Rambler's Top100
Статьи ИКС № 1 2007
Галина БОЛЬШОВА  01 января 2007

Повесть об отличном банке

Наш рассказ – не о каком-то мифическом или идеальном банке, а о вполне реальном кредитно-финансовом учреждении, которое, правда, по скромности избегает публичности, согласившись на изложение своей позиции без упоминания названия. А значение слова «отличный» оставим на суд читателей.

Итак, есть в городе N банк NNN, по делам своим немногим отличающийся от иных, но с особой информационно-безопасной судьбой. И первое отличие – руководство, которое, как известно, решает все. Поскольку начальство твердо знает, что циркулирующая по сетям и компьютерам NNN информация – главный капитал банка, специальное подразделение ИБ (в количестве более 20 профессионалов) не обделено ни заботой, ни вниманием и подчиняется напрямую первому лицу организации.

Второе, тоже существенное, отличие в том, что служба информбезопасности не входит в состав ИТ-отдела.

А еще у подразделения ИБ собственный бюджет, а отнюдь не финансирование по остаточному принципу (конечно, расходы на ИТ и ИБ взаимоувязаны, но пропорция соблюдается).

Заметим, что все эти «привилегии» находятся в полном соответствии с законами и нормативными актами нашей страны и отраслевым стандартом Банка России.

Первичное, вторичное и вечное

Как у всякого крупного банка, информсистема банка NNN как живой организм развивается, прирастает модулями и подсистемами. Одни модернизируются, другие отмирают. Но поскольку в NNN утверждены концепция ИБ и политика ИБ, любая разработка любой подсистемы или модуля ИС банка, начиная с ТЗ, согласовывается с подразделением информбезопасности. При любом внедрении (изменении) требования ИБ становятся в некотором смысле столь же первичными, сколь собственно функционал модуля или подсистемы, а потому выполняются автоматически. На этом основании специалисты банка по ИБ считают, что интегрировать надо сам процесс внедрения, тогда и СИБ будет интегрированной.

Политика безопасности (концепция существует в виде отдельного документа) представляет собой совокупность внутренних нормативных актов (требования, инструкции, положения, регламенты, пункты в трудовых соглашениях), которые регламентируют все аспекты защиты информации, определяемые ЦБ и законами России. Отдел защиты информации полностью отслеживает эти направления – от обеспечения специальных условий для выделенных и защищаемых помещений до организации закрытых каналов связи, аттестации оборудования для обработки информации разных уровней секретности, вплоть до гостайны. В каждом филиале банка есть специалисты по ИБ, а в каждом бизнес-подразделении – администраторы ИБ (из работников, хорошо разбирающихся в ИT и прослушавших курс по ИБ), которые занимаются защитой информации в своем подразделении с позиции собственников информации.

В NNN внедрена единая инфраструктура открытых ключей, действует распределенный удостоверяющий центр: центр сертификации в Москве и центры регистрации более чем в 70 городах страны. В полной мере представлено традиционное направление – защита информации при ее обработке (защита от НСД, межсетевые экраны, защита периметра, IDS и IPS, анализ ПО на уязвимости и недекларируемые возможности и т.п.). Аналитические исследования выполняются как сотрудниками отдела ИБ, так и сторонними организациями, уполномоченными проводить аттестацию продуктов. В 2007 г., в связи с принятием стандарта ЦБ, банк NNN начнет подготовку к сертификации СУИБ на соответствие требованиям ISO 27001.

Контроль ИС и СИБ (это уже из разряда вечного) также выполняется и собственными силами, и внешними аудиторами. Для периодических проверок есть внутренний регламент (не реже одного раза в год), предусмотрен аудит при изменении бизнес-процесса. Первый выполняется по наиболее «опасным» направлениям, второй более обширен, поскольку изменения могут повлиять на все информ ресурсы банка.

Контроль защищенности ИС – многоуровневый. Первый уровень обеспечивает служба внутреннего контроля (в банке существует управление внутреннего контроля с отделом аудита ИС). Второй – периодические проверки внешних аудиторов (в том числе международный аудит, проводимый компаниями KPМG, Ernst & Young и др.). Третий – периодические законодательно закрепленные проверки ЦБ. Четвертый – аудит «для имиджа», проверка нанятыми сторонними специализированными организациями.

При внедрении той или иной банковской технологии специальные риск-аналитики из отдела ИБ оценивают риски, возникающие в смежных бизнес-процессах, и рекомендуют способы их снижения. Эту работу вполне можно отнести к вечной, поскольку изменения в информсистемах происходят постоянно, в полном соответствии с громким словом «прогресс».

