Abv96.ru

Юридические консультации онлайн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Информационная безопасность региональных банков

Построение СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0

СТО БР ИББС

Центральный банк Российской Федерации (Банк России) при участии Ассоциации российских банков (АРБ) и Ассоциации региональных банков России (Ассоциация «Россия») разработал комплекс стандартов по обеспечению информационной безопасности организаций банковской системы Российской Федерации (далее – Комплекс БР ИББС). Документы Комплекса БР ИББС согласованы Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Банк России, АРБ и Ассоциации «Россия» рекомендуют руководствоваться документами Комплекса БР ИББС при проведении работ по защите информации, отнесенной к персональным данным, банковской или коммерческой тайне.

Реализация рекомендаций документов Комплекса БР ИББС и, в частности, стандарта СТО БР ИББС-1.0, позволит Банку оптимизировать финансовые и ресурсные затраты на создание системы защиты персональных данных и одновременно обеспечит соответствие информационной безопасности Банка существующим требованиям.

Документальное подтверждение соответствия информационной безопасности Банка существующим требованиям и стандарту СТО БР ИББС-1.0 повышает рейтинг Банка и позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в Банке налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает Банку конкурентное преимущество, демонстрируя эффективно функционирующую систему обеспечения информационной безопасности, соответствующую требованиям стандарта СТО БР ИББС-1.0 и Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».

Приведение СОИБ Банка в соответствие с требованиями стандарта СТО БР ИББС

Целью Проекта является приведение системы обеспечения информационной безопасности Банка существующим требованиям, стандарту СТО БР ИББС-1.0 и Федеральному закону от 27.07.2006 года № 152-ФЗ «О персональных данных» с последующим документальным подтверждением указанного соответствия.

Проект реализуется в несколько этапах:

Аудит. Целью данного этапа является оценка текущего состояния информационной безопасности Банка, выявление несоответствий полученных результатов требованиям стандарта СТО БР ИББС-1.0, разработка и согласование с Банком рекомендаций по устранению обнаруженных несоответствий.

Внедрение. В рамках данного этапа, как правило, осуществляются работы по определению подлежащих защите информационных активов, оценке актуальных угроз и рис-ков, разработке комплекта нормативной и регламентирующей документации Банка, внедрению необходимых технических средств защиты и другие, согласованные с Банком работы и мероприятия, необходимые для приведения состояния информационной безопасности Банка в соответствие с существующими требованиями, стандартом СТО БР ИББС-1.0 и Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных».

Подтверждение. Выполняются работы, результатом которых является выпуск документа «Подтверждение соответствия стандарту Банка России СТО БР ИББС-1.0». Документ посылается в адреса Банка России.

В таблице ниже представлен перечень выходных документов:

Перечень формируется сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком

Перечень разрабатываемых/ дорабатываемых документов формируется по результатам предыдущих этапов, ответственными сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком

В случае появления вопросов или интереса к описанной услуге по построению СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

Новости

Вебинар «Информационная безопасность для финансовых организаций»

2 июня 2020 г. состоялся вебинар для представителей предпринимательского сообщества и региональных и муниципальных Торгово-промышленных палат России под руководством Председателя Совета ТПП РФ по финансово-промышленной и инвестиционной политике Владимира Гамзы.

В условиях роста количества киберпреступлений и повсеместном переходе на дистанционную работу, информационная безопасность становится одним из краеугольных камней построения бизнеса. Наравне с уникальным торговым предложением, бизнес-моделями и привлечением клиентов.

Зачастую, основной целью злоумышленников является кража денежных средств компаний через системы «Клиент-Банк». К сожалению, не все риски обхода периметра безопасности систем «Клиент-Банк» можно закрыть непосредственно на уровне банк-клиента. Даже в заботящейся об информационной безопасности компании не всегда хватает опыта построить грамотную систему безопасности для «Клиент-Банка».

Руководитель отдела IT-безопасности банка «Левобережный», Сергей Федотов, отметил о том, что «банк не может отвечать за уровень информационной безопасности своего клиента». Дело в том, что по причинам халатности, отсутствия должного технического обеспечения или нехватки знаний все чаще происходят взломы и кражи денежных средств. В случае пробоя периметра безопасности злоумышленники выводят деньги за считанные минуты.

О том, как защитить свои каналы коммуникаций и финансовых транзакций в ходе презентации комплексного решения для защиты подсистем типа «Клиент-Банк» — Safety-BC, рассказал руководитель направления информационной безопасности компании ООО «Акстел-Безопасность», партнера компании «МАРЭР», Максим Прокопов.

