Региональный аспект обеспечения ИБ в банковской сфере

Игорь
Писаренко

к.т.н., доцент, отдел информационной безопасности УОБ ВТБ24 (ЗАО)

Сергей
Попов

отдел информационной безопасности УОБ ВТБ24 (ЗАО)

Служба безопасности регионального подразделения коммерческого банка комплексно решает вопросы, связанные с обеспечением экономической безопасности, информационной безопасности (ИБ) и обеспечением режима и охраны. Каждое из направлений деятельности весьма специфично и предполагает наличие определенных теоретических знаний, навыков практической деятельности и опыта работы для работников службы безопасности. Естественно, что найти универсальных специалистов, качественно и эффективно решающих одновременно полный спектр задач по обеспечению безопасности, практически невозможно, поэтому в составе такой службы должно быть минимум два-три специалиста различного профиля, которые в определенной степени были бы взаимозаменяемыми при необходимости.

Вопросы обеспечения ИБ имеют во многом приоритетное значение, так как существуют и, к сожалению, зачастую активно реализуются угрозы мошенничества с использованием информационных технологий, в первую очередь в системах дистанционного банковского обслуживания (ДБО), инсайдерские угрозы, связанные с хищением информации, угрозы безопасности, обусловленные ошибочными или случайными действиями пользователей, угрозы безопасности, связанные с банковскими картами, а также угрозы безопасности, связанные с тем, что бизнес-подразделения, их руководители и менеджеры по внедрению проектов, не всегда понимая важность и необходимость обеспечения ИБ, пытаются активно внедрять небезопасные информационные технологии и банковские продукты.

В соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее СТО БР ИББС-1.0) для реализации, эксплуатации, контроля и поддержания на должном уровне системы обеспечения информационной безопасности (далее - СОИ Б) руководству следует сформировать службу И Б или назначить уполномоченное лицо, а также утвердить цели и задачи их деятельности, а для организаций банковской системы, имеющих сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ или уполномоченных лиц на местах, обеспечив их необходимыми ресурсами и нормативной базой.

Для региональных подразделений, особенно небольших точек продаж, где работает небольшое число пользователей, наиболее рациональным является создание службы безопасности, охватывающей несколько точек продаж. Принципиальным является наличие специалистов различного профиля: по обеспечению экономической безопасности, по обеспечению ИБ, по режиму и охране.

Несомненно, одним из основных вопросов является схема взаимодействия с головной службой безопасности в целях проведения единой политики ИБ, внедрения единых требований к работникам всех подразделений, проведения всего комплекса мероприятий по обеспечению ИБ, выявлению и расследованию нарушений регламентов банка, оказанию методической помощи в решении сложных вопросов.

Одной из апробированных и достаточно адаптивных схем является двух - или трехуровневая иерархическая модель построения вертикали управления с единым центром в головном офисе банка и службами безопасности в каждом регионе присутствия. Эффективным является введение промежуточного звена управления в виде укрупненной службы безопасности, например, в федеральных округах. Такая служба координирует деятельность специалистов по отдельным направлениям, обеспечивая более оперативное реагирование на нештатные ситуации, плотное взаимодействие как между своими региональными службами безопасности, так и со структурами безопасности других банков, государственных и коммерческих структур с учетом региональных особенностей и более эффективный контроль деятельности профильных специалистов.

В целом деятельность по реализации и поддержанию ИБ в региональном подразделении строится с использованием циклической модели Деминга: "планирование - реализация - проверка - совершенствование - планирование", которая является основой модели менеджмента стандартов Банка России СТО БР ИББС-1.0 и стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001-2005 (см. рис.).

