найти оптимальный баланс между этими факторами — важная и непростая задача. Хотелось бы, чтобы в украинских банках было больше сотрудников, которые способны ее достойно решить. Для этого необходимо по меньшей мере внедрять специализированные обучающие программы по информационной безопасности, которые позволят подготовить специалистов, способных не только на теоретический подход к проблеме, но и практическое применение знаний, что особенно важно в условиях работы реального банка.