Крайне важно обучать обычных сотрудников правилам работы с банковским ПО, считает руководитель учебного центра Сибирской Академии Информационной Безопасности, Иван Качалов. Он также уверен, что сотрудников IT-безопасности необходимо обучать как определять информационные атаки, что своевременно останавливать их. Иван продемонстрировал видеозапись подключения хакера к рабочему месту сотрудника банка, который даже этого не заметил.

Владимир Жолкевич, руководитель проекта по информационной безопасности «Электронный экспресс», рассказал, как организовать защищенный удаленный доступ сотрудников к корпоративным ресурсам в условиях повсеместного перехода на дистанционную работу.

В завершении, Владимир Гамза отметил насколько полезным и конкретным получился данный вебинар, а также предложил присутствовавшим представителям региональных торговых палат активно рассказывать бизнесу о необходимости правильно выстроенной системы информационной безопасности.

Полная запись вебинара.

ЦБ недоволен квалификацией сотрудников, отвечающих за информационную безопасность

О том, что ЦБ намерен разработать рекомендации по стандартным требованиям к сотрудникам, отвечающим за информационную безопасность банков, рассказал замначальника Главного управления безопасности и защиты информации ЦБ Артем Сычев на VIII Уральском форуме по информационной безопасности финансовой сферы.

Необходимость такого документа он объясняет тем, что иногда в службу безопасности банка набирают всех, кто считается просто техническим специалистом, или тех, «кто из всей информационной безопасности знает только, что она есть». Квалифицированных кадров, которые увольняются из ФСБ и ФСТЭК, на всех не хватает, объясняет Сычев. На совещании у председателя была одобрена идея перевести этот стандарт из отраслевого в разряд ГОСТа и сделать его применение обязательным, как только у ЦБ появится такая возможность, указал Сычев.

Информационная безопасность – одно из наиболее значимых направлений работы, поскольку бесперебойность расчетов и конфиденциальность – это краеугольные камни банковского бизнеса, рассказывает первый зампред правления банка «Югра» Юрий Мельников.

ЦБ раньше не предлагал ввести требования к квалификации сотрудников банков, занимающихся информационной безопасностью, это новая идея, говорит бизнес-консультант по безопасности Cisco Алексей Лукацкий. По его словам, сейчас есть государственный образовательный стандарт по информационной безопасности, утвержденный Минобрнауки, а также профессиональный стандарт Минтруда, но они общие и конкретных требований к сотрудникам, работающим именно в банках, не содержат.

Требования к квалификации могут помочь, поскольку молодые специалисты, понимая, что есть четкие критерии со стороны ЦБ, будут активнее получать профильные навыки, считает Мельников. С другой стороны, сейчас идут сокращения и на рынке освобождаются квалифицированные люди, добавляет сотрудник департамента информационной безопасности крупного банка.

Помимо недостатка компетенции есть и другая проблема, указывает Лукацкий: в некоторых банках сотрудников, занимающихся информационной безопасностью, просто нет.

Впрочем, с этим регулятор тоже намерен бороться и уже готовится применять меры воздействия к банкам за низкий уровень информационной безопасности, обещал Сычев два дня назад.

Хотите скрыть рекламу? Оформите подписку и читайте, не отвлекаясь

  • Подписка
  • Реклама
  • Справочник компаний
  • Об издании
  • Редакция
  • Менеджмент
  • Архив
  • Наши проекты

    • Спорт
    • HBR Россия
    • Как потратить
    • Ведомости&
    • Карьера
    • Конференции
    • Практика

    Контакты

    Рассылки «Ведомостей» — получайте главные деловые новости на почту

    Ведомости в Facebook

    Ведомости в Twitter

    Ведомости в Telegram

    Ведомости в Instagram

    Ведомости в Flipboard

    Сетевое издание «Ведомости» (Vedomosti) зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27 ноября 2020 г. Свидетельство о регистрации ЭЛ № ФС 77-79546.

    Учредитель: АО «Бизнес Ньюс Медиа»

    Главный редактор: Шмаров Андрей Игоревич

    Рекламно-информационное приложение к газете «Ведомости». Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) за номером ПИ № ФС 77 – 77720 от 17 января 2020 г.

    Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на vedomosti.ru

    Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

    Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

    Все права защищены © АО Бизнес Ньюс Медиа, 1999—2020

    Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на vedomosti.ru

    Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

    Все права защищены © АО Бизнес Ньюс Медиа, 1999—2020

    Сетевое издание «Ведомости» (Vedomosti) зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27 ноября 2020 г. Свидетельство о регистрации ЭЛ № ФС 77-79546.

