Персональная защита банковской информации

Персональная защита банковской информации

Татьяна Баева, специалист кадрового центра "Юнити"

Индивидуальные задачи - общий результат

С развитием электронных технологий в финансовой сфере для банков наиболее остро встала задача защиты информации и обеспечения ее конфиденциальности. Ее решение возможно только при использовании современных средств защиты от несанкционированного доступа, соблюдении всех требований нормативов бизнес-операций и более широкой интеграции службы ИБ в структуру управления банком.

Чтобы обеспечить защиту и бесперебойное выполнение финансовых операций, работникам ИТ-отдