PCWeek/UE: C 1994 года по 2010 год вы работали в Национальном банке Украины, где прошли путь от заведующего сектором до начальника Управления защиты информации Департамента информатизации. Почему покинули работу в НБУ?
ИРИНА ИВЧЕНКО: В минувшем году у меня закончился срок госслужбы. После этого некоторое время я работала с НБУ по договору, завершая разработку стандартов по информационной безопасности и проектов сопутствующих документов, в частности методических рекомендаций по внедрению СУИБ и оценке рисков. После этого перешла на работу в компанию SICenter, надеюсь, что здесь я смогу оказать помощь банкам по внедрению СУИБ.
PCWeek/UE: Сколько времени заняла подготовка стандартов по СУИБ, известных под названием СОУ Н НБУ 65.1 СУІБ 1.0:2010 «Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги» и СОУ Н НБУ 65.1 СУІБ 2.0:2010 «Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою»?
И.И.: Разработка стандартов заняла около полутора лет. В результате нам удалось добиться того, чтобы условия, выдвигаемые НБУ, практически в полном объеме соответствовали международным стандартам ISO 27001 и ISO 27002 и одновременно содержали требования уже существующих нормативно-правовых актов Национального банка Украины. Это даст возможность финансовым учреждениям, внедрившим стандарты НБУ получить сертификаты соответствия международным стандартам, что может быть особенно необходимо банкам с иностранным капиталом.
Основная идея вышеназванных стандартов заключалась в том, чтобы привлечь внимание руководителей банков к информационной безопасности, провести аудит накопленной ИТинфраструктуры, которая росла с годами как снежный ком. Ведь уже полтора десятилетия украинская банковская система немыслима без информационных технологий: с 1994 года все перечисления денег между банками выполнялись только по системе электронных платежей, обслуживание клиентов проводилось с использованием систем «клиент-банк», а начиная с 2000-го многие банки начали внедрять интернет-банкинг, мобильный банкинг и т.д. Подобные технологии требуют соответствующей защиты. Очень часто не только руководители, но даже сотрудники ИТ-департамента недостаточно четко представляют, какие риски несут информационные технологии. Хочу отметить, что, выпустив постановление №474, НБУ не стал первопроходцем в данной области: во многих странах мира центральные банки рекомендуют внедрять СУИБ в соответствии с международными стандартами ISO 27001 и ISO 27002.
PCWeek/UE: Стандарт НБУ является обязательным или носит рекомендательный характер?
И.И.: Стандарт является обязательным, ведь он введен в действие постановлением Правления НБУ. А все постановления НБУ обязательны к исполнению банками Украины.
PCWeek/UE:Смогут ли банки внедрить СУИБ в соответствии с этим стандартом без помощи системных интеграторов?
И.И.: Одназначно — смогут. Ведь выполнение требований стандартов не предполагает немедленное внедрение новых средств безопасности. Основным требованием стандарта НБУ является создание системы управления информационной безопасностью, периодическое оценивание рисков, связанных с безопасностью в банке, и определение на основании этих оценок, какие системы нужно внедрить для уменьшения наиболее высоких рисков.
Для выполнения этой задачи нужны не столько ИТ-специалисты, сколько аналитики, которые могут проанализировать состояние банка с точки зрения рисков в ИТ-сфере. Эти люди должны разбираться в бизнес-процессах, банковских технологиях, знать требования нормативных документов НБУ и понимать, как закрывать найденные бреши в ИБ. Иногда проблема решается чисто организационными мерами. Но может возникнуть случай, когда необходимо внедрить дополнительные системы безопасности. При этом нужно помнить, что меры безопасности должны быть соответствующими и их стоимость не должна превышать сумму возможных убытков при реализации угроз информационной безопасности.
Главное, чтобы при внедрении системы управления информационной безопасностью не использовался формальный подход, который не предполагает глубокого анализа слабых мест применяемых технологий, подготовки кадров, физической безопасности, безопасности корпоративной сети банка и многого другого, связанного с инфраструктурой банка.
PCWeek/UE: В некоторых банках используются такие средства коммуникации, как Skype, ICQ и т.д. Регламентировано ли их применение в новых стандартах НБУ?