    Учредитель: АО «Бизнес Ньюс Медиа»

    Главный редактор: Шмаров Андрей Игоревич

    Рекламно-информационное приложение к газете «Ведомости». Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) за номером ПИ № ФС 77 – 77720 от 17 января 2020 г.

    Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

    Информационная безопасность региональных банков

    Скамерский хит-парад

    • 28 декабря 2020

    Компания BI.ZONE составила список регионов с наибольшим числом мошеннических звонков. За этот год скамеры совершили около 15…

    «Подчёркиваем необходимость…»

    • 28 декабря 2020

    Российским органам местного самоуправления предложат развивать цифровые возможности взаимодействия с гражданами, сообщил…

    «Фиксирую данную информацию»

    • 28 декабря 2020

    Мошенники смогли дозвониться до председателя Банка России Эльвиры Набиуллиной. Глава регулятора сказала, что она бросила…

    Адвент-календарь кибербезопасности: будьте в курсе, оставайтесь в безопасности!

    • 28 декабря 2020

    Когда дело доходит до праздничных подарков, всегда приветствуются сюрпризы и чудеса. Однако когда дело доходит до защиты вашей…

    Пенсия в цифре

    • 28 декабря 2020

    Эльвира Набиуллина рассказала, что по факту введения в оборот цифрового рубля граждане смогут выбрать эту форму валюты для…

    Предустановка российского ПО все ближе. И штрафы тоже

    • 27 декабря 2020

    Государственная Дума приняла в первом чтении законопроект об административных штрафах до 200 тысяч рублей за продажу отдельных…

    Комментарии экспертов

    BIS-комментарий к статье «ZKP – блокчейн. Союз скорого будущего»
    BIS-комментарий к статье «ZKP – блокчейн. Союз скорого будущего»
    Цифровой рубль. Вопросы из зала
    Цифровой рубль. Вопросы из зала
    «Доклады представителей Центра ФСБ всегда отличаются всесторонним анализом…»
    «Доклады представителей Центра ФСБ всегда отличаются всесторонним анализом…»
    Когда проходить оценку соответствия ГОСТ Р 57580?
    Когда проходить оценку соответствия ГОСТ Р 57580?
    2021 – новый уровень проникновения PKI-сервисов в прикладные задачи
    2021 – новый уровень проникновения PKI-сервисов в прикладные задачи

    Мы в соцсетях

    • 22.86К
    • 3.99К
    • 2.28К
    • 650
    • 1.57К
    • 376

    ТОП публикаций

    Рейтинг особого назначения. Как киберразведка и Big Data помогают оценивать критичность уязвимостей и приоритизировать их устранение
    • 25 августа 2020

    Инциденты обойдутся банкам намного дороже
    • 7 августа 2020

    «Выбрось это старьё!» Об информационной безопасности на низшей ступени госструктур
    • 7 сентября 2020

    Согласно законодательству РФ…
    • 8 сентября 2020

    В штатном режиме
    • 10 августа 2020

    Публикации

    Ступенью выше

    • 28 декабря 2020

    Центр киберустойчивости Angara Cyber Resilience Center отменил… Подробнее.

    Цифровая грамотность сотрудников: от нормативных актов до тренировок
    • 25 декабря 2020

    «Сделано в России, сертифицировано ФСТЭК» – 2
    • 24 декабря 2020

    Управляй осиными гнёздами
    • 23 декабря 2020

    «Мы держим руку на пульсе времени»
    • 22 декабря 2020

    На трёх китах
    • 21 декабря 2020

    «Лаборатория Касперского» для крупного бизнеса
    • 20 декабря 2020

    Телевидение

    Фёдор Новиков (ФНС России): «ЭП станет ближе к рядовому пользователю»

    • 24 ноября 2020

    Комментарий представителя Федеральной налоговой службы на PKI-Форуме 2020 — о том, как изменится ситуация на рынке ЭП после… Подробнее.

    SOC-Форум Live — SOC-cast: Тренды/Угрозы (Залевский, Новиков, Зайцев)

    • 8 декабря 2020

    Продолжение программы Канала 1 на SOC-Форуме Live — выступления о реальных кейсах из практики центра мониторинга, о… Подробнее.

    SOC-Форум Live — Ключевая дискуссия «Новый мир и безопасность» — 1 декабря 2020 г.

    • 4 декабря 2020

    На SOC-Форуме Live в прямом эфире звучат важные заявления о SOC-ах, трендах киберпреступности, регулировании и защите… Подробнее.

    SOC-Форум Live — Трек 5. SOC: люди, процессы, задачи (Зиннятуллин, Мальнев, Лобзин)

    • 17 декабря 2020

    Как помочь сообществу решать ИБ-задачи, резко снизить время на построение центров мониторинга и повысить эффективность работы… Подробнее.

    Дмитрий Горелов (Актив): «Уже понятно, что регулирование будет жёстким»

    • 17 ноября 2020

    Представитель крупной компании-разработчика токенов высказался на PKI-Форуме 2020 о трансформации рынка ЭП и ЭДО и о новом… Подробнее.

    Василий Шауро (Emerson): «Нельзя экономить на защите АСУ ТП»

    • 13 ноября 2020

    Почему вопросы кибербезопасности невозможно решить только организационными мерами, и как относятся к ИБ в «нефтехимии» —… Подробнее.

    Все вопросы и пожелания присылайте на info@ib-bank.ru
    Контактный телефон: + 7 (499) 271-70-85
    Сетевое издание ib-bank.ru (BIS Journal — информационная безопасность банков) зарегистрировано 10 апреля 2015г., свидетельство ЭЛ № ФС 77 — 61376 выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
    Политика конфиденциальности персональных данных.

    © ООО Медиа Группа Авангард Все права защищены 2007-2020гг.

    Информационная безопасность в цифровом банке

    Банки с каждым годом сокращают количество отделений, предпочитая развивать цифровые каналы взаимодействия с клиентами. По данным «Коммерсанта», в прошлом году российские банки закрыли 10% офисов. «Тинькофф Банк», пионер цифровизации и дистанционного обслуживания в России, позиционирует себя как ИТ-компанию, «Сбербанк» — как «уже не совсем банк». И дело не только в том, что технологические компании выше котируются на бирже: границы между банками, ИТ, ритейлом и финтехом чем дальше, тем больше стираются. Это же касается и внутренних бизнес-процессов.

    У банковской цифровизации два базовых преимущества — удобство (для самого банка и для клиентов) и экономия. В числе минусов — новые риски информационной безопасности, включая киберугрозы, которые сопутствуют ИТ-компаниям. В этом посте поговорим о цифровизации банков как раз в контексте обеспечения ИБ. Но для начала — о тенденциях.

    Миграция в цифру

    Трансформация банков — вопрос не моды, а конкурентноспособности. Когда клиенты «живут» в смартфонах, в соцсетях, странно бороться за них в офлайне. У банков, входящих Топ-50, практически все операции, за исключением разве что банковских ячеек, дублируются онлайн. Та же процедура получения кредита, даже ипотечного, донельзя упрощена и диджитализирована. Причина, конечно, не в том, что банки стремятся облегчить жизнь клиентам. Просто сейчас банкам доступно множество источников информации о них — от кредитной истории до «резюме» правоохранительных органов, а также средства аналитики с применением AI (искусственного интеллекта). Этот инструментарий упрощает и ускоряет процедуру проверки кредитоспособности клиента, а в итоге и выдачу денег.

    Учитывая, что у некоторых банков доля дистанционных контактов с клиентами доходит чуть ли не до 100%, необходимость сокращения физических офисов очевидна — их содержание становится нерентабельным. Так, например, «Райффайзенбанк» в ближайшее время собирается закрыть четверть офисов, а в некоторых городах оставит только удаленный формат обслуживания. Вообще, рост количества необанков — банков без отделений, — говорит о том, куда всё движется.

    Еще одна причина банковской диджитализации и финансовых вливаний в нее — необходимость создания собственных цифровых продуктов: мобильных приложений, систем дистанционного банковского обслуживания, инструментов для анализа больших данных и сбора статистики, развития веб-сайтов и т. д. Здесь, как и в ИТ, важной стала скорость вывода новых продуктов на рынок.

    Потребность в быстром запуске новых финансовых сервисов вынуждает банки прибегать к стратегии ИТ-компаний, специализирующихся на разработке софта, осваивая и соответствующие методики — Agile и CI/CD. Для примера, у того же «Тинькофф Банка» есть собственная сеть центров разработки, где обучаются молодые программисты из регионов — с прицелом на будущее включение в штат. «Сбербанк» еще в 2011 году создал отдельную ИТ-компанию, «СберТех», которая занимается исключительно развитием цифровой экосистемы банка. Цифровая конкуренция между первым российским необанком и мегакорпорацией, выросшей из «Гострудсберкасс», — это то, что среди прочего двигает цифровизацию вперед. Российская банковская сфера по темпам цифровой трансформации, как отмечает аналитическое агентство McKinsey, — одна из лучших в мире.

    Другой вопрос, насколько этот «цифровой тур де форс» совпадает с усилиями банков по обеспечению информационной безопасности инфраструктуры. И нет ли между ними тревожного (для клиентов) зазора.

    Нерадужная статистика

    По данным ФинЦЕРТ — Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ РФ, в прошлом году на российские банки было совершено 700 кибератак. 180 из них — нападения с целью извлечения финансовый выгоды, 100 — DDoS-атаки. Кроме этого, на банки и клиентов было направлено 70 кампаний по распространению вредоносных программ. ФинЦЕРТ зафиксировал 550 интернет-ресурсов, распространяющих вредоносное программное обеспечение, и ВПО-серверов. Ущерб российских банков от атак хакеров составил 58 млн рублей.

    Главный метод киберпреступников — социальная инженерия: злоумышленники звонят клиентам как «представители банка», требуя сообщить номер карты (PAN), одноразовый пин-код (OTP) или CVV/CVC-код. Другой популярный инструмент — распространение ВПО; при этом для атак на финансовые организации и клиентов используются email-рассылки с зараженными файлами или гиперссылками на сайты с вредоносами, в том числе с программами-вымогателями.

    Немалую роль в той же социальной инженерии играют утечки персональных данных клиентов (ПДн). Новости об очередном «сливе» появляются регулярно. Один из недавних произошел в конце октября 2019: по сообщению «Коммерсанта», на черном рынке выложили на продажу базу данных кредитных клиентов «Сбербанка» с подробными ПДн — паспорта, телефоны, адреса, сумма на счете, сумма остатка и даже аудиозаписи разговоров с банком; в базе содержался 1 млн записей. Годом ранее в общий доступ утекла информация о 420 тыс. записей с ФИО сотрудников «Сбербанка» и логинами для входа в операционную систему; логины, как правило, совпадали с адресами служебной электронной почты. Из других примеров — недавняя утечка данных 3,5 тысяч держателей кредиток «Альфа-банка» и еще столько же — клиентов «Альфастрахования».

    В чем причины?

    По данным ФинЦЕРТ, большинство случаев реального ущерба для банков — финансовых хищений, утечек клиентских данных и пр. — происходит по трем причинам:

    • Многочисленные нарушения федеральных законов и нормативных актов регулятора в части обеспечения защиты информации — того же Положения № 382-П.
    • Отсутствие должного внутреннего контроля внутри банков и других финансовых организаций (ФИ) по вопросам ИБ (например, не анализируются события безопасности и не устанавливаются соответствующие инструменты).
    • Недостаточная осведомленность сотрудников об угрозах ИБ, включая методы социальной инженерии.

    Охотнее прочего банки нарушают Положение № 382-П (447 случаев), которое определяет правила обеспечения безопасности при денежных переводах. Нарушения 382-П разнообразны: нет разграничения прав доступа к защищаемой информации, не выявляются инциденты, не контролируются обновления ПО и актуальные уязвимости, и так далее. В числе других законов и актов, которыми пренебрегают российские банки: № 161-ФЗ, № 395-1, № 325-ФЗ, № 672-П, № 683-П и № 684-П.

    В качестве примера, к чему приводят нарушения требований регулятора, ФинЦЕРТ упоминает одну неназванную кредитную организацию, на которую в конце 2018 года была совершена хакерская атака. В результате мошенники осуществили несколько несанкционированных денежных переводов на общую сумму 5,5 млн рублей и 15000 евро. На этом фоне банкам приходится думать не только о защите от прямых внешних атак, но также и над противодействием внутреннему фроду (в том числе с помощью внедрения UBA-программ — User Behavior Analytics), мошенничеству с биометрическими данными, обходу двухфакторной аутентификации и не только.

    Заключение

    Трансформация банков в ИТ-компании — история, которая, кроме оптимизации технологических процессов, требует и не менее активной оптимизации ИБ. Чем больше банки цифровизуются, тем более реальными для них становятся угрозы, характерные для ИТ-рынка вообще. Пренебрежение рисками информационной безопасности может повлечь для банков как финансовые, так и репутационные убытки. Кроме этого, несоблюдение нормативов, федеральных законов и стандартов ЦБ РФ грозит штрафами, что, в сочетании с уроном от злоумышленников, может поставить банк на грань банкротства.

    Один из эффективных способов защитить банк от угроз — обратиться к аудиторской компании, которая может провести экспертную оценку соответствия стандартам ИБ, включая полный аудит информационной безопасности ИТ-инфраструктуры и тест на проникновение, и дать подробные рекомендации по повышению уровня защищенности.

    ITnews: Информационная безопасность — в центре и в регионах

    Чем шире внедряются информационные технологии в работу государственных организаций и коммерческих компаний, тем значительнее становится роль информационной безопасности в обеспечении безопасности страны. И неудивительно, что традиционная ежегодная всероссийская научно-практическая конференция «Обеспечение информационной безопасности. Региональные аспекты», которая в шестой раз прошла в сентябре в Сочи, вновь собрала весьма представительную аудиторию. Сюда съехались около 400 участников, в основном руководители организаций и специалисты по информационным технологиям и информационной безопасности, представляющие различные сферы экономики, государственные и коммерческие структуры и, что особенно отрадно, многие регионы Российской Федерации, включая Дальний Восток. Организаторы из «Академии Информационных Систем» позаботились облегчить доступ на конференцию региональным представителям, осуществив большую подготовительную работу, и если на прошлогодней встрече регионы были представлены 40% участников, то на нынешней — уже около 70%.

    Как и в прошлые годы, в работе конференции принимали активное участие властные структуры: помощник секретаря Совета Безопасности РФ Владислав Шерстюк, представители федеральных органов исполнительной власти, в том числе регулирующих деятельность в области защиты информации — Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Выступали с докладами и активно участвовали в дискуссиях представители Министерства юстиции, Мининформсвязи, Министерства внутренних дел, Федерального агентства по промышленности, других министерств и ведомств, а также ОАО «Газпром нефть», ОАО «Российские железные дороги», Ассоциации российских банков, Фонда социального страхования, Пенсионного фонда РФ и т. д.

    Оргкомитет конференции подготовил обширную программу мероприятия — может быть, даже слишком обширную для трех дней его работы: на пленарном заседании, восьми секционных заседаниях и двух «круглых столах» прозвучало более 90 докладов. Основная задача организаторов неизменна во все годы проведения сочинской встречи: предоставить заинтересованным сторонам площадку для свободного обсуждения и взаимного выяснения проблем в сфере обеспечения информационной безопасности страны в целом и в отдельных организациях, в частности. Представители регулирующих органов рассказывали о том, что ими сделано за минувший год, а остальные участники рынка защиты информации откровенно высказывали свое отношение к ситуации и действиям регуляторов, делились опытом, сообщали о собственных достижениях и проблемах.

    Дискуссии принимали порой очень острый характер. Так, ряд выступавших резко критиковали практику бессистемного и бесконтрольного приобретения дорогостоящих зарубежных средств обеспечения информационной безопасности и недостаточное внимание к российским разработкам в этой области. Оживленное обсуждение вызвал доклад заместителя председателя Фонда социального страхования Сергея Ковалевского, который посетовал, что в настоящее время импортные технологии «захватили практически 90% российского информационного рынка», и высказал связанные с этим опасения. Он представил аудитории отечественную, разработанную Фондом «Единую интегрированную информационную систему», отвечающую требованиям к обеспечению информационной безопасности.

    Пожалуй, наибольший интерес участников конференции вызвала секция, посвященная проблемным вопросам нормативно-правового регулирования в области информационной безопасности — на протяжении двух дней работы она неизменно собирала более 80 слушателей. Общее пожелание участников обсуждения — как можно быстрее ввести в действие документы, позволяющие создать механизм реализации уже принятых законов РФ, регулирующих отношения в области информационной безопасности.

    Столь же представительной была секция «Практические вопросы обеспечения информационной безопасности государственных ведомств и коммерческих организаций РФ». Ее участники пришли к общему мнению, что сегодня одно из наиболее актуальных направлений в сфере информационной безопасности — разработка технических и организационных решений для защиты от внутренних нарушителей — инсайдеров.

    Внимание участников секции «Стандарты информационной безопасности в банковской сфере» было сосредоточено на вопросах, связанных с продвижением стандарта Центробанка РФ по информационной безопасности, и проблемах безопасности в кредитных и консалтинговых организациях. Выступавшие настоятельно рекомендовали в дальнейшем привлекать к работе секции представителей Центробанка, которые на этот раз не смогли приехать на конференцию. Впервые организованная секция «Проблемные вопросы подготовки специалистов в области технической защиты информации» хотя и не отличалась многочисленностью, но проходила оживленно и выработала целый список рекомендаций по обсуждавшимся вопросам. Ее участники отметили, в частности, необходимость организации межведомственной системы подготовки кадров в области защиты информации, совершенствования системы дополнительного профессионального образования в этой сфере, разработки квалификационных требований и системы аттестации специалистов по защите информации.

