Руководство понимает: информационная безопасность требует финансирования

Cветлана Белялова, начальник Управления информационной безопасности ЗАО "Райффайзенбанк Австрия", CISA, CISM, CISSP, рассказала редакции журнала "Information Security/Информационная безопасность" об основных направлениях деятельности ИБ-отдела, его взаимодействии с другими подразделениями, а также о достижениях за прошедший год и планах на будущий.

- Расскажите, пожалуйста, об основных направлениях деятельности вашего управления, о достижениях за прошедший год и планах на будущий.

- "Райффайзенбанк" очень крупная, быстро развивающаяся и постоянно растущая организация, поэтому с каждым годом задач у нашего управления становится все больше.

Мы развиваем целый ряд направлений. В первую очередь, это проектное направление: более половины времени мы уделяем работе над проектами. В наши функции входит управление информационными рисками проектов всех бизнес-подразделений банка, которые связаны с внедрением новых сервисов, систем, изменением функционала, привлечением новых подрядчиков и т.п.

Одним из ключевых направлений, которым призвано заниматься Управление информационной безопасности нашего банка, является безопасность информационных систем. В нашу компетенцию входят также юридические вопросы, связанные с выполнением требований регуляторов, касающихся ИБ, и использованием средств криптографической защиты информации, а также планирование действий по обеспечению непрерывности бизнеса.

В последнее время все больше внимания наше подразделение уделяет вопросам информационной безопасности при использовании услуг аутсорсинга. Это связано, прежде всего, с существенным увеличением объема работ, которые банк поручает выполнять компаниям-партнерам. Мы чувствуем ответственность за любого привлекаемого контрагента, так как его профессионализм и ответственность напрямую связаны с качеством услуг, гарантируемых клиентам Банка. Мы хотим быть уверены в том, что аутсорсинговые компании серьезно относятся к вопросам хранения и распространения информации, что их подходы соответствуют требованиям российского законодательства в области защиты информации.

В основном на аутсорсинг отдаются вопросы, связанные с ИТ (техническая поддержка, помощь в реагировании на аварийные ситуации, разработка ПО, тестирование программных продуктов), а также консалтинговые услуги. Вопрос об аутсорсинге ИБ на настоящий момент не рассматривается: это сугубо внутренняя функция нашего управления.

Мы вырабатываем методологические, процессные и собственно технологические стандарты информационной безопасности, которые являются основой для построения всей системы ИБ, в том числе в регионах. Наше управление имеет точки присутствия в региональных филиалах. Туда направляются специалисты, которые отвечают за распространение программы обеспечения ИБ в регионах и курируют вопросы планирования непрерывности бизнеса.

Одно из важных достижений 2008 г. - это укрепление, модернизация или замена средств защиты информации и систем информационной безопасности "Импэксбанка" после его приобретения.

Большое внимание мы уделяем работе с персоналом. Наша задача - добиться от каждого сотрудника понимания целей внедрения системы управления информационной безопасностью, ее связи с задачами бизнеса. От этого зависит уровень безопасности организации. У нас разработан специальный интерактивный курс, прохождение которого является обязательным для каждого сотрудника банка по всей территории РФ. Этим мы хотим добиться осознанного подхода к проблеме защиты информации на уровне организации. Кроме того, проанализировав ответы сотрудников в рамках интерактивного теста, мы сможем убедиться в том, что сумели донести соответствующую информацию до каждого пользователя, или определить, какие вопросы обеспечения информационной безопасности не были освещены в достаточной степени.

Мы выработали общую систему правил, стандартов ИБ, следование которым обязательно для сотрудников любого уровня - будь то рядовые служащие или руководящий состав. Эти правила действуют в головном офисе, мы занимаемся их распространением в регионах, а также в других компаниях группы "Райффайзен" - "Райффайзен-Лизинг", НПФ "Райффайзен" и "Райффайзен-Капитал": необходимо, чтобы все организации, которые представляют марку "Раффайзен" в нашей стране, имели единый подход к информационной безопасности и к безопасному обслуживанию клиентов.

Мы воспринимаем информацию, которую нужно защищать, в самом широком смысле: это и печатные документы, и телефонные переговоры, и любые данные, которыми сотрудники на разных уровнях обмениваются с партнерами, клиентами, подрядчиками и т.п. Мы уделяем достаточное внимание как внешним, так и внутренним угрозам информационной безопасности. Для нас защита информации - задача комплексная.

В 2008 г. мы много времени уделили решению проблемы электронного мошенничества и продолжаем развивать это направление. Наш банк стал одним из первых в России, внедривших систему Интернет-банкинга. Однако по мере развития этого сервиса растут и риски. Их нельзя недооценивать, поэтому мы много сил и времени уделяем планированию ряда мероприятий по предотвращению угроз электронного мошенничества.