В плане обеспечения ИБ можно выделить следующие процессы, обусловленные региональным аспектом:

• создание функционального направления по обеспечению ИБ, связанное прежде всего с подбором специалиста соответствующей квалификации;
• обеспечение организационно-технического аспекта деятельности по обеспечению ИБ: внедрение и поддержание единых требований политики ИБ, своевременное доведение необходимой информации в плане развития информационной системы, обеспечение специалиста по ИБ необходимым инструментарием для качественного выполнения функциональных обязанностей;
• обеспечение необходимых условий для эффективной деятельности специалиста по ИБ, что достигается координацией его деятельности из головного офиса, планированием мероприятий по обеспечению ИБ, поддержкой руководства на месте и продуктивным взаимодействием с профильными подразделениями, прежде всего с информационно-технологическим, по работе с персоналом, юридическим;
• контроль деятельности специалиста по ИБ, получение от него необходимой информации (обеспечение обратной связи), методическая поддержка его деятельности, консультирование по различным вопросам;
• совершенствование деятельности по обеспечению ИБ регионального подразделения, обучение и инструктажи пользователей и самих специалистов по ИБ по организационно-правовым вопросам, использованию средств защиты информации.

Понятно, что создание функционального направления по обеспечению ИБ с выделенным функционалом базируется на реальной потребности в таком специалисте: далеко не все вопросы по обеспечению ИБ можно решать удаленно, из головного офиса, при полном понимании руководством - как региональным, так и головным - угроз и рисков нарушения ИБ, возможного ущерба и при соответствующей поддержке руководства.

Основные аспекты, влияющие на обеспечение ИБ в региональном подразделении

Несомненно, важным аспектом является подбор и ввод в строй самого специалиста по ИБ. Конечно, лучше всего брать подготовленного профильного специалиста с определенным опытом работы в банковской сфере, но это не всегда возможно. В ряде случаев приходится либо переманивать его откуда-то, либо искать кого-то в силовых структурах, либо брать специалиста без опыта в надежде на его быстрое обучение.

На этом этапе большое значение имеет обучение самого специалиста по И Б по всем направлениям профессиональной деятельности, связанной с обеспечением ИБ в регионе (обычно в форме инструктажа и стажировки в головном офисе, при необходимости - обучение в профильных учебных заведениях в форме повышения квалификации с получением удостоверения государственного образца), доведением всех необходимых нормативных документов банка, регламентов и требований, предоставления необходимых доступов к информационным системам.

В ходе обучения специалиста по И Б до него доводятся требования законодательства РФ и стандартов Банка России в сфере обеспечения ИБ, требования регуляторов, а также основные положения документов банка, определяющих позицию банка в отношениях с регуляторами.

Здесь особое внимание обращается на внедрение и поддержку единой политики ИБ, единых требований и рекомендаций головного подразделения банка по ИБ, использование единых критериев для оценки угроз и рисков нарушения ИБ, оценки ущерба при проведении расследований по нарушениям ИБ.

Обеспечение условий для эффективной деятельности специалиста по ИБ и обеспечение организационно-технического аспекта такой деятельности в значительной степени зависят от головного офиса и представляют собой комплекс мероприятий по полноценному обеспечению указанного специалиста необходимыми техническими системами и средствами защиты информации и мониторинга, используемыми в региональных подразделениях, комплектом рабочей документации и типовыми формами, а также своевременное информирование обо всех изменениях в структуре сети, требованиях к отдельным узлам сети и рабочим местам, тенденциях развития информационных систем и сети банка в целом.

В свою очередь, инструментарий может включать средства защиты каналов и отдельных узлов и рабочих мест, в том числе средства криптографической защиты информации, средства и системы мониторинга состояния сети и действий пользователей, средства управления портами и устройствами, средства антивирусной защиты, средства выявления уязвимостей и многое другое.

Особое внимание в условиях развитой региональной сети необходимо уделять вопросам управления деятельностью специалистов по ИБ, а именно вопросам планирования и контроля их деятельности.

Планирование и контроль

Планирование целесообразно вести в рамках общего планирования деятельности по обеспечению безопасности регионального подразделения, с разбивкой на краткосрочное (ежемесячное) и среднесрочное (годовое).

