Rambler's Top100
Все новости Что посетить

Актуальные вопросы информационной безопасности на Форуме «Информационная безопасность в финансовом секторе и телекоме»

08 ноября 2011

Компания AHConferences на этот раз предложила новый формат проведения Форума. На общем пленарном заседании представители финансовых организаций, телекоммуникационных компаний и вендоры смогли обсудить наиболее актуальные проблемы защиты информации, в ходе обсуждения выявить тенденции решения этих проблем.

03.11.2011. – Москва - 26 октября 2011 г. в Москве в отеле «Марриотт Тверская» состоялся Форум «Информационная безопасность в финансовом секторе и телекоме», организованный компанией AHConferences. В форуме приняли участие более 80 представителей компаний финансового и телекоммуникационного рынка, среди них - топ-менеджеры, CIO, руководители департаментов по IT-безопасности, а также поставщики решений для систем информационной безопасности.

Компания AHConferences на этот раз предложила новый формат проведения Форума. На общем пленарном заседании представители финансовых организаций, телекоммуникационных компаний и вендоры смогли обсудить наиболее актуальные проблемы защиты информации, в ходе обсуждения выявить тенденции решения этих проблем. Во второй части Форума в ходе работы двух тематических секций участники перешли к рассмотрению специализированных вопросов для каждой отрасли отдельно.

Открыл работу Форума модератор пленарного заседания Виталий Шаров, генеральный директор «Коминфо Консалтинг Груп», заместитель директора Института финансово-экономических исследований Финансового университета при Правительстве РФ. Он  отметил актуальность данного мероприятия: «Крайне важна и значима информационная безопасность в последние три года, так как все процессы, идущие в современном мире, демонстрируют рост количества угроз и рисков, а структура рисков становится сложней». По его словам, исследования и классификация рисков десятилетней или пятилетней давности уже не работают, необходима их доработка и дополнение.

Предметом обсуждения в рамках пленарного заседания стали тенденции развития в области информационной безопасности в финансовом секторе и среди телекоммуникационных компаний, новые инициативы регуляторов и их требования к обеспечению безопасности,  основные ИБ-угрозы, а также переход от предложений информационных продуктов и решений по обеспечению информационной безопасности к предложению сервисов. 

Своим мнением по  перечисленным проблемам в ходе панельной дискуссии поделились  глава представительства Fortinet в России и СНГ Ян Скасырский, начальник отдела защиты информации Банка Москвы Василий Окулесский,  консультант по безопасности компании Chek Point Дмитрий Воронков, а также представители банков и телекоммуникационных компаний.

В числе одной из основных ИБ-задач для банковского сектора в связи со все большим переходом финансовых отношений в онлайн участники выделили защиту персональных данных и противодействие мошенничеству с пластиковыми платежными картами. Интернет - это высокая зона высокого риска, на первом месте стоят средства криптографии, а основной тенденцией все чаще становится организация всесторонней защиты. Ян Скасырский считает, что банки сталкиваются  с проблемой  выделения бюджета информационную безопасность. Но даже если  его выделили на все средства защиты, то появляется новая проблема -  наличие в штате инженера, который будет иметь соответствующую квалификацию для каждой системы». В телекоммуникационном секторе дела обстоят иначе, там идет борьба за пользователя путем предоставления новых продуктов и услуг, и услуги по информационной безопасности доукомплектовывают продукт. В первую очередь в  решениях по информационной защите телеком-компании ценят  функциональность и скорость работы.

 «Проблема информационной безопасности вышла за узкие профессиональные рамки,  она стала касаться каждого. Очень быстро меняются решения, соответственно, требуется их оперативное обновление, - отметил Василий Окулесский. - Если 10 лет назад говорили о защите изнутри (внутренняя сеть, базы данных и тп.), то сегодня эта проблема ушла на второй план. Сейчас нас окружает агрессивная среда интернета, весьма распространена атака на клиента, опосредовано это атака и на банк. Законодательство при этом считает, что виноват не клиент, что финансовая структура должна клиенту рекомендовать способы защиты». С появлением большого количества мобильных устройств проблема безопасности переходит и на них, и на «мобильные» сервисы банков. Еще одной проблемой, по мнению г-на Окулесского, является предоставление качественных ИБ-продуктов,  которые не соответствуют потребностям финансовых структур.

По мнению Дмитрия Воронкова, проблемы безопасности у операторов связи и банков совершенно разные, в телекоме  конечного пользователя информационная безопасность волнует меньше, в банках опасения намного разнообразней. Это связано с тем, что банковский клиент рискует не только своими деньгами, но и создает угрозы для банка. «Проще  контролировать  корпоративных банковских клиентов, предоставляя им некие инструкции по безопасности, - отметил г-н Воронков. - В частности, решения ChekPoint имеют возможность требовать от пользователя наличия антивируса на компьютере,  применения одноразовых паролей для каждой операции. У оператора связи проблемы другие: чем больше в цепочке участников, тем сложнее их контролировать. В этом случае, контроль должен ложиться на регуляторов». Однако, по его мнению, процесс лицензирования новых   ИБ-решений занимает слишком длительное время, в течение которого решения  устаревают.    Кроме того, организация должна быть достаточно зрелой, только в этом случае требования регуляторов будут адекватно восприняты и перенесены на процессы управления. Но если такого понимания нет, то требования регуляторов будут восприниматься чисто формально. Руководство компании должно иметь внутреннюю потребность в зрелой организации, а приобретаемые компаниями решения должны действительно работать, а не просто быть сертифицированными.

На каждой специализированной секции - «Информационная безопасность в финансовом секторе» и «Информационная безопасность в телекоммуникационном секторе» -  были представлены IT-продукты и решения для операторов связи и финансовых структур, обсуждались такие темы как роль оператора связи в системе кибербезопасности, управление рисками в области информационной безопасности, соблюдение стандартов в российских банках.

Повышение роли IT-безопасности при перспективном росте банкинга в России было главной темой в докладе Кристофера Гулда, директора по аудиту систем и процессов в PricewaterhouseCoopers Audit. «В условиях бурного развития роль и ответственность системной безопасности станет шире и должна будет охватывать все большие области и процессы нежели текущая серверная, сетевая информационная безопасность, - отметил он. - IT- решения будут неразрывно связаны с бизнес-процессами и рыночными условиями - все это повышает роль IT-департамента, непосредственно интегрируя его в операционный бизнес. Вместе с тем изменится и ключевой инструментарий». Будущее, по мнению г-на Гулда, за системным подходом к безопасности, фокус которой в настоящее время смещается к IT-безопасности - в представлении ее как комплексного процесса, в который интегрированы многочисленные технологические решения.

Роман Емельянов, директор Дирекции информационной безопасности ТТК, представил в своем докладе понимание роли оператора связи в системе кибербезопасности. Основные проблемы по безопасности у телеком-операторов связаны с ограниченностью в ресурсах, опережающим ростом технологий, а также отсутствием мотивации и правильного подхода у топ-менеджмента компаний. Основные угрозы представляют спам, фишинг, угрозы DDOS-атак, кража трафика, кража персональных данных, вирусы и др. «Прежде всего, оператор может способствовать борьбе с угрозами разработкой услуг безопасности и предоставлением их абонентам. Предпосылки для внедрения услуг по безопасности – это получение конкурентных преимуществ и дополнительного дохода, к сожалению, для менеджмента это более понятные вещи, т.к. имеют эквивалент в прибыли», - характеризует роль оператора связи г-н Емельянов. Возможных подходов внедрения существует три: внутренний, когда компания все внедряет сама, частичное использование внешних ресурсов, либо передача внешнему подрядчику. Основными услугами по безопасности, которые может предоставить оператор связи являются: CPE, Gateway, тестирование уязвимостей, URL-фильтринг, мониторинг периметра и устройств безопасности, защита от DDOS-атак.

Продукты для защиты систем дистанционного банковского обслуживания представила компания «Информзащита». В своей презентации Юрий Леонычев, старший эксперт департамента консалтинга и аудита компании, рассказал об актуальных аспектах защиты ДБО, перечислил основные причины уязвимости системы ДБО, подробно остановился на  мерах, предлагаемых компанией «Информзащита» при сопровождении клиента.

Технологии RSA по активному противодействию мошенничеству в каналах дистанционного банковского обслуживания были рассмотрены в презентации компании EMC. Александр Чигвинцев, директор по работе с партнерами RSA в России и СНГ, рассказал о предпосылках появления новых технологий для информационной защиты финансовых учреждений и об особенностях построения целостной системы защиты. Подробно в докладе были рассмотрены сервисы RSA-Fraud Action, RSA Risk Engine, Policy Manager, Case Management и RSA Transaction Monitoring.

Антон Михайлов, директор по маркетингу BioLink Solutions, рассказал о возможностях и преимуществах биометрических технологий в обеспечении информационной безопасности финансовых организаций, а также привел примеры международного использования биометрических технологий. Подробно остановился на проблемах инсайдерства, анализе решений по аутентификации пользователей, на моделях и минимизации НСД угроз. В презентации был представлен обзор системы аутентификации BioLink IDenium и кейсы внедрения системы в финансовых организациях.

Новую линейку решений для операторов связи представил Дмитрий Воронков,  консультант по безопасности компании Chek Point. Полное обновление линейки компания Check Point проанонсировала в октябре 2011г., особенности линейки в том, что она покрывает все потребности для безопасности. Новые программные аппаратные комплексы будут постепенно заменять текущую линейку продуктов компании. Подробней остановился г-н Воронков на новых шлюзах безопасности и Check Point Anti-bot blade, позволяющих исследовать заражение и нанесенный ущерб. 

О решениях Fortinet  для финансового сектора рассказал Ян Скасыркий, глава представительства компании в России и СНГ. Среди клиентов компании крупные транснациональные компании, поэтому Fortinet  обладает большим опытом и пониманием наиболее актуальных потребностей в плане информационной безопасности. Три главных компонента решений Fortinet – это всесторонняя защита, высокая производительность и работа в режиме 24х7. Подробней г-н Скасырский остановился на устройстве всесторонней защиты FortiGate, экспертном центре Fortiguard, технологии System-on-a-Chip.

Итогом Форума стали дискуссии в формате круглого стола, прошедшие в заключение каждой секции. Основным вопросом в ходе дискуссий стала проблема аутсорсинга в предоставлении услуг по информационной безопасности в финансовом секторе и на телекоммуникационном рынке. Участники отметили тренд в сторону аутсорсинга сервисов и «железа». Безопасность это не только техническое решение, это процесс, требующий анализа и расследования инцидентов. Ряд  заказчиков понимает, что это тяжелая задача, так как специалистов по вопросам информационной безопасности очень мало. В качестве решения выступает аутсорсинговая организация – оператор услуг безопасности, где вопросами безопасности занимается не один человек, а квалифицированная команда, где есть возможность быстрого внедрения и  динамического развития услуги. Оператор предлагает пакет услуг, наиболее эффективный против основных угроз. Но есть правовой вопрос - ответственность за риски – однозначного решения, которого нет пока ни в финансовом, ни  телекоммуникационном секторе.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.