Эмин Мамедов- Консультант по вопросам информационной безопасности.

2013 год объявлен в республике Годом информационно-коммуникационных технологий в Азербайджане. Страна взяла курс на развитие информационного общества и вопросы информационной безопасности приобретают еще большую актуальность.

Еще в 2012 году Государственный комитет по стандартизации, метрологии и патентам Азербайджана утвердил государственные стандарты по информационной безопасности (ИБ).Внедрение в этих стандартов позволит осуществить конкретные шаги для совершенствования бизнес-процессов в рамках информационной безопасности. 

На сегодняшний день руководители банковского сегмента начинают понимать важность обеспечения ИБ в ИТ инфраструктуре, ведь угрозы мошенничества с использованием информационных технологий, в первую очередь в системах дистанционного банковского обслуживания (ДБО), угрозы безопасности, связанные с банковскими картами, инсайдерские угрозы, связанные с хищением информации, угрозы безопасности, обусловленные ошибочными действиями пользователей явно выходят на первый план. Немалую роль в данном процессе играют и риски, связанные с тем, что бизнес-подразделения, не вполне понимая необходимость обеспечения ИБ, и не имея в своем распоряжении специалистов по ИБ, пытаются активно внедрять информационные технологии и банковские продукты, которые не всегда отвечают требованиям безопасности.

Поэтому на данный момент финансовые вложения в защиту своих ресурсов в том или ином виде сделаны практически во всех банках: отдельные средства или комплексные системы безопасности установлены в каждом ИТ-подразделении.Но лишь немногие из финансовых учреждений выделяли достаточно средств для создания отделов информационной безопасности.

Для ре­зуль­та­тив­но­го и эф­фек­тив­но­го ре­ше­ния про­блем ин­фор­ма­ци­он­ной без­опас­но­сти необ­хо­ди­мо со­зда­вать со­от­вет­ству­ю­щее са­мо­сто­я­тель­ное под­раз­де­ле­ние с выделенным бюджетом. Попыт­ки ре­шить про­бле­му посредством службы ИТ поз­во­ля­ют в до­бить­ся успе­ха лишь ча­стич­но. От­вле­чение службы ИТ от ее пря­мых обя­зан­но­стей для ре­ше­ния задач без­опас­но­сти, приведет к тому, что ре­ше­ние биз­нес-за­дач ото­дви­нет за­да­чи обес­пе­че­ния без­опас­но­сти на зад­ний план.

Но где же взять специалистов по ИБ? Ведь на рынке крайне мало специалистов по информационной безопасности, тем более с опытом практической работы. Если говорить об

аутсорсинге информационной безопасности, то на сегодняшний день допустить к секретной информации посторонних людей, пусть даже связанных соглашением о конфиденциальности и неразглашении информации готовы далеко не все.

Следовательно банки будут нести затраты на обучении сотрудников ИТ подразделений, но это вполне приемлемые затраты по сравнению с величиной рисков аутсорсинга ИБ, когда опасения, что информация, касающаяся  безопасности станет доступной за пределами банка. Тем более, что профессиональный аутсорсинг ИБ также не из разряда дешевых.

Ин­фор­ма­ци­он­ная без­опас­ность любой организации представляет собой ком­плекс ор­га­ни­за­ци­он­но-тех­ни­че­ских мер, и одних лишь организационных или технических ме­то­дов ре­ше­ния здесь недостаточно.

Помимо организационных мероприятий по обеспечению ИБ, созданное подразделение нужно обеспечить необходимым инструментарием для качественного выполнения функциональных обязанностей.

Так какие же средства обеспечения ИБ являются наиболее востребованными и перспективными в банковской сфере?

Помимо традиционных для ИТ средств по защите периметра сети, антивирусных решений, систем защиты почтового трафика от спама,блокировки USB-носителей и внешних устройств. серьезный интерес проявляется ксистемам шифрования данных мобильных устройств, централизованного мониторинга и контроля действий пользователей в корпоративных сетях, а также системам обработки событий информационной безопасности.

Показательно, что крупные ИТ-вендоры скупают традиционных игроков рынка информационной безопасности и встраивают их решения в свои продукты и технологии. С их стороны уже сегодня предлагаются инфраструктурные решения по информационной безопасности, такие как межсетевые экраны, средства обнаружения вторжений,  антивирусные средства, Identity Management, DLP системы.

В банках, где уже существуют отдельные подразделения ИБ, постепенно будет происходить комплексное внедрение систем предотвращения утечекDLP (DataLossPrevention), с помощью которых можно предотвратить утечку критически важной для бизнеса информации. Ведь несмотря на то, что большая часть сотрудников подписывает соглашение о неразглашении информации, многие нарушают его и передают корпоративные данные за пределы внутренней сети. Чаще всего для этого используют электронную почту и флешки. А утечка конфиденциальных данных чревата серьезными репутационными рисками.

Помимо непосредственного внедрения самих систем дистанционного банковского обслуживания (ДБО), актуальной проблемой станет уязвимость данных систем, как на стороне банка, так и на стороне клиента. В данном случае будут востребованы и антифродовые системы,  средства криптографической защиты информации, возможность многофакторной аутентификации и т.д.

С развитием каналов ДБО услуги мобильного банкинга будут становиться более популярными. Однако пути снижения рисков для мобильных устройств аналогичны рекомендациям для интернет банкинга -  не загружать игры и программы из сомнительных источников, не передавать телефон посторонним лицам, не удалив предварительно банковское приложение.

В результате создания новых банковских продуктов и внедрения инновационных услуграстет, как количество информационных ресурсов, так и сотрудников организации, что затрудняет ведение мониторинга прав доступа пользователей администраторами систем.Для решения данной проблемы крупные банки начнут внедрение комплексных решений по управлению правами доступа и учетными записями пользователей"Identity Management" (IdM) или "Access and Identity Management" (AIM).

Интеграция систем информационной и физической безопасности актуальна не только для банковского сектора. Контроль доступа как в помещения организации, так и к информационным ресурсам является самым распространенный путем интеграции. Если раньше системы защиты информационных ресурсов устанавливались обособленно и почти никак не были связаны с инфраструктурой, которую они были призваны защищать, то сегодня такой подход является неперспективным.

Консолидация и виртуализация серверов относятся к наиболее заметным тенденциям в ИТ последних лет. В среды виртуализации все чаще переносятся критически важные приложения.  Без обеспечения безопасности для виртуальных сред данная среда становится легко уязвима для злоумышленников. Поэтому к наиболее востребованным внедрениям в будущем можно отнести решения по организации защиты виртуальных сред.

Внедрение систем электронного документооборота (СЭД), позволяет обеспечить сокращение трудозатрат и времени на обработку и подготовку документов, принятие управленческих решений, упрощает механизм ее контроля. В то же время, СЭД порождает новые риски, и если не обеспечить комплексную  безопасность системы,риски нарушения конфиденциальности, целостности и доступности информации будут весьма велики.

А вот к широко разрекламированным облачным вычислениям (Cloud Computing),каковы бы не были прогнозы экспертов, банки не будут проявлять определенного интереса из-за специфики обеспечения конфиденциальности информации.Речь может идти только о обезличенных тестовых средах.Предложить банкирам хранить свои активы в другом, да еще «облачном» банке? Для решения этой проблемы потребуются новые технологические платформы и стандарты безопасности.

В заключение, хочу отметить, что расходы на ИБ должны рассматриваться именно как инвестиции, от которых бизнес ждет обеспечения эффективности протекания бизнес-процессов.

Вставка в отдельном окне:

В 2012 году Государственный комитет по стандартизации, метрологии и патентам Азербайджана утвердил подготовленные Техническим комитетом по стандартизации «ИКТ», который, в частности, занимается подготовкой стандартов в сфере ИКТ и локализацией международных стандартов на азербайджанский язык, государственные стандарты:

·         AZSISO/IEC 27000-2012 «Информационные технологии - методы безопасности. Системы управления информационной безопасностью. Обзор и словник», охватывает обзор стандартов связанных с системой управления информационной безопасностью (СУИБ), вход в системы, краткий обзор процесса «Планирование - выполнение - проверка - воздействие» (PDCA) и термины и определения, используемые в сборнике стандартов СУИБ.

·         AZS ISO/IEC 27003-2012 «Информационные технологии - методы безопасности. Инструкция по внедрению системы управления информационной безопасностью», направлен на основные аспекты, требуемые для подготовки и внедрению СУИБ в соответствии с ISO/IEC 27001:2005. Он описывает процесс разработки, от подготовки спецификаций и планов внедрения СУИБ до производства, процесс утверждения руководством внедрения СУИБ, определяет проект для внедрения СУИБ и инструктирует планирование проекта СУИБ, который завершится итоговым проектом по внедрению СУИБ.

·         AZSISO/IEC 27004-2012 «Информационные технологии – методы безопасности. Управление информационной безопасностью. Измерение», обеспечивает инструкцию по разработке и использованию мер и измерений для оценки эффективности созданных СУИБ и средств управления или групп средств управления, указанных в ISO/IEC 27001

·         AZSISO/IEC 27006-2012 «Информационные технологии - методы безопасности. Аудит систем управления информационной безопасностью и требования к органам, обеспечивающим сертификацию» в дополнение к требованиям, отмеченным в ISO/IEC 17021 и ISO/IEC 27001, обеспечивает инструкциями и уточняет требования для аудита СУИБ и органов, обеспечивающих сертификацию. В первую очередь это призвано для помощи при аккредитации органов сертификации, обеспечивающих сертификацию СУИБ

·         AZS ISO/IEC 27033-1-2012 "Информационная безопасность - методы безопасности. Безопасность IT-сетей. Часть I: Обзор и определение». предоставляет обзор определений по сетевой безопасности и сопутствующих понятий. Стандарт определяет и описывает определения, связанные с сетевой безопасностью и одновременно обеспечивает инструкцию по сетевой безопасности.