И.И.: Есть требования по так называемым мобильным вычислениям в стандартах. Однако ясно, что изложить требования ко всем новым банковским информационным технологиям очень сложно. С другой стороны, перед внедрением очередных инноваций банки сами должны проводить анализ их безопасности, а не гнаться за неизведанной новизной и сомнительными прибылями.
В этом смысле стандарты НБУ, которые регламентируют внедрение и постоянное функционирование в банках системы управления информационной безопасностью, требуют постоянного анализа рисков, пересмотра их оценки с учетом всех изменений, которые происходят в банке.
PCWeek/UE: Считается, что на 80% стандарты ИБ можно обеспечить за счет организационных мер. Вы согласны с этим утверждением?
И.И.: Это в какой-то степени было возможно много лет назад, когда в банке использовались отдельные ПК, работавшие под DOS и соединенные в ЛВС в масштабах одного здания. Однако если платежные поручения нужно было пересылать по электронной почте, то применяли шифрование сообщения и гарантировали его целостность. Целостность означает, что никто не поменял номер счета, получателей и т.д. Учитывая специфику банковской деятельности, система защиты банковской электронной информации состоит из четырех обязательных составляющих: технологической, бухгалтерской, криптографической и организационной. Только при наличии всего перечисленного можно обеспечить надежную, хотя и не 100-процентную защиту.
PCWeek/UE: Какие просчеты в ИБ чаще всего совершают быстрорастущие организации: банки и другие компании?
И.И.: Отсутствие анализа рисков и погоня за прибылью и супермодными технологиями, которые сами могут являться причинами дополнительных рисков.
PCWeek/UE: Какие вы можете дать рекомендации банкам по внедрению СУИБ в соответствии с последним стандартом НБУ?
И.И.: Первая рекомендация: доказать руководству банка, что меры по совершенствованию защиты действительно нужны, что СУИБ приносит не только затраты для банка, но и выгоды, поскольку может уберечь от многих потерь. Второй совет: вести внедрение не формально, а осмысленно, не писать формальные документы, а выполнять реальный анализ безопасности с учетом ситуации в ИТсфере банка в целом.
Информационная безопасность — очень широкое понятие, и в банках, где без ИТ работа сегодня просто немыслима, есть много разных тонкостей, которые надо четко отслеживать и анализировать.
PCWeek/UE: Банк можно сравнить с крупным предприятием. С точки зрения ИБ, в чем отличия банка от, например, большого промышленного предприятия?
И.И.: Там, где присутствуют большие деньги, найдется немало людей, которые захотят ими поживиться. Поэтому для банков очень критичен факт контроля инсайдеров, ведь они в силу своей служебной позиции могут нанести значительный вред как банку в целом, так и его клиентам. И если в банке нет надежного контроля за инсайдером, то открывается большой простор для махинаций.
Для крупных предприятий, которые не относятся к финансовой сфере, более критичен промышленный шпионаж: все то, что касается ноу-хау, планов выпуска продукции и т.д.
PCWeek/UE: Можно ли сделать вывод, что чем больше банк предлагает различных ИТсервисов, особенно онлайновых, тем больше угроз для безопасности?
И.И.: Я не могу с этим согласиться. Все зависит от того, как банк относится к вопросам информационной безопасности. Если и они, и оценка рисков рассматриваются при построении новых ИТ-сервисов и сразу разрабатываются механизмы защиты информации, которые гарантируют целостность информации, то внедрение новых ИТ-продуктов будет приносить пользу как клиентам, повышая их удобства пользования банковскими услугами, так и банку, принося ему дополнительную прибыль.
PCWeek/UE:Чего стоит опасаться вкладчику, с учетом всего вышесказанного? Как защититься от взлома?
И.И.: Во-первых, пользуйтесь услугами надежного банка, не держите все деньги в одном банке и на одном счету. При использовании платежных карт отдавайте предпочтение картам с чипом, а не с магнитной лентой, хотя пока они в нашей стране недостаточно распространены из-за недостатка соответствующих терминалов. В случае использования карты с магнитной полосой не сообщайте никому CVC-код и никому не отдавайте свою карточку даже для расчетов. Злоумышленнику достаточно переписать номер вашей карты и CVC-код, чтобы воспользоваться ею для платежей в Интернете.
* Information Systems Audit and Control Association — Ассоциация Аудита и Контроля Информационных Систем