    Секция «Решения в области безопасности на базе Linux и Open Source», работавшая параллельно с основными секциями конференции, тоже не была многочисленной, однако ставила перед собой весьма важные и прежде всего просветительские задачи, так же как и проведенный в ее рамках мастер-класс. Уже само по себе наличие такой секции на конференции — свидетельство растущего проникновения технологий Linux и Open Source на российский рынок.

    Сколь бы насыщенной ни была официальная программа сочинской конференции, не менее значимой оказалась и ее неформальная сторона: сюда традиционно съезжаются люди, которым есть о чем поговорить и что обсудить в непринужденной обстановке, вдали от повседневной суеты и служебных дел. Участники конференции загодя договариваются о будущих контактах, а организаторы, приняв во внимание это обстоятельство, предоставляют им новую услугу — «организацию деловых встреч», выступая в них в качестве посредника. В ходе таких встреч достигаются договоренности и кипят яростные споры, здесь можно составить собственное представление о положении дел в сфере информационной безопасности и найти решение собственных проблем, выслушать совет более опытных коллег и полярные мнения и неожиданные суждения людей с самым разнообразным, зачастую уникальным опытом.

    Не утомляя читателей многочисленными примерами, приведу только два ответа на мой вопрос: какие проблемы информационной безопасности можно считать сегодня самыми насущными для нашей страны? Начальник управления ФСТЭК России Юрий Лаврухин назвал в качестве таковых обеспечение защиты ключевых систем информационной инфраструктуры и защиты персональных данных, а также вопрос подготовки специалистов по информационной безопасности, который, по его мнению, сохранит свою остроту в ближайшие 10-20 лет. А генеральный директор компании Aladdin Сергей Груздев самой актуальной проблемой считает анализ трафика. По его словам, до 70% корпоративных машин зомбированы и могут быть использованы для бот-атак.

    Деловая и откровенная атмосфера, характерная для сочинской конференции, импонирует многим собравшимся, и они заявляют о своем желании участвовать в дальнейших конференциях — об этом, в частности, говорили на заключительном заседании впервые приехавшие на конференцию заместитель начальника Управления по защите государственной тайны и безопасности Федерального агентства по промышленности Олег Олейников и заместитель директора департамента конституционного законодательства и безопасности Минюста РФ Татьяна Полякова.

    Во время короткого брифинга в перерыве заседаний я попросил сопредседателей конференции дать оценку ее значимости и места в ряду многочисленных аналогичных мероприятий последнего времени. Юрий Лаврухин, начальник Управления ФСТЭК, ответил так: «Владислав Петрович Шерстюк в своем выступлении сказал, что мы будем поддерживать все конференции по информационной безопасности, которые проходят в нашей стране. Однако у нас была идея выделить четыре приоритетные конференции, на которые приезжают руководители первой величины: ясно, что всюду побывать они не могут, а выбирают лишь те, где интересно, где идет деловое обсуждение. Сочинская конференция — это авторитетная трибуна, где генерируются идеи, куда стремятся специалисты, и мы будем ее поддерживать наряду с несколькими другими мероприятиями, в которых также принимаем участие». Директор департамента обеспечения безопасности информации и информационных технологий аппарата Совета Безопасности РФ Анатолий Стрельцов дополнил: «Действительно, конференций много, на все попасть очень сложно, но есть среди них узловые, на которых выявляются проблемные вопросы и есть возможность донести нашу точку зрения по поводу реально существующих проблем до заинтересованных специалистов, чтобы выслушать их мнение. Мы при каждой возможности пытаемся использовать этот канал связи с общественностью, чтобы самим лучше понять, что нужно делать для усиления информационной безопасности. Данная конференция, на мой взгляд, входит в тройку самых масштабных и наиболее креативных мероприятий подобного уровня, где обсуждаются новые идеи и поднимаются острые проблемы, где интересно и полезно присутствовать».

    Одна из предпосылок успеха конференции — удачно выбранное место и время проведения. В этом году, правда, море штормило и участников, которые выбирались рано утром или вечерами на морской берег, встречала табличка «Купаться запрещено». Оставалось любоваться волнами и. продолжать беседы с коллегами (порой до самого утра). Учитывая это обстоятельство, хочется пожелать организаторам в дальнейшем не слишком перегружать программу конференции, оставляя в ней побольше места для неформального общения, что составляет один из наиболее ценных аспектов традиционной сочинской встречи. В конце концов, современный бизнес (по крайней мере, в России) все еще во многом строится на личных связях и взаимном доверии, а они возникают отнюдь не в залах заседаний.

