15 февраля, 2021

«Процесс обеспечения ИБ можно сравнить с живым организмом…»

Директор по информационной безопасности «СДМ-Банка» Владимир Солонин отвечает на вопросы о специфике ИБ и внедрении решений в его кредитной организации.

 

Как меняется специфика обеспечения информационной безопасности в банковской сфере с течением времени?

Информационная безопасность банковской сферы, в целом, незначительно отличается от информационной безопасности в других отраслях, разве что инцидент практически сразу ведет к финансовым потерям.

Если в прошлом веке безопасностью хорошего уровня считалось наличие антивируса, а позднее и межсетевого экрана в сети, то с каждым годом добавляются всё новые и новые инструменты защиты информации. Да и используемые средства защиты претерпевают эволюцию. Тот же межсетевой экран вначале был простого пакетным фильтром, потом научился разбирать сетевые протоколы на составляющие и эволюционировал до Next Generation Firewall, работающего и на уровне приложений.

В последнее время приходится всё больше задумываться об обеспечении безопасности при взаимодействии клиентов с банком. Всё более актуальной становится работа с людьми, воспитание у них культуры безопасной работы. Каждый сотрудник должен понимать, что общая безопасность зависит от каждого пользователя информационных систем банка, а не только от специалистов информационной безопасности и администраторов ИТ.

 

Есть ли какие-то особенности функционирования периметра вашей сети?

Смотря что считать периметром. Если рассматривать периметр, как периметр здания – это одно, если рассматривать как изолированную сеть – то это другое. Я бы сказал, что периметров несколько. И они разные и зависят от обрабатываемой информации и задач.

На фоне изоляции и карантина 2020 года многие эксперты теперь считают, что понятие периметра себя изжило, так как повсеместно появились удаленные рабочие места. Наверное, в этом есть разумное зерно, если это удаленное рабочее место не подконтрольно ИТ-специалистам банка и находится в потенциально опасной среде функционирования (например, в домашней сети).

Считается, что периметр начинается там, где заканчивается внешние сети (включая сеть Интернет). Перефразируя – периметр начинается там, где есть корпоративные средства защиты. Исходя из этого, вполне логично создать систему, использующую внешние сети (и Интернет) только для создания VPN-соединения с целью получения доступа внутрь корпоративного периметра. А саму систему удаленного доступа логично сделать защищенной от несанкционированного воздействия. Да, это не очень удобно, так как требует наличия устойчивого канала связи.

Впрочем, если говорить про набор ПО офисного сотрудника, то тут всё и проще, и сложнее одновременно. Вопрос в том, какие категории информации предполагается обрабатывать, объём такой информации, к каким базам данных требуется постоянный доступ. Опять же вопрос — в каких условиях эта рабочая станция эксплуатируется.

По нашему опыту, в основном используется три канала удаленного проникновения на рабочую станцию: Интернет, почта и съемные устройства. Интернет можно пустить через корпоративный шлюз доступа. Почту эффективнее всего оставить внутри периметра. Съемные устройства можно запретить, используя DLP или другие Endpoint Security решения. Опять же, есть замечательная технология VDI, которая позволяет виртуализировать рабочие места и минимизировать доступ к корпоративным ресурсам.

Выбор того или иного решения зависит от оценки рисков и угроз, а также от специфики работы. И хорошо, когда есть набор разных инструментов и их можно комбинировать.

 

Как в вашем банке возникали задачи повышения уровня ИБ? Что было толчком к реализации проектов для решения этих задач?

Процесс обеспечения ИБ можно сравнить с живым организмом. Соответственно, как любой организм, он проходит некие этапе в своём развитии: от детства до зрелости. В «детстве» основными побудительными мотивами являлись требования регуляторов. В «отрочестве» мы решили посмотреть, а так ли хорошо мы соответствуем требованиям регуляторов, и провели аудит информационной безопасности. В «юности» аудиторы уже оценивали не только формальное соответствие требованиям НПА, но и фактический уровень ИБ. Пришло понимание, что защита информации – это не прихоть, а важная составляющая корпоративных бизнес-процессов. Чем раньше поднимаются те или иные вопросы безопасности, тем легче в дальнейшем развивать систему защиты. Теперь новые инструменты проходят проверку еще на стадии пилота.