- Не могли бы Вы подробнее рассказать о взаимодействии с другими подразделениями?

- Наше управление играет роль внутреннего консультанта по информационной безопасности для других подразделений. С бизнес-аналитиками и руководителями подразделений мы обсуждаем вопросы, связанные с безопасностью развития тех или иных направлений деятельности, банковских продуктов, услуг. Для банка принципиально важна деловая репутация, поэтому для нас приоритетными вопросами являются качество обслуживания клиентов и безопасность предоставляемых сервисов. Да и наши клиенты осознают необходимость обеспечения защиты конфиденциальной информации. С точки зрения оценки информационных рисков, участие в проектах бизнес-подразделений на этапе инициации новых услуг и продуктов - ключевой момент программы ИБ.

С ИТ-отделом мы находимся на одном иерархическом уровне в организации (мы в разных дирекциях и рапортуем разным членам Правления банка). При этом наше взаимодействие построено на взаимной конструктивной основе. На организационном уровне с Управлением информационной безопасности в обязательном порядке согласовывается каждый проект ИТ-подразделения. Основная задача - совместная выработка не только определенных политик, но и конкретных технических решений. Уже на начальном этапе разработки нового ИТ-сервиса или нового ПО предусматриваются функции и элементы обеспечения ИБ - системы мониторинга, резервного копирования, средства управления доступом и учетными записями пользователей и т.п. В "Райффайзенбанке" именно Управление информационной безопасности отвечает за планирование непрерывности бизнеса. Это направление мы развиваем уже не первый год. Мы взаимодействуем как с рядовыми сотрудниками, так и с руководителями бизнес-подразделений: совместно определяем критичные бизнес-процессы, процедуры их восстановления в той или иной чрезвычайной ситуации. Наше управление анализирует существующие ИТ-системы и формирует требования для ИТ-подразделения в соответствии с потребностями бизнеса. На основании этой информации ИТ-специалисты формируют процессы и строят системы резервирования критичных информационных систем.

В текущем году, как и в предыдущем, одним из самых важных направлений для нас будет обеспечение надежности наших процессов.

- Что является предметом особой гордости " Райффайзенбанка"?

- Помимо успешной работы с персоналом, комплексного подхода к информационной безопасности, достижений, связанных с модернизацией систем вошедшего в наш состав "Импэксбанка", и развития ИБ в регионах, о чем было сказано выше, хочу отметить в числе наших достижений централизованный подход не только к бизнес-сервисам, но и к информационной безопасности. Мы используем мощные масштабируемые средства защиты и контроля в головном офисе и распространяем элементы этих систем и средств по регионам. Таким образом, мы движемся по пути централизованного контроля всех систем, включая системы любых удаленных офисов. А это очень важно, так как, несмотря на кризис, бизнес будет развиваться и дальше.

- Каковы Ваши планы в сфере стандартизации в течение ближайшего года?

- В 2009 г. мы должны будем пройти обязательную для нас сертификацию на соответствие требованиям стандарта PCI DSS. Планирование и подготовительные работы начались еще в 2008 г., была проведена оценка систем, определен объем работ.

Мы также планируем обеспечить соответствие информационных систем нашего банка требованиям ФЗ "О персональных данных".

В наших планах - выполнение требований стандарта Банка России. Положения данного стандарта не являются для нас принципиально новыми, многие из них мы уже реализуем, поскольку требования нашей головной организации, международные стандарты, на которые мы ориентируемся, имеют со стандартом Банка России много общего.

- Согласно исследованию Ernst & Young, большинство компаний в условиях кризиса не планирует сокращать бюджеты на информационную безопасность (многие планируют их даже увеличить). Не могли бы Вы поделиться своими соображениями на этот счет?

- Я согласна, что сокращение бюджета на ИБ в настоящий момент рискованно. Угрозы и риски информационной безопасности в условиях кризиса существенно возросли. Мы понимаем, что внимание хакеров и мошенников к нашей организации ослабевать не будет, а возможные последствия их действий могут оказаться более негативными, особенно с точки зрения репутации банка. В условиях кризиса ценность репутации существенно возросла.

Имеющиеся у нас системы позволяют на ранней стадии обнаруживать атаки извне, а также производят мониторинг внутренних систем, выявляя вредоносную активность.

На текущий год у нас выделен бюджет на информационную безопасность не меньший, чем в предыдущем году. Руководство понимает, что ИБ - это область, требующая достаточного финансирования: во-первых, мы должны поддерживать тот уровень безопасности, которого удалось достичь; во вторых, развиваться дальше. Ведь речь идет об организации, в которой работает 10 тысяч сотрудников и бизнес которой не может стоять на месте.