    Вместо послесловия. Ответственный секретарь оргкомитета сочинской конференции Юрий Малинин проинформировал нашу редакцию о дальнейших планах «Академии Информационных Систем». В частности, 25-27 октября 2007 года на III Международной научной конференции по проблемам безопасности и противодействия терроризму «МАБИТ 2007» будет продолжено обсуждение затронутых в Сочи вопросов. Кроме того, проблемы информационной безопасности как составной части управления непрерывностью бизнеса и восстановления жизненно важных систем после катастроф «Академия Информационных Систем» предлагает обсудить на II Международном научно-практическом семинаре «Информационная безопасность в контексте проблем непрерывности бизнеса», который состоится в апреле 2008 года в Германии (Гармиш-Патеркирхен, Мюнхен) при поддержке аппарата Совета Безопасности РФ и при участии Европейского центра им. Джорджа К. Маршалла, Университета Кембриджа, Университета штата Нью-Йорк, программы «Россия—НАТО», Института проблем информационной безопасности МГУ имени М . В. Ломоносова и BCI.

    Информационная безопасность банков

    Информационная безопасность банка – это состояние защищенности всех его информационных активов.

    От информационной безопасности банка зависят его репутация и конкурентоспособность. Высокий уровень обеспечения информационной безопасности кредитной организации позволяет минимизировать следующие риски:

    – риск утечки информации, составляющей служебную/коммерческую/банковскую тайну

    – риск разрушения и потери ценных данных

    – риск использования в деятельности банка, в том числе при принятии управленческих решений, неполной или искаженной информации

    – риск распространения во внешней среде информации, угрожающей репутации банка.

    Особенности банковских информационных систем заключаются в том, что они:

    – хранят и обрабатывают большое количество данных о финансовом состоянии и деятельности физических и юридических лиц

    – имеют инструменты совершения транзакций, ведущих к финансовым последствиям

    – не могут быть полностью закрытыми, поскольку должны отвечать современным требованиям к уровню обслуживания (иметь систему онлайн-банкинга, сеть банкоматов, подключенных к публичным каналам связи и т.д.).

    Указанные особенности приводят к тому, что информационные активы кредитных организаций являются желанной целью злоумышленников и нуждаются в серьезной защите.

    Источниками угроз информационной безопасности банков являются:

    – внешние злонамеренные и незлонамеренные нарушители ИБ

    – внутренние злонамеренные и незлонамеренные нарушители информационной безопасности

    – сбои и отказы программных и аппаратных компонентов информационных систем

    – природные и техногенные катастрофы, нарушающие нормальный режим работы информационных систем.

    Главная задача злоумышленников (внешних нарушителей и инсайдеров), атакующих информационные системы банков, – получение контроля над информационными активами кредитной организации для последующего совершения неправомерных транзакций или компрометации банка по заказу недобросовестных конкурентов.

    Система обеспечения информационной безопасности банка должна:

    – быть адекватной внутренним и внешним угрозам

    – реализовывать комплексный подход к защите – включать все необходимые организационные меры и технические решения и защищать все компоненты ИС (системы электронных платежей, электронного документооборота и обслуживания платежных карт, банковские программные и программно-технические комплексы, системы удаленного обслуживания, сети связи и т.д.).

    – обеспечивать высокую производительность – обрабатывать значительные объемы информации без снижения быстродействия

    – быть надежной и отказоустойчивой благодаря применению технологий кластеризации, виртуализации, балансировки нагрузки и проч.

    – иметь инструменты сбора, анализа данных об инцидентах и реагирования на события безопасности.

    Постройте современную и эффективную систему защиты банковской информации вместе с ARinteg! Компания ARinteg имеет все необходимые компетенции и огромный опыт реализации проектов в ведущих российских кредитных организациях. Наши специалисты учтут все Ваши пожелания, специфику бизнеса, а также требования отраслевых и государственных стандартов информационной безопасности.

    Заказчики ARinteg имеют возможность выполнить в рамках одного проекта требования сразу нескольких стандартов информационной безопасности, актуальных для российских кредитных организаций:

    – Стандарта Банка России СТО БР ИББС;

    – Федерального закона «О персональных данных» №152-ФЗ;

    – Стандарта защиты информации в индустрии платёжных карт PCI DSS.

    Выполнение требований сразу нескольких стандартов ИБ в рамках одного проекта позволяет заказчику:

    – создать целостную и легко управляемую систему информационной безопасности

    – не дублировать технические средства и организационные меры, направленные на выполнение требований стандартов

    голоса
    Рейтинг статьи
    Читать еще:  Мой детский сад
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector