Для финансовых институтов процессы обеспечения информационной безопасности регламентированы лучше, чем для многих других отраслей — существуют законы и стандарты обеспечения требуемого уровня ИБ, которых следует придерживаться. Но их (зачастую формальное) соблюдение позволяет избежать только части угроз. В то же время, если подойти к формированию требований к ИБ осознанно, можно относительно небольшими средствами добиться существенных результатов в минимизации рисков. Прежде всего необходимо разложить все по полочкам. Опасности можно разделить на злоумышленные и непредумышленные.

Согласно существующей статистике, только 85% сотрудников коллектива честны по отношению к работодателю. Остальные 15% подразделяются на готовых совершить противоправные действия, если почувствуют свою безнаказанность; готовых рисковать, даже понимая, что вероятность обнаружения и наказания велика, и готовых на противозаконные действия даже в случае понимания неотвратимости наказания.

С другой стороны, статистика утверждает, что 80% инцидентов в сфере ИБ — непреднамеренные нарушения со стороны сотрудников компании. То есть зачастую обычная небрежность даже с большей вероятностью может привести к нежелательным последствиям.

Несанкционированные воздействия, в свою очередь, можно разделить на изменения в работе систем, считывание и модификацию информации. Изменение функционирования системы может привести, например, к замедлению работы автоматизированной банковской системы, имитации сбоя работы систем, переадресации электронных сообщений, перехвату вводимой с клавиатуры информации и другим существенным проблемам. Считывание информации, как наиболее известное преступление, включает в себя получение паролей доступа в системы, информацию о финансовых потоках и другой конфиденциальной информации (включая персональные данные). И, наконец, модификация информации — также очень важный аспект ИБ, и включает в себя удаление информации, внедрение вирусов с различными вредоносными воздействиями, искажение информации в базах данных и т.д.

Как видно, спектр рисков велик, а значит, и работа по их минимизации должна иметь планомерный, комплексный и достаточно жесткий характер

Простор для творчества

Несмотря на бурное развитие IT, действенное решение вопросов ИБ для каждой организации индивидуально и остается процессом творческим. Все, что может быть автоматизировано — давно стало стандартом, и, обсуждая вопросы ИБ, все реже вспоминают такие слова как firewall или device lock (блокировка внешних носителей на рабочих местах). Наличие стандартных средств ИБ просто необходимо. Их можно дополнить интеллектуальными системами, анализирующими трафик, электронные сообщения и т.п., но стоит учесть, что они требуют постоянного контроля, а также могут понизить скорость работы бизнес-приложений.

Но основа обеспечения ИБ заключается прежде всего в работе с сотрудниками. Все чаще мы встречаемся со словом «инсайдер», которое подразумевает нарушение конфиденциальности информации персоналом. Снятие изображения экрана компьютера на сотовый телефон почти невозможно отследить с помощью автоматизированных аппаратно-программных комплексов. Именно документарная база и регулярный аудит ее строгого соблюдения существенно сокращает процент сотрудников, желающих совершить противоправные действия, а регламентация работы помогает предотвратить непредумышленное нарушение ИБ.

Quis custodiet?

Безопасность банка ассоциируется прежде всего с угрозой нападения с целью ограбления. Наверное, поэтому до сих пор во многих случаях сохраняется принадлежность службы информационной безопасности (СИБ) к общей службе безопасности банка, которая слабо разбирается в работе с информационными системами (ИС) и, следовательно, в информационных угрозах. Другая крайность, которая встречается не реже, а может быть, и чаще, — принадлежность СИБ к службе IT, имеющей полный доступ ко всем ИС. При этом возникает конфликт интересов, поскольку служба IT становится одновременно и заказчиком, и исполнителем вопросов, касающихся ИБ. Не будучи заинтересованными в выявлении своих недоработок, сотрудники службы IT найдут возможность скрыть факты недостаточной проработки вопросов ИБ.

Как показывает практика, СИБ наиболее эффективна, когда представляет собой самостоятельное подразделение, имеет полномочия аудита информационных систем, разработки и внедрения организационных мер по ИБ, располагает средствами мониторинга ИС и достаточным штатом специалистов, квалифицированных как в IT, так и в ИБ.

Политический вопрос

Подходя осознанно к требованиям законодательства в части ИБ, нужно учитывать, что стандартные аппаратно-программные решения для защиты банковских систем необходимы, но обеспечивают лишь минимальный уровень защищенности от внешних угроз. Чтобы свести риски в области ИБ к минимуму, нужно создать в банке независимую от других подразделений службу информационной безопасности. Задача службы — разработать внутренние регламенты обеспечения ИБ и контролировать их исполнение, проводя регулярный аудит на соответствие выработанным требованиям. Формулировка основных направлений деятельности СИБ и требования, предъявляемые к ИС, определяются основным документом «Политика информационной безопасности организации». Политика ИБ — это средство достижения такого состояния организации, когда риски нарушения конфиденциальности информации сведены к допустимым значениям, удовлетворяющим потребности бизнеса в собственной безопасности. Важность такого документа сложно переоценить, ведь именно в нем формализованы общие принципы и правила построения системы обеспечения ИБ в организации.

Формирование понятной для руководства службы информационной безопасности, работающей на базе политики ИБ, сформированной совместно с собственниками бизнеса и руководством компании, дает четкую картину, в каком направлении и в какие ресурсы необходимо инвестировать для минимизации рисков информационных угроз.