Ответы участников форума ВБА 2019 на вызовы регуляторики

Ответы участников форума ВБА 2019 на вызовы регуляторики

Жёсткость регуляторного давления в сфере ИБ финансово-кредитных организаций обрела в последние несколько лет новое качество, которое можно описать словосочетанием «масштабная системность». Санкционная мягкотелость 152-ФЗ дополнилась волчьей жестокостью репрессий GDPR (а эта нормативка для российской космополитичной финансовой сферы не пустая бумажка), появились весьма конкретные требования законодательства о регистрации ИБ-инцидентов и об информировании Банка России, о противодействии мошенничеству и т.п.

Единственным ответом на эти вызовы в условиях дефицита квалифицированных кадров и сохранением в сутках лишь 24 часов может стать широкое внедрение автоматизации в работу ИБ-департаментов. Автоматизации для обнаружения противоправных действий в отношении банковской информации и банковских активов, автоматизации общения со структурами ЦБ РФ.

В числе первоочередных задач – «интеллектуальное» (в смысле полуавтоматическое) противодействие творческим мошенническим действиям извне и недобросовестности внутри банков и автоматизация рутинных процессов взаимодействия с ФинЦЕРТ по широкому кругу инцидентов в сфере ИБ.

Одно из решений для автоматизации полного цикла работы с инцидентами было представлено на ВБА-2019 компанией ЦФТ. Эта компания хорошо известна на финансовом рынке и предлагает разнообразный инструментарий для ИТ-поддержки банковских процессов. Достоинством решения ЦФТ-Центр Обработки Инцидентов (ЦФТ-ЦОИ) является полная независимость его работы от наличия или отсутствия каких-либо иных систем компании ЦФТ в банке.

Точками ввода информации в ЦФТ-СОИ, учитываемой в Единой базе данных инцидентов (Единой БДИ), являются банковские системы АБС/АнтиФРОД/SIEM. Принимая информацию из разных источников, ЦФТ-СОИ обеспечивает классификацию инцидентов и разделение информации для предоставления в ФинЦЕРТ и для внутреннего использования в банке, обработку запросов из АСОИ ФинЦЕРОТ и отправку ответов. Т.е. ЦФТ-ЦОИ закрывает весь спектр нормативных работ с инцидентами в рамках требований к взаимодействию банка и АСОИ ФинЦЕРТ Банка России.

GDPR и недавний неприятный прокол Сбера актуализировал тему DLP-систем.

На форуме ВБА-2019 этот вопрос был взят под опеку компанией «Смарт Лайн Инк», представившей для борьбы с утечками и защиты данных в КИС программный комплекс DeviceLock DLP. Ключевыми особенностями подхода компании к решению проблемы утечек информации являются концепции «нулевого доверия» (zero trust) и контроля данных, получаемых приложениями на клиентских устройствах (endpoint security).

Подход zero trust – это реализация техническими средствами известного принципа «людям надо верить только в крайнем случае» через механизмы запрета попыток перемещения конфиденциальных данных. Что же касается концепции endpoint security, то в её основе вывод о том, что наибольшее количество исходных данных по использованию устройств и локальных портов можно получить на оконечных устройствах.

По мнению Сергея Вахонина, представившего DeviceLock DLP гостям ВБА-2019, проблема многих отечественных банков, использующих DLP, в том, что они используют системы, позволяющие только фиксировать случившиеся факты утечек, тогда как сегодня можно и нужно предотвращать утечки конфиденциальных данных техническими средствами. Что и позволяет делать, по утверждению Сергея Вахонина, DeviceLock DLP.

Упомянутые доклады и знакомство с выставочной экспозицией ВБА-2019 продемонстрировали довольно широкие возможности выбора технических решений для ответа на добропорядочные и злонамеренные вызовы департаментам ИБ в банковской сфере. Впечатляют декларируемые функциональные возможности предложений и достаточно убедительно звучат голоса директоров по продажам.

Дополнение всего этого объективным инструментарием для оценки качества предложений рынка позволило бы назвать ситуацию идеальной. И возможно регулятор найдёт в себе силы и ресурсы для решения и этой задачи, хотя бы на отраслевом уровне? Первым шагом мог бы стать сбор и открытая для игроков рынка публикация объективной статистики по результатам применения средств банковской автоматизации.