Когда организация «дорастает» до понимания важности обеспечения информационной безопасности и защиты информации, проекты по модернизации системы защиты проходят значительно проще.

Важно понимать, что это медленный процесс, и требуется много усилий по воспитанию культуры информационной безопасности на всех уровнях организации. Естественно, что из всего этого вытекает оценка рисков, угроз, а также построение модели нарушителя. Однако, здесь очень сложно дать адекватную оценку и приходится опираться на мнение экспертов (так называемая экспертная оценка). Соответственно, чем больше квалифицированных экспертов участвует в формировании количественных показателей оценки, тем лучше. В данном процессе очень важна помощь экспертов дружественных компаний и аудиторов.

 

Расскажите, как проходили внедрения решений для защиты информации.

Внедрение новых инструментов происходит по «классической схеме». Разработка концепции с обоснованием целей и описанием результатов. План проекта. Защита его внутри банка на профильных комитетах. Анализ рынка решений. Поиск интегратора. Пилотное внедрение, иногда нескольких решений одновременно.

К сожалению, с каждым годом сложнее на рынке найти опытного интегратора, умеющего не просто внедрить какой-либо продукт, а именно решить целевую задачу (то есть развернуть решение). Часто приходится слышать, что предлагаемое решение не сможет работать по нашим сценариям. Однако, мы не готовы кардинально перестраивать свои бизнес-процессы для выполнения поставленных задач. Наоборот, мы стремимся найти программный комплекс, который максимально подходит под наши задачи и ИТ-инфраструктуру. Здесь важно описать максимально подробно, каких именно целей мы хотим достичь. Не «как», а «что» именно хотим. «Как» — это задача интегратора. Впрочем, важен даже не столько интегратор, сколько конкретная команда проекта.

На этапе пилотного проекта мы проводим оценку защищенности модулей программного обеспечения, концепции функционирования продукта, безопасности взаимодействия со смежными компонентами ИТ-инфраструктуры. Обескураживает тот факт, что в наше время мы все еще встречаем средства защиты информации, в которых отсутствует нормальное журналирование таких моментов, как доступ администраторов, пользователей, их действий, действий самого программного комплекса.

После пилотного тестирования, начинается не менее сложный этап, включающий:

  • выбор конкретного продукта и интегратора;
  • согласование итогового перечня услуг для построения новой подсистемы защиты информации;
  • защиту проекта для получения финансирования.

 

По каким ключевым критериям осуществляли поиск решений?

Основной критерий — это соотношение «цена-качество», где оценка качества формируется исходя из полноты закрытия стоящих перед нами задач данным решений. Цены формируется из стоимости лицензий, работ, последующих ежегодных затрат, ресурсоёмкости внедрения (как по железу, так и по людским ресурсам), числа вносимых изменений в существующие системы, трудоемкости доработок и сопровождения.

Немаловажно и то, как продукт, лежащий в основе решения, способен интегрироваться с существующими компонентами ИТ-инфраструктуры. В том числе имеет значение объем изменений, которые потребуется внести в бизнес-процессы банка.

Последним критерием является то, кто будет решение внедрять. Если в компетенциях интегратора возникают сомнения, то лучше отложить внедрение и поискать другого, даже если выбранный продукт полностью нас устраивает. Собственно, в том числе и для этого проводится пилотное тестирование.

 

Какие продукты внедрены у вас и как с их помощью удалось повысить уровень информационной безопасности банка?

У нас постепенно были внедрены три программных комплекса Компании «Индид». С помощью ПО этого вендора мы полностью изменили процедуру аутентификации в целевых системах и сервисах банка, исключив использование уязвимых паролей нашими пользователями. Вместо паролей (которые часто не соответствовали требованиям безопасности и были сложны для запоминания) используются смарт-карты и хранящиеся на них сертификаты. Эти смарт-карты также совмещены с пропусками в СКУД.

Возникла еще одна задача, связанная с тем, что сертификаты поддерживаются не во всех целевых системах и сервисах. Ее решили  применением технологии Single-Sign On (SSO), которая в качестве аутентификатора принимает саму смарт-карту, и для авторизации в целевых приложениях сама вводит за сотрудника учетные данные (это происходит прозрачно для пользователя).

За аутентификацию в целевых приложениях с помощью сертификатов, с помощью технологии SSO и за интеграцию со СКУД отвечает связка двух продуктов – Indeed Access Manager и Indeed Certificate Manager.

А для контроля привилегированных пользователей, чьи действия могут иметь потенциально более разрушительный эффект для банка, чем действия линейных сотрудников, мы применяем третий продукт – Indeed Privileged Access Manager. Этот программный комплекс также поддерживает двухфакторную аутентификацию и прозрачную подстановку учетных данных при доступе целевым ресурсам – серверам, устройствам и приложениям. Дополнительно, Indeed PAM фиксирует осуществляемые привилегированными пользователями действия для последующего анализа или реагирования на сбои.

 

Что повлияло на выбор ПО Компании «Индид» и какие впечатления от работы с их системами?

Расскажу на примере продукта Indeed PAM для контроля действий привилегированных пользователей.

О критериях выбора я говорил ранее. Продукт выбирали в два этапа. На первом этапе было 5 конкурирующих решений. Компания «Индид» обогнала всех.

Кроме функциональных особенностей продуктов мы оценивали качество работы специалистов разработчика в части настройки продукта для пилотного тестирования и в части реализации сложных технических задач по интеграции с компонентами нашей ИТ-инфраструктуры. Помимо прочего, у нас было пожелание, чтобы разработка и техническая поддержка была локализована в России.

Надо сказать, мы не разочаровались в выборе. В поддержку обращаемся часто, и когда обращаемся, помогают оперативно. А это хороший показатель, когда решение работает и не ломается. Компания «Индид» уделяет большое внимание развитию своих продуктов и регулярно выпускает новые версии.И главное – разработчики прислушиваются к нашим пожеланиям по развитию функциональности продукта.

Комплексное использование трех продуктов одного вендора оказалось выгодной инвестицией!

 

Как вы думаете, к каким изменениям функционирования корпоративной ИТ-инфраструктуры в перспективе 3-5 лет нужно быть готовым представителям банковской сферы?

Действительно, сейчас мы наблюдаем ряд интересных тенденций, которые, в перспективе, сильно повлияют на функционирование ИТ-инфраструктур в банковской отрасли.

В первую очередь, это удаленная работа. Прошедший год показал, что, с одной стороны – это очень удобно, достаточно эффективно с точки зрения производительности и позволяет сэкономить на организации обеспечения рабочих мест сотрудников. С другой стороны – такие удаленные рабочие места требуют куда больше мероприятий для обеспечения информационной безопасности. Как я уже говорил, из-за таких рабочих мест понятие «периметр сети»применять все сложнее. Если удаленная работа будет еще более популярной, мы, возможно, придем к ситуации, когда часть офисных помещений и, соответственно, часть контуров сетей станет не нужна.

Далее, нельзя не упомянуть про тенденцию переноса серверов на облачные вычислительные ресурсы. Фактически, мы являемся свидетелями масштабной перестройки ИТ-рынка, так как облака позволяют сильно сэкономить на приобретении аппаратного обеспечения и его последующего обслуживания. Безусловно, что далеко не все банковские сервисы и информационные системы можно перенести в облако. Однако, возможно в будущем, когда появятся, скажем так, доверенные облака, соответствующие требованиям того же PCIDSS, мы и начнем переносить часть финансовых сервисов в эти ЦОД’ы. Но пока это может быть рискованно. Сегодня еще не существует полной законодательной базы, регулирующей вопросы защиты и доступа к данным в коммерческих облаках.

Смотрите также