Компания SI Center уже третий год подряд получает награду от журнала «Банкиръ» в номинации «Лидер по построению систем управления информационной безопасностью (СУИБ) для украинских банков». Несомненно, это заслуженное признание, поскольку SI Center является наиболее успешным и опытным партнером в сфере построения СУИБ. Специалисты компании обладают высокой квалификацией в области защиты информации, аудита и консалтинга согласно требованиям международных стандартов и украинского законодательства, а также разработки и внедрения безопасных инфраструктурных и коммуникационных решений. В целом компания реализовала уже 12 проектов по СУИБ в крупных банках, и это больше, чем сделал любой другой системный интегратор в Украине.
Управление ИБ — залог безопасности
Учитывая общемировые тенденции постоянного повышения рисков, связанных с обработкой финансовой информации, многие державы на законодательном уровне предприняли попытку повысить уровень защиты ИТ-систем в финансовых организациях. Национальный банк Украины еще в конце 2010 года разработал серию стандартов по построению системы управления информационной безопасностью в отечественных банках. Помимо рыночных факторов, необходимость внедрения системы управления информационной безопасностью в украинских банках была продиктована требованиями Базельского комитета Basel II по управлению и уменьшению операционных рисков банков. В итоге постановление Национального банка Украины № 474 «О введении в действие стандартов по управлению информационной безопасностью в банковской системе Украины» обязывало банки Украины внедрить СУИБ.
Сегодня для многих банков стоит задача приведения мер по ИБ в соответствие с требованиями стандартов. Первый шаг в этом направлении — оперативное устранение наиболее критических уязвимостей в системе безопасности. Но, как показывает практика, формальный подход нередко приводит к низкой эффективности организационных мер ИБ. Все это не позволяет банкам быть уверенными в успешном прохождении процедур внешнего аудита при оценке рисков, что может прривести к ухудшению показателей рейтинга финансовой организации.
SI Center — эксперт по СУИБ
По словам Валерия Ермошина, к.т.н., руководителя отдела консалтинга и аудита компании SI Center, процесс построения СУИБ в целом подразумевает решение трех задач. Первая из них заключается в описании основных бизнес-процессов, которые функционируют в банке, вторая — в оценке рисков информационной безопасности, и третья — в формализации всех процессов. которые описывают внедренную банком модель управления информационной безопасностью.
При этом если третью задачу банки обычно могут решить самостоятельно, то решение первых двух требует от банка привлечения значительных человеческих ресурсов. Кроме того, банк должен располагать определенной методологией и практическим опытом решения таких задач. Без этого получить воспроизводимый и сопоставимый результат просто невозможно.
Когда СУИБ построена, могут возникнуть вопросы, а все ли процессы, предусмотренные моделью управления, описаны, насколько глубоко они внедрены, какова степень вовлеченности в них персонала, насколько точно они исполняются. Безусловно, все вышеописанные пункты проверяются в процессе ввода СУИБ в промышленную эксплуатацию, которую проводят заказчик и исполнитель проекта. «Однако в рамках реализованных проектов оптимальным вариантом такой проверки мы считаем привлечение третьей независимой стороны, которая сможет оценить все сделанное с точки зрения профессионала. При этом ценным является то, что в результате проверки предоставляется не просто в форме отчета независимого аудитора, а клиент получает именно сертификат соответствия требованиям международно признанного стандарта.
И такие прецеденты в практике SI Center уже есть», — отмечает Валерий Ермошин.
«Укргазбанк»: первая сертификация в Украине
Система управления информационной безопасностью (СУИБ) «Укргазбанка» прошла международную сертификацию в компании «Бюро Веритас Сертификейшн Украина» (Bureau Veritas Certification) и получила сертификат соответствия требованиям стандарта ISO/IEC 27001:2005.
Банк запустил СУИБ в промышленную эксплуатацию 1 декабря 2013. На сегодня это единственный банк в Украине, получивший подобный международный сертификат.