Годовой план представляет собой высокоуровневый документ, который должен содержать как можно более полный перечень всех предстоящих в течение года мероприятий по обеспечению ИБ (разовых, регулярных, проводимых по необходимости) с обязательным указанием сроков (периодичности) их проведения. Поскольку не всегда возможно указать конкретные сроки выполнения тех или иных работ, а также запланировать отдельные мероприятия, необходимость в проведении которых появляется только в процессе обеспечения ИБ, годовой план периодически может подвергаться изменениям. Планы же, составленные на месяц, как правило, более точные (как по срокам, так и по содержанию), и поэтому в них редко вносятся корректировки.

Контроль призван обеспечивать объективную оценку деятельности специалиста по ИБ и реальной ситуации в региональном подразделении по обеспечению ИБ и тем самым создавать предпосылки для внесения корректив в деятельность специалиста и СОИБ регионального подразделения в целом. В этом смысле контроль выступает, с одной стороны, одним из главных инструментов оценки деятельности специалиста по И Б, его профессиональной пригодности, а с другой - позволяет устранять несоответствия в применении политики ИБ, оптимально использовать ресурсы, а также избегать кризисных ситуаций.

Контроль можно проводить либо непосредственно на месте, в форме выездной проверки (комплексной или по вопросам обеспечения ИБ) либо дистанционно, в ходе анализа отчетов о деятельности за определенный период, а также по косвенным признакам, характеризующим состояние ИБ в региональном подразделении банка.

Выездная проверка позволяет всесторонне и качественно оценивать реальное состояние СОИБ регионального подразделения, на месте вскрывать недостатки и упущения, оперативно устранять их, принимать меры, направленные на повышение эффективности деятельности в целом.

Дистанционный контроль в основном предполагает анализ информации, поступающей в головной офис из регионов по вопросам обеспечения ИБ. К такой информации относятся прежде всего отчеты о работе за определенный период (год, месяц); справки о деятельности по определенным направлениям, другие документы информационно-аналитического характера. Большое значение может иметь информация, поступающая из информационно-технических подразделений, от руководителей региональной службы безопасности, руководителей точки продаж, из других источников.

Обучение

Ну и, наконец, работа в направлении повышения осведомленности персонала и обучения в области ИБ, на которой акцентирует внимание стандарт Банка России СТО БР ИББС-1.0 и которая является, несомненно, важной и нужной в любой организации для правильной организации работ по обеспечению ИБ, снижения количества ошибок пользователей в ходе обработки и передачи информации, а также уменьшения угроз непреднамеренной утечки конфиденциальной информации, вирусных заражений и других негативных воздействий.

Формы обучения могут быть самыми разными: очными, в ходе которых происходит непосредственное общение специалиста по ИБ с пользователем информационных систем банка, и дистанционными, с использованием корпоративной электронной почты и специальных учебных порталов.

Наибольший эффект, как показывает практика, достигается комплексным использованием всех видов обучения: начиная с вводного инструктажа пользователей по вопросам ИБ при поступлении на работу, обязательного проведения дистанционного обучения всех пользователей по программе повышения осведомленности по вопросам ИБ с тестированием по результатам обучения и дальнейшего обучения по использованию средств и систем защиты информации и консультирования по возникающим вопросам.

И еще один вопрос, на который хотелось бы обратить внимание в деятельности специалистов по ИБ регионального подразделения, - это взаимодействие со службами И Б других банков в регионе присутствия, государственных и коммерческих, обмен информацией по возможным схемам мошенничества, возникновению новых угроз и уязвимостей, вирусных атак и другим вопросам.

Таким образом, обеспечение ИБ в региональном подразделении банка представляет собой многогранную и комплексную деятельность, направленную на соблюдение единых требований политики ИБ банка, тесно взаимоувязанную как с потребностями бизнеса, с вопросами внедрения и развития информационных технологий, так и с другими направлениями обеспечения безопасности. Эффективное решение этой задачи для банка с разветвленной филиальной сетью возможно в рамках построения циклической модели на основе требований стандарта Банка России СТО БР ИББС-1.0, в тесном взаимодействии с головным подразделением ИБ и контролем с его стороны.