Почти по Дарвину, или О соответствии требований и возможностей

Безопасность – штука комплексная. Стоит упустить один момент, и вся деятельность станет бессмысленной. Поэтому в NNN при выборе средств и минимизации рисков, помимо неких стандартных требований нормативных документов, как правило, пользуются экспертными оценками собственных риск-аналитиков и специалистов по ИБ. Следовательно, и технические средства для СИБ подбираются на основании анализа технологии-кандидата на соответствие требованиям ИБ. Другой аспект выбора – системный подход. Выбираются те СЗИ, которые либо уже используются банком в других системах, либо известна практика их применения у коллег.

Внедрение технологий или подсистем почти всегда возлагается на системного интегратора, выбранного по результатам конкурса. Такая многоуровневая «селекция» позволяет добиться выполнения всех требований к устанавливаемым в ИС продуктам, модулям, подсистемам. А поскольку при проведении тендеров требования ИБ – одни из основных, то продукты без встроенных СЗИ просто не рассматриваются.

Правда, существуют интеграторы, которые пытаются сделать ИБ «фоновой темой». Здесь действует естественный отбор: банк остается с партнерами, которые внимательны к вопросам ИБ.

Проблемы глобальные, рабочие и мелочи

Специалисты по ИБ банка NNN насчитали у себя всего четыре глобальные и типичные проблемы, все остальные для них – уже мелочи.

Первая (правда, она уже решена в 2002 г.): пробивание у руководства решения о создании подразделения информбезопасности.

Вторая: подбор квалифицированных кадров. Учебные заведения, которые готовили специалистов до «эры капитализма», в значительной мере утратили свои позиции, а те, кто пытается занять эту нишу сейчас, увы, не способны обеспечить должное качество обучения.

Третья: выстраивание деловых взаимоотношений со службой ИТ. Без этого внедрение любой политики ИБ обречено на мучительный «прусский путь» – склоки, скандалы, разбирательства, подставы и т.д.

Наконец, самая сложная и трудоемкая проблема: внедрение политик ИБ в среде персонала собственной организации таким образом, чтобы они стали частью корпоративной культуры. Необходимо, чтобы нормативы соблюдались на деле, а для этого все должны понимать их нужность. Поэтому каждый приходящий на работу направляется на адаптационные курсы, где есть тематика ИБ и где сотруднику поясняют, что можно, чего нельзя. Обучают не только собственных сотрудников по отдельным углубленным целевым программам, но и сотрудников ИБ всех филиалов, администраторов ИБ подразделений. Проводят регулярные инструктажи на местах.

Все течет, все изменяется, или Нормы и требования в жизни банка

Хоть кредитно-финансовая отрасль и единственная, которая может похвастать своим отраслевым стандартом ИБ, общая нормативная база страны, по мнению специалистов NNN, безусловно, нуждается в совершенствовании: «Если бы она полностью соответствовала требованиям к информбезопасности всех и вся, то не менялась бы. Но она постоянно корректируется». Отредактирован «трехглавый закон», внесены поправки в закон об ЭЦП, постоянно дорабатывается статья 26 ФЗ «О банках и банковской деятельности». Более того, не первый год перераспределяются функции между госорганами. Не стало ФАПСИ, часть функций ФСБ перешла к ФСО, Гостехкомиссия при Президенте преобразовалась во ФСТЭК…

Другой аспект – недостаточные знания чиновниками высоких технологий. Из-за непонимания нашими законодателями многих технических аспектов периодически возникают ляпсусы. Например, в области криптографии в свое время был выпущен нормативный акт, запрещающий ввоз на территорию страны шифровальных средств иностранного производства. А о том, что вся банковская система остановится, поскольку нельзя будет использовать S.W.I.F.T., никто не подумал.

Наносят урон и непросчитанные экономические эффекты. Так, до сих пор в России действуют ограничения на вывоз сертифицированных отечественных средств криптографии (даже в страны СНГ!). Это создает огромные трудности для любой организации, которая пытается расширить свою деятельность за пределы нашей отчизны.

Словом, не дай тебе Бог жить в эпоху перемен. Но, как сказал мудрец, и это проходит. А информационная безопасность остается.

Следует говорить не о совершенстве или несовершенстве законов, а о том, что разные госорганы никак не могут договориться друг с другом. Живой пример – технология открытых ключей. Когда стали развертывать такие инфраструктуры и удостоверяющие центры, был принят ФЗ № 128 от 08.08.01 «О лицензировании отдельных видов деятельности», где регламентировалась процедура выдачи сертификатов открытых ключей ЦБ. Но положение о порядке лицензирования за прошедшие годы так и не появилось. А все потому, что ведомства не смогли между собой договориться: никто не захотел взять на себя финансовую ответственность за деятельность удостоверяющих центров.

Сегодня выдача сертификатов открытых ключей не подлежит лицензированию.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: