В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Банковский бизнес ежедневно имеет дело с огромными массивами конфиденциальной информации, составляющей банковскую тайну. Любая ошибка в защите этих данных может привести банк к фатальным последствиям, вплоть до банкротства или отзыва лицензии. Именно поэтому в финансовом секторе традиционно уделяется огромное внимание политике информационной безопасности (ИБ).
Компания ТрастВерс, входящая в холдинг «Информзащита», предложила рынку уникальную технологию КУБ – комплексное решение, обеспечивающее управление логическим и сетевым доступом к информационным ресурсам компании, непрерывный контроль соблюдения политики безопасности, выявление несанкционированных изменений настроек прав доступа и контроль программно-аппаратных конфигураций.
Ни у кого из участников финансового рынка не вызывает сомнений факт, что обеспечение информационной безопасности банков – актуальная проблема, важность которой постоянно растет, о чем свидетельствует неумолимая статистика. Например, согласно исследованию аналитического центра компании InfoWatch, прямые убытки кредитно-финансовых организаций в мире от утечек информации в первом полугодии 2012 года составили более 2 млрд долларов, 24,7% которых пришлись на российские банки.
Одной из важных задач обеспечения информационной безопасности банка является организация безопасного управления доступом к информационным ресурсам. Любой успешный банк имеет высокий уровень автоматизации и для обеспечения своей жизнедеятельности использует большое количество различных информационных систем: автоматизированные банковские системы, ERP, CRM, СЭД, электронную почту и многие другие. Кроме того, как и в любой другой крупной организации в банке ежедневно происходит большое количество кадровых изменений, влекущих за собой необходимость изменений прав доступа к информационным ресурсам.
«Конечно, в организациях существует регламент, четко описывающий правила предоставления доступа, однако зачастую отсутствуют системы, которые бы непосредственно занимались управлением доступом, - отмечает Дмитрий Прокопенко, руководитель группы проектирования технологии КУБ. - Кроме того, отсутствие технических средств, позволяющих контролировать соответствие согласованного доступа реально предоставленному приводит к тому, что сотрудникам службы ИБ приходится делать это визуально». В промежутках, когда проверки не осуществляются, пользователь с избыточно предоставленным ему набором прав может получить доступ к конфиденциальным данным, замести за собой следы, и никто не узнает о том, что информация была похищена. У большинства банков отсутствует процесс постоянного мониторинга соответствия согласованных и реально действующих прав.
Обеспечение информационной безопасности в современном банке – это комплексный процесс, в котором велика роль не только технической, но и организационной составляющей. Очень важно иметь решение, которое позволило бы осуществить тесную интеграцию технологий, процессов и людей.
К сожалению, традиционные IDM уделяют небольшое внимание вопросам контроля доступа, поскольку при создании разработчики ориентировались больше на потребности ИТ - автоматизировать процесс управления учетными записями. Технология КУБ (Комплексное Управление Безопасностью), разработанная компанией ТрастВерс, включает в себя функционал IDM, но расширяет его для полноценного решения проблем на стыке трех подразделений: бизнес, службы ИТ и ИБ.
Вот некоторые возможности КУБ, которых нет в типовых IDM:
После внедрения КУБ в банке возникает упорядоченная система предоставления доступа, где каждое изменение имеет своего автора.
Резюмируем, зачем нужна технология КУБ и что она дает каждой из сторон, включенных в процесс получения доступа к информационным ресурсам банка.
Получают возможность самостоятельно, без посредников, в привычной терминологии запрашивать доступ к необходимым информационным ресурсам через удобный web-портал и получать его, избегая дополнительных согласований.
Получают четкие, не требующие уточнения, инструкции к выполнению в понятной терминологии. Им не нужно тратить время на согласование заявок на доступ с руководителями смежных подразделений и службой ИБ. Возможно автоматическое исполнение инструкций. Процессы изменения прав автоматизированы, что позволяет сократить ресурсы, необходимые для поддержки информационных систем и снизить риск ошибок, связанных с человеческим фактором.
Получает инструмент контроля. Он автоматически получает информацию обо всех несанкционированных изменениях прав сотрудников и программно-аппаратных конфигураций.
Человеческий фактор был и остается самым слабым звеном информационной безопасности любого банка – об этом говорят ИТ-директора банков и специалисты в области ИБ. Ошибки людей можно и нужно предотвращать за счет автоматизации.
КУБ позволяет уже на уровне архитектуры отсекать возможные неправомерные действия нарушителей.
В процессе управления доступом КУБ создает так называемую «модель», отражающую текущие настройки всех информационных систем. После согласования заявки, КУБ может спрогнозировать, как должны измениться настройки информационных систем в соответствии с утвержденной политикой информационной безопасности. По факту любого изменения система переходит в новое состояние и фактическая модель сравнивается с прогнозируемой.
Благодаря такому подходу, процедура контроля становится по настоящему эффективной. Изменения считаются успешно завершенными, только если реальное состояние информационной системы совпадет с моделью. В противном случае, сразу же станет понятным, что кто-то из сотрудников не выполнил всех необходимых действий или умышленно сделал что-то не так, например, дал лишний доступ к определенным информационным ресурсам.
Эксперты компании ТрастВерс отмечают, что типовой вариант КУБ можно внедрить за очень короткие сроки – в течение нескольких недель, особенно, если политика информационной безопасности формализована и в банке разработан четкий регламент управления доступом, которому сотрудники стараются следовать, а у руководства есть понимание необходимости решать данную проблему.
КУБ обычно внедряют компании крупного и среднего бизнеса с разветвленной региональной сетью, обладающих большим количеством информационных ресурсов и систем, где хранятся данные, подлежащие обязательной защите.
Приведем выдержки из небольшого интервью представителя одного из заказчиков ТрастВерс – главного инженера ГУ Центрального банка России по Тверской области Виктора Владимировича Людкевича:
Мы внедрили платформу КУБ в 2009 году. И вот что изменилось у нас за это время:
Опубликовано: Сайт ITSec.Ru-2013