14 июня, 2012, BIS Journal №2(5)/2012

Не оставаться на обочине


Курочкин Сергей

Начальник отдела защиты информации департамента безопасности (ОАО АКБ «Связь-Банк»)

Планка отраслевого стандарта информационной безопасности высока, но взять её под силу каждому банку

Перед любым банком стоит вопрос, какими требованиями, нормативами руководствоваться в обеспечении информационной безопасности – стандартом Банка России, международными стандартами или собственными разработками? Опыт Связь-Банка убеждает: стандарт Банка России является оптимальным инструментом для эффективной организации работ по выстраиванию системы информационной безопасности с соблюдением требований законодательства.

ИЗ ОТРАСЛЕВОГО – В УНИВЕРСАЛЬНЫЙ

Обеспечение информационной безопасности в разных банках имеет, конечно, сходные черты. Но в любом конкретном банке эта работа тесно связана с особенностями его профиля, структурой бизнес-процессов. Крупный банк или не очень, насколько широкую сеть филиалов и отделений имеет в регионах, какова его клиентура – соотношение юридических и физических лиц, какие клиенты являются ключевыми – крупные корпорации или мелкая розница, насколько он работает с государственными бюджетными организациями, есть ли отраслевая или региональная привязка? С этой точки зрения задача обеспечения информационной безопасности в банке является многоплановой.

Основанный в 1991 году по инициативе Министерства связи (полное название банка – Межрегиональный коммерческий банк развития связи и информатики), Связь-Банк с 2004 − 2005 годов развивается как многопрофильный, универсальный банк федерального масштаба, а сейчас уже входит в 30 крупнейших банков страны. В частности, Связь-Банк расширяет услуги энергетическим предприятиям, оказывает широкий спектр услуг юридическим лицам – предприятиям крупного, среднего и малого бизнеса, активно развивает обслуживание физических лиц.

Связь-Банк обладает широкой филиальной сетью в 52 субъектах федерации. Кроме головного офиса в Москве, от Владивостока до Калининграда работают 134 дополнительных офиса, в том числе формата «мини-офис». 103 офиса расположены в отделениях почтовой связи во многих регионах России, и широкие слои населения могут получать там разнообразные банковские услуги. В этой связи приходится думать, как сделать для массового клиента услуги банка не только доступными и недорогими, но и безопасными.

ЗАДАЧИ ВСЁ НОВЫЕ И НОВЫЕ

Недавно наш банк ввёл для своих клиентов новую удобную услугу – пополнение текущего или карточного счёта, открытого в банке, а также погашение кредита через собственные электронные платёжные устройства. Так и проще, и быстрее, да и в очередях, как правило, стоять не надо. Сеть наших электронных платежных устройств уже охватывает 40 городов России. Денежные средства зачисляются на счёт без комиссий в режиме реального времени.

Ведём работу и с клиентами. Развитие информационно-коммуникационных технологий и распространение соответствующих массовых услуг, в том числе финансовых, идёт быстро. Компьютерная грамотность клиентов, особенно физических лиц, ещё как-то поспевает за этими процессами, а вот со знанием и соблюдением правил информационной безопасности дело хуже.

Люди ещё не привыкли, что мошенники, просто узнав данные банковской карты, могут украсть у них деньги со счёта, причём, иногда – последние. Чтобы помочь клиентам банка защитить себя от кибермошенников, мы разработали понятный алгоритм действий. Так, мы информируем клиентов о разных преступных приёмах – мошеннических SMS-сообщениях и письмах по электронной почте. Приводим примеры, предупреждаем, чего нельзя делать ни в коем случае: недопустимо сообщать по телефону реквизиты своей банковской карты, её тип, срок действия, имя и фамилию, напечатанные на карте, PIN-код, секретный код (CVV2/CVC2) c оборотной стороны. Эти азы информационной безопасности нужно напоминать регулярно, пока нехитрые правила не станут соблюдаться автоматически.

КАК ВЫБИРАЛИ СТАНДАРТ

Какими требованиями, нормативами руководствоваться в обеспечении банковской информационной безопасности – Банка России, международными, или же создать собственные разработки? Такой вопрос возможен потому, что Комплекс документов Банка России, содержащий требования отраслевого стандарта по информационной безопасности, пока носит рекомендательный характер.

В Связь-Банке с 2010 года стандарт Банка России утверждён обязательным для применения в обеспечении информационной безопасности. Такое решение было принято в силу понимания руководством банка важности этой задачи. Внешним аргументом послужило предстоявшее вступление в силу требований федерального закона №152-ФЗ «О персональных данных». Здравое размышление показало, что принятие стандарта Банка России позволит убить сразу двух зайцев, и даже больше.

Дело в том, что отраслевой стандарт, разработанный Банком России, содержит и методические рекомендации по выполнению законодательных требований при обработке персональных данных. Приняв стандарт Банка России, выполняя его нормы, мы тем сам соответствуем требованиям всех трёх прочих государственных регуляторов – Роскомнадзора, ФСБ России и ФСТЭК России. Эти высказанные соображения нашли полное понимание у руководства среднего звена, а потом одобрение и поддержку высшего.

СВОИМИ РУКАМИ ИЛИ ПРИВЛЕКАТЬ СПЕЦИАЛИСТОВ

Начиная с момента принятия банком отраслевого стандарта, как обязательного к применению, была сформирована специальная рабочая комиссия. Кстати, так её и назвали, комиссией по внедрению в банке стандарта Банка России. Состав был комплексным, в него вошли представители подразделений, которые так или иначе, в большей или в меньшей степени задействованы в процессах обеспечения информационной безопасности. А именно специалисты по IT и по безопасности, юристы, кадровики, технологи, а также представители департамента документационного обеспечения, поскольку актуальна защита информации не только в электронном виде, но и на бумажных носителях.

Вначале предстояло провести аудит – начальную оценку, чего не хватает, чтобы соответствовать требованиям стандарта, затем разработать и осуществлять меры по достижению заданной «планки». Потом, на финише, повторно оценить, какой уровень соответствия достигнут. Сразу встал вопрос, какими ресурсами проводить ряд масштабных и рассчитанных на длительное время работ.

Компания, в том числе банк, часто встаёт перед выбором – решать задачу силами собственных сотрудников или привлекать стороннего исполнителя. Решение принимается по совокупности многих параметров – соотношению расходов, результатов и сроков выполнения, которые порой поджимают. В нашем случае, напомню, существенным фактором оказались сроки, вступление в силу через несколько месяцев требований закона «О персональных данных». И мы сознавали: раз приняли отраслевой стандарт, то 1 января 2011 года придётся «держать ответ» перед Банком России. В дальнейшем, правда, в связи со вступлением в силу федерального закона №359-Ф3, сроки реализации требований стандарта продлили до 1 июля 2011 года.

Ещё раз следует отметить, что стандарт Банка России предполагает два варианта оценки соответствия банка предъявляемым требованиям: своими силами – самооценку, и внешнюю – при помощи привлечённой сторонней организации. Своими силами выполнить поставленные задачи мы, наверное, могли, это дешевле, чем с помощью привлечённой организации. Но по поводу сроков, успеем ли, были сомнения. Учитывая лимит времени, высокого качества работ по оценке соответствия требованиям отраслевого стандарта логичнее было ждать от «экзаменаторов» – специалистов с богатым опытом предоставления услуг по аудиту информационной безопасности банков.

В 2010 году организовать работы по приведению банка в соответствие требованиям 152-ФЗ предлагали многие компании. Мы выбрали исполнителем ту, с которой нас уже связывал опыт работы в области аудита информационных технологий.

ВЫПОЛНИЛИ – ПРОВЕРИЛИ

По заказу банка в два этапа был проведён комплексный аудит: сначала в целом, потом на соответствие требованиям стандарта Банка России. Методика расчета итогового показателя такова: он определяется по 10 групповым параметрам, которые, в свою очередь, содержат всего около 400 частных пунктов.

Расчётные показатели достаточно точные и строгие. Проведённый аудит выявлял по каждому пункту либо соответствие предъявляемым требованиям, либо узкое место – несоответствие, а также его степень. Итоговые выводы в целом совпали с нашими предварительными предположениями. По результатам обследования для нас были разработаны рекомендации, как выходить на соответствие всем требованиям. На выполнение рекомендаций до отчётной даты у нас оставалось всего полугодие, и мы ускоренными темпами принялись за работу.

Чтобы посмотреть, что и насколько нам удалось в отведённые сроки, провели ещё один внешний аудит, к которому привлекли уже другую стороннюю организацию. Новый подрядчик провёл аудит, проявляя большее внимание к защите персональных данных, поскольку именно этот аспект на тот момент стоял во главе угла.

Итоги проверки показали: проведённая нами работа оказалась результативной, мы вышли на заданные показатели. На собственном опыте мы получили убедительные доказательства: стандарт Банка России является оптимальным инструментом эффективной организации работ по выстраиванию системы информационной безопасности в соответствии с требованиями законодательства. Однако, работа эта, в хорошем смысле слова, бесконечная, поскольку отрасль постоянно развивается.

НЕСТАНДАРТНЫЕ РЕШЕНИЯ

В целом, для большинства случаев, требования отраслевого стандарта вполне выполнимы, даже если банку приходится решать не вполне обычные технические задачи. Согласования удаётся проводить в рабочем порядке. Например, в 2010–2011 годах нам довелось заниматься оборудованием резервного центра обработки данных. Задача стояла так, что время простоя должно быть нулевым. Расстояние между двумя площадками обработки данных в разных концах, на Волочаевской улице и в районе Варшавского шоссе, составляет 38 км, но задача представлялась выполнимой.

Мы арендовали канал связи из «тёмного оптоволокна» – среды с высокой пропускной способностью. Скорость передачи, кроме скорости света, ограничивается только конечным оборудованием на точках приёма-передачи. Особенности решения поставленной задачи, с которыми мы столкнулись, были такие: оптическая линия не наша собственная, а арендованная. Далее, проходит она по территории Москвы, через неконтролируемый периметр. Согласно требованиям ФСТЭК России, информацию, которая у нас выходит за переделы контролируемой зоны, мы должны защищать с помощью криптографии.

Увы, среди отечественных сертифицированных разработок не удалось найти пригодные для использования в оптических каналах. Использовать средства конвертации в оптический сигнал нельзя, потому что нет отечественных продуктов, способных работать на достаточно высоких скоростях. Есть в природе от силы на 1 Гбит в секунду с хвостиком, а нам было нужно вчетверо больше. Решение предложила одна из компаний-интеграторов – продукцию австралийской компании для использования в оптических каналах со скоростью шифрования 4 Гбит в секунду. Два таких устройства вполне могли справиться с нашей задачей.

Компания, ввозившая нужные нам устройства в Россию, по запросу получила соответствующее разрешение ФСБ России. Речь шла о конкретном оборудовании конкретно для использования Связь-Банком. А мы проверили устройства по всем параметрам, в том числе на соответствие задействованных технологий нормам стандарта Банка России. На всякий случай получили подтверждение Банка России, что разрешения ФСБ России достаточно для соответствия требованиям отраслевого стандарта.

Как мы видим, даже в нестандартных ситуациях, которые встречаются в любом банке, стандарт Банка России позволяет принимать гибкие решения. Процесс развития отраслевого стандарта, как уже было сказано, сложный и нелинейный. Но свой вклад, как показывает наш опыт, могут внести все участники отрасли, и, в первую очередь, «гвардия» кредитно-финансовой сферы – банки. Находиться в стороне от этой работы, на обочине магистрального движения остаётся всё меньше резонов.

 

Смотрите также

Активная защита ДБО

15 декабря, 2011

Презумпция вины

28 ноября, 2011
Подпишись на новости!
Подписаться