3 августа, 2011, BIS Journal №2(2)/2011

Надёжность ценится высоко


Дзюба Сергей

Начальник управления информационной безопасности (ОАО «ФОНДСЕРВИСБАНК»)

Меняйлов Сергей

Руководитель департамента защиты ресурсов (ОАО «ФОНДСЕРВИСБАНК»)

Защищать информацию о клиентах банка не менее важно, чем обеспечивать сохранность их средств

ОАО «ФОНДСЕРВИСБАНК» одинаково успешно обслуживает как предприятия малого и среднего бизнеса, так и крупные высокотехнологичные производства отечественного оборонно-промышленного комплекса. Следовательно, информационная безопасность банковских процессов должна обеспечиваться в высшей степени надёжно, на серьезном государственном уровне. Именно поэтому стандарт информационной безопасности Банка России специалисты соответствующих служб и подразделений банка считают своим рабочим инструментом.

ВРЕМЯ БОЛЬШИХ ПЕРЕМЕН

Известная фраза о том, что всякая революция лишь тогда чего-нибудь стоит, если она умеет защищаться, к современному бизнесу применима без оговорок. Причем касается она любого из видов защиты, включая информационную. Честно говоря, в этом смысле большинство банков похожи: без защиты информационных потоков сегодня просто не может быть собственно банковской деятельности, предполагающей строгую отчетность и перед регуляторами процессов, и перед клиентами, доверяющими банку свои средства.

Поэтому сохранность информации по финансовым и другим направлениям деятельности ОАО «ФОНДСЕР-ВИСБАНК» для всех его сотрудников – не дежурная черта имиджа, а важнейшая из текущих задач. И наши клиенты хорошо знают об этом.

Исторически ОАО «ФОНДСЕРВИСБАНК» прочно связан с крупными высокотехнологичными производствами отечественного оборонно-промышленного комплекса. Этот сегмент бизнеса банками практически полностью «освоен». Понимание этого обстоятельства требует новых подходов в выработке клиентской политики, в ориентированности банка на новые направления своего развития. На сегодняшний день уже неверно было бы считать, что мы – просто отраслевая кредитная организация.

Сегодня для банка особо актуальны задачи диверсификации бизнеса. Учимся работать в новых условиях меняющихся рынков. Занимаемся финансированием сельскохозяйственных проектов, программ технического переоснащения промышленных предприятий, модернизации производства «под ключ», выдачей ипотечных кредитов по программам АИЖК, кредитованием малого бизнеса и предприятий торговли…

Из кредитной организации, работавшей в узком сегменте рынка, ОАО «ФОНДСЕРВИСБАНК» к настоящему моменту превратился в банк широкого профиля. Новый, более обширный круг задач потребовал соответствующих перемен в работе подразделений, отвечающих за информационную безопасность, были серьезно изменены критерии подбора специалистов. В первую очередь, это касается управления информационной безопасности, где трудятся высококлассные специалисты по программному обеспечению, имеющие опыт работы в сфере защиты информации.

Естественно, на руководящие должности мы подбираем сотрудников, которые не только являются опытными программистами, но также способны быть и «мозгом», и «мотором» своего подразделения. Преференции в этом вопросе у тех кандидатов, которые выросли как специалисты именно в нашем банке. Мы должны быть полностью уверены в тех, кто отвечает за столь важный участок работы банка, в их профессиональных и чисто человеческих качествах.

НЕ ЛОМАТЬ, А СТРОИТЬ

Бытует мнение, что ведущие специалисты банка в сфере информзащиты должны быть обязательно людьми с военным профессиональным прошлым. Для нас это не аксиома. Среди сотрудников банка, отвечающих за информационную безопасность, немало чисто «гражданских» лиц. Например, в ведущем IT-подразделении банка – департаменте информационных технологий.

Именно здесь работают сотрудники, контролирующие соблюдение программных и аппаратных требований, а также норм стандарта Банка России по информационной безопасности. Подобный «надзор» полезен как взгляд со стороны, потому что непосредственному исполнителю бывает трудно самостоятельно заметить недочеты, объективно оценить, насколько качественно выполняется работа.

Первоочередная задача управления информационной безопасности – организовать работу всего программно-аппаратного обеспечения и выполнение требований упомянутого выше стандарта информационной безопасности. Важным этапом перехода на стандарт информбезопасности стала реальная ревизия собственных возможностей, понимание того, способны ли мы справиться с этой задачей самостоятельно.

Выяснилось, что полное выстраивание организационного, программного и аппаратного комплекса банка, необходимого для соблюдения отраслевого стандарта, потребует, в том числе, приема на работу дополнительного персонала. В общем, предстояло принять целый комплекс довольно срочных мер.

Поэтому руководством банка было решено обратиться за помощью к специализированным фирмам.

Оборудование и программное обеспечение закупали на конкурсной основе, банк проводил тендеры. Например, компанию, которая поставила программное обеспечение, необходимое для соблюдения требований стандарта Банка России по информационной безопасности, выбрали из четырех претендентов.

Столь же скрупулезно лучшими специалистами рынка оценивались IT-ресурсы банка, выбирались и тщательно тестировались необходимые дополнительные программно-аппаратные решения. В итоге мы смогли добиться того, что вывели и технику, и специалистов, ее эксплуатирующих, на принципиально новый уровень.

КАДРЫ РЕШАЮТ ВСЕ

Яркий лозунг первых советских пятилеток не утратил своей актуальности и по сей день. Какими бы замечательными не были софт и аппаратура, но без высокопрофессиональных специалистов им грош цена! Поэтому отбору кандидатов на замещение вакантных должностей мы всегда уделяли особое внимание. Разумеется, главным критерием отбора были и остались деловая репутация и уровень профессиональной компетенции. Затем, следуя рекомендациям подрядчиков, было произведено обучение всех специалистов банка, занимающихся информзащитой.