«Укргазбанк» — один из клиентов компании SI Center, поэтому специалисты системного интегратора активно сопровождали процесс сертификации на стороне банка. Вместе с представителями «Бюро Веритас Сертификейшн Украина» и «Укргазбанка» они объехали региональные представительства банка и удостоверились в том, что все пункты, предусмотренные моделью управления СУИБ, реализованы точно и правильно.
Согласно стратегии развития «Укргазбанка», основными направлениями в области автоматизации является обеспечение технологической и информационной конкурентоспособности на современном рынке банковских услуг. Стратегическим направлением развития информационных технологий банка является полная автоматизация бизнес-процессов, что способствует повышению качества обслуживания клиентов и степени их удовлетворенности полученными услугами.
По словам Владимира Медведского, начальника службы банковской безопасности «Укргазбанка», независимый аудит системы управления информационной безопасностью «Укргазбанка», который осуществило «Бюро Веритас Сертификейшн Украина», позволил оценить результативность функционирования и взаимодействия 34 бизнес-процессов в банке с точки зрения защиты и противодействия рискам информационной безопасности. «Нам было важно получить независимую объективную оценку того, как наши банковские информационные технологии защищают клиентов от рисков. Благодаря внедрению СУИБ качественно вырос профессиональный уровень банковского персонала и его осведомленность о современных внешних вызовах информационной безопасности банка».
Процесс подготовки к сертификации и сама сертификация сопряжены с необходимостью запуска всех управляющих процессов, предусмотренных разработанной SI Center моделью управления, а также полного комплексного внедрения этих процессов, как на уровне главного офиса банка, так и на уровне региональных дирекций. Успеха можно достичь лишь при однозначном и одинаковом понимании этих процессов и их результатов как со стороны разработчика (SI Center) и исполнителя (банка), так и со стороны органа по сертификации («Бюро Веритас Сертификейшн Украина»). С этой задачей SI Center справился, участвуя в роли консультанта и дополнительного представителя банка на протяжении всего процесса сертификации, добавил Сергей Недзельский, начальник управления информационной безопасности Службы банковской безопасности АБ «Укргазбанк».
На сегодня мы выполнили 12 проектов по СУИБ, из них уже сертифицировано два — «Укргазбанк» и Global Money. Причем последний в этом году успешно прошел очередной надзорный аудит со стороны «Бюро Веритас Сертификейшн Украина». Хотя НБУ не выдвигает требование обязательной сертификации СУИБ, мы настоятельно рекомендуем банкам сертифицировать систему управления информационной безопасностью на соответствие требованиям международного стандарта ISO 27001, в том числе для закрепления результата ее внедрения, снижения рисков, повышения визуализации бизнес-процессов, улучшения системы менеджмента и ускорения принятия управленческих решений, а также повышения капитализации банка, — комментирует Дмитрий Зарахович, Генеральный директор и Управляющий партнер компании SI Center.
Не в последнюю очередь сертификация важна для маркетинговой дифференциации банка в глазах клиентов. Кроме того, стоит упомянуть и такой факт: европейские банки активно сертифицируют свои СУИБ, а ведь Украина, как известно, стремится стать членом Европейского Союза».
Необходимо отметить, что сертификация СУИБ проводится и как подтверждение правильности и эффективности сделанных заказчиком инвестиций. «Сертификация также является инвестицией, но уже в большей степени — в имидж. При этом размеры такой инвестиции значительно меньше затрат на построение СУИБ», — акцентирует Дмитрий Зарахович. Данный процесс рекомендуется запускать после появления первых записей по всем основным процессам, предусмотренным моделью управления, то есть после того, как СУИБ заработала. Кроме того, по мнению эксперта, решение о сертификации может быть использовано как метод всеобщей мобилизации и административного ускорения запуска процессов управления в случае, если данный процесс натолкнулся на бюрократические преграды или не работает по какой-либо другой причине.
