На шаг впереди

На шаг впереди

О том, что такое правильно построенная система информационной безопасности и что является предметом особой гордости РосЕвроБанка, редакции рассказал Грузинский Андрей Михайлович, директор департамента безопасности РосЕвроБанка.

- Описание миссии РосЕвроБанка начинается примечательной фразой: "Мы стремимся предоставлять каждому клиенту полный омплекс самых современных банковских продуктов и услуг, внедряя новейшие достижения в области информационных технологий и совер-шенствуя уровень сервиса". Почему вы сделали акцент на внедрении новейших ИТ-систем?

- Все известные мне банки стремятся максимально оптимизировать, упростить, доработать имеющиеся информационные технологии. Бановский бизнес (как, впрочем, и любой другой бизнес в финансовой сфере) является высокотехнологичным. Он предполагает наличие интенсивного информационного обмена, электронного документооборота, а также современных автоматизированных систем работы с клиентами. Именно поэтому банк и считает развитие IT одним из приоритетных направлений своей деятельности.

Бизнес должен быть хорошо управляем, что невозможно без IT-систем, тем более когда речь идет о разветвленной филиальной структуре. В связи с интенсивным развитием филиальной сети усложняется система электронного документооборота, система управления бизнесом, порядок внутреннего взаимодействия. Для РосЕвроБанка это особенно актуально, так как мы активно идем в регионы.

Немаловажную роль играет и скорость обслуживания клиента. В каждом банке сегодня должны быть внедрены современные платежные системы, новые сервисы, такие как Интернет-банкинг и мобильный банкинг. Промедление в осуществлении расчетов, денежных переводов и прочих операций может стать причиной потери клиента. К тому же многие операции просто невозможны без применения высоких информационных технологий.

- Внедрение новых сервисов предполагает особое внимание к вопросам информационной безопасности. Не могли бы Вы подробнее остановиться на этом направлении Вашей деятельности? Кому в РосЕвроБанке подчиняется подразделение, отвечающее за обеспечение информационной безопасности?

- Традиционно информационная безопасность считается затратной статьей расходов. С другой стороны, важно понимать, что правильно выстроенная система информационной безопасности позволяет избежать рисков, убытки от которых могут во много раз превысить затраты на построение и поддержание этой системы.

Безусловно, финансирование систем информационной безопасности повышает конкурентоспособность банка и его привлекательность в глазах клиента. Однако необходимо подчиняться требованиям и рекомендациям регуляторов. Недавно мы провели самооценку, в подготовке которой были задействованы более 20 человек из различных подразделений. Такую процедуру пока провели всего несколько российских банков. Кроме того, год назад мы создали концепцию развития И Б, которая утверждена руководством банка. В ней указываются основные направления развития ИБ и некая промежуточная цель на ближайшие 2-3 года (очевидно, что с развитием технологий и изменениями в правовой базе примерно через этот промежуток времени любая концепция теряет актуальность и нуждается в пересмотре). Кроме того, концепция ориентирована на выполнение требований международных нормативных актов.

Теперь мы выстраиваем свою работу исходя из концепции. Последовательно, учитывая нормативные акты регуляторов, выстраиваем систему информационной безопасности. Мы стараемся всегда быть на шаг впереди, и это позволяет избегать внезапных, незапланированных затрат: изучив и проанализировав международный опыт и стандарты, мы получили представление о возможных дальнейших шагах российских регуляторов в области информационной безопасности. Мы начинаем к этому готовиться заранее: изучаем рынок, подсчитываем возможные затраты, определяем, какие нам необходимы специалисты. К концу каждого года формируются определенные задачи и соответственно план работы в следующем году. Так что, когда выходят рекомендации регуляторов, которые, как правило, позже переходят в разряд обязательных требований, это не является для нас неожиданностью, мы к ним готовы.

За выполнение этого плана начальник управления информационной безопасности несет личную ответственность перед директором департамента безопасности, который, в свою очередь, несет личную ответственность перед председателем правления банка.

Таким образом, управление информационной безопасности нашего банка входит в состав департамента безопасности.

Отмечу также, что ежегодно мы проводим аудит информационной безопасности Рос-ЕвроБанка, в ходе которого выявляем нарушения в системе безопасности, оцениваем их, разрабатываем комплекс мер по устранению недостатков и дальнейшему совершенствованию систем ИБ. После решения проблемы проводим статистический анализ и делаем необходимые выводы.

- Каковы Ваши личные требования к сотрудникам профильных служб в вопросах обеспечения информационной безопасности?

- Требования к сотрудникам департаментов информационной безопасности для всех банков, я думаю, примерно одинаковы - это должны быть состоявшиеся профессионалы. Но есть и еще одно принципиально важное требование - порядочность. Надо понимать, что сотрудник профильного подразделения ИБ имеет доступ практически ко всем ресурсам банка и, следовательно, является носителем некой секретной информации, которая составляет как банковскую, так и служебную тайну. Поэтому человеческий фактор здесь выходит на первый план.

- Что является предметом особой гордости РосЕвроБанка?

- Далеко не во всех банках руководство готово выделять значительные бюджеты на IT-безопасность (часто работает принцип: раньше без этого жили, значит, и дальше проживем). Поэтому очень важно понимание руководства нашего банка, что информационную безопасность необходимо развивать, внедряя самые современные системы информационной безопасности. Каждый год бюджет, выделяемый на информационную безопасность в РосЕвроБанке, удваивается. Количество сотрудников управления с момента его создания утроилось и продолжает расти.

Просто мы стараемся быть на шаг впереди. Не менее важно, чтобы весь коллектив банка осознавал ответственность за ту информацию, носителями которой они являются. Отмечу, что для сотрудников нашего банка выполнение таких предписаний по соблюдению информационной безопасности, как блокировка компьютера, когда покидаешь рабочее место, или хранение документов в сейфе, а не на рабочем столе, стали такими же естественными, как запирание двери при выходе из собственной квартиры.

Этот год у нас в банке объявлен годом воспитания культуры безопасности сотрудников. Мы даже провели конкурс на лучший слоган на тему "Информационная безопасность". Слоганы победителей попадут на плакаты, которые будут развешены в офисах РосЕвроБанка. Планируется и создание обучающего фильма для всех сотрудников.

Надо сказать, что наши усилия оказались не напрасны. Результаты проверки на предмет взлома банковской системы с применением социальной инженерии показали, что порядка 95% сотрудников отреагировали на провокационные действия абсолютно правильно.

Так что для нас информационная безопасность - это не только технические и программные продукты, но и сознание (культура безопасности) сотрудников. Если пять лет назад основную опасность представляли внешние угрозы, то сегодня - это инсайдеры, но мы уверенно ведем планомерную работу по пресечению таких случаев.
Задача подразделений, отвечающих за И Б, - обеспечить безопасное развитие бизнеса. Проекты ИТ-депар-тамента, отдела пластиковых карт четко согласовываются с управлением информационной безопасности. В случае необходимости мы привлекаем аутсорсинговые компании для проверки надежности и защищенности того или иного нового продукта, внедряемого в нашем банке.

Инвестиции в ИБ - это инвестиции в будущее. Мы предпринимаем ходы на упреждение. Как говорила Королева из небезызвестной сказки, "...приходится бежать со всех ног, чтобы только остаться на том же месте! Если же хочешь попасть в другое место, тогда нужно бежать по меньшей мере вдвое быстрее" (Льюис Кэрролл, "Алиса в Зазеркалье"). Мы тоже следуем такой концепции движения. Катастрофу можно избежать, если ее упредить.