Таким образом, началось построение системы обеспечения информационной безопасности, которая с самого начала соотносилась с общим характером развития банка, расширением направлений и объёмов деятельности, ростом числа сотрудников и, соответственно, рабочих мест. Например, отдел информационной безопасности был создан в банке в 2002 году, а в 2006-м на его базе сформировали целое управление информационной безопасности.

В настоящее время Департамент защиты ресурсов ОАО «ФОНДСЕРВИСБАНК» завершает работы по реализации требований федерального закона №152-ФЗ «О персональных данных». Имея возможность выбора основного инструмента в области технической защиты персональных данных, ОАО «ФОНДСЕРВИСБАНК» предпочел внедрить у себя стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения».

На наш взгляд, это тот самый базовый документ, который позволяет наиболее эффективно выстраивать систему комплексной защиты наших ресурсов. Взяв его на вооружение, мы тем самым обязались до 1 июля 2011 года выполнить комплекс мероприятий по защите персональных данных и оценке эффективности защиты информации.

БДИТЕЛЬНОСТЬ ПРЕЖДЕ ВСЕГО

Обеспечение информационной безопасности требует постоянного внимания и кропотливой работы. Угрозы информационной безопасности в банке анализируются специалистами управления информационной безопасности, которые определяют порядок реагирования на них и способы предотвращения. Отработан порядок реагирования на обнаруженные угрозы, алгоритм действий сотрудников определяется нормативными документами, утверждёнными руководством банка.

Было бы ошибкой забыть, что технологии хакерских атак каждодневно совершенствуются, становятся всё более изощрёнными и опасными. Притуплять бдительность сотрудникам службы информационной защиты банка нельзя ни на мгновение. Тем более что приходиться иметь дело с очень сложным аппаратно-программным комплексом, сбои в работе которого могут серьезно осложнить функционирование системы расчетов.

Понятно, что абсолютно надежной техники не существует, даже на космических кораблях бывают нештатные ситуации. Важно своевременно устранять возникающие проблемы, восстанавливать работоспособность в максимально короткие сроки. По каждому инциденту, связанному даже с кратковременным сбоем, проводятся обстоятельная аналитическая работа и «разбор полётов», чтобы впредь не допустить подобного. Правда, поводов для таких разборов у нас было совсем немного.

Значительное внимание уделяется профессиональной переподготовке и повышению квалификации персонала, работающего в управлении информационной безопасности. Стараемся по максимуму использовать появляющиеся возможности повышения профессионального уровня и руководителей, и ведущих специалистов, и рядового персонала.

Сотрудники подразделений информационной безопасности банка регулярно принимают участие в наиболее важных ключевых отраслевых деловых мероприятиях: в конференциях, посвященных защите персональных данных, в ежегодной межбанковской конференции под Магнитогорском и в других, которые проводит Ассоциация российских банков.

ДОНЕСТИ ДО КАЖДОГО

С принципиально не решаемыми проблемами обеспечения информационной безопасности банка нам пока сталкиваться не приходилось. Зато обычных рабочих трудностей хватает, порою даже с избытком. Типичные проблемы связаны с выстраиванием внутрибанковских взаимоотношений.

Чаще всего доводится разрешать конфликты, связанные с тем, что отдельные сотрудники не понимают, почему необходимо неукоснительно выполнять требования информационной безопасности. Приходится, например, постоянно работать над тем, чтобы совершенствовать взаимодействие управления информационной безопасности и департамента информационных технологий, потому что только сумма усилий этих структур может дать в итоге необходимый результат.

Вместе с тем, важно донести до каждого сотрудника банка необходимость соблюдения требований информационной безопасности. С каждым поступающим на работу проводится соответствующий инструктаж, подробно разъясняется суть принимаемых в этом направлении мер.

В большинстве своем сотрудники с пониманием относятся к необходимости обеспечения информационной безопасности. Главное, чтобы каждый сотрудник понимал: на его личную свободу и права никто не покушается, прилагаемые для защиты служебной информации усилия направлены только на обеспечение бизнес-процессов.

СПРАВКА «BIS Journal»

ОАО «ФОНДСЕРВИСБАНК» − один из самых динамично развивающихся банков России. Среди клиентов – НПО «Энергомаш», РКК «Энергия», ОАО «Росвертол», ОАО «Информационные спутниковые системы» имени академика М.Ф. Решетнёва, а также другие предприятия космической отрасли и оборонно-промышленного комплекса.

Основу ресурсной базы банка составляют средства на расчетных счетах и депозитах физических и юридических лиц. Всего на обслуживании находятся более 5 000 предприятий и 60 000 частных лиц. Сеть продаж насчитывает 28 точек, включая головной офис, филиалы и дополнительные офисы в Москве и области, Санкт-Петербурге, Байконуре, Ростовской и Архангельской областях. Численность сотрудников около 800 человек.

ОАО «ФОНДСЕРВИСБАНК» практически не ведет рекламных кампаний, но, как показывает статистика, каждый день в головном офисе и отделениях банка открывается по несколько новых счетов. И физических лиц, и предприятий малого и среднего бизнеса. Подобный рост клиентской базы свидетельствует: люди ценят надёжность, а именно банки, в которых уделяется первостепенное значение банковской безопасности. Нельзя забывать ни на минуту, что такое доверие зарабатывается долгим напряжённым трудом, и требует постоянных, каждодневных усилий, чтобы его оправдывать.

 

Смотрите также

Дефицит недоверия

18 апреля, 2011
Подпишись на новости!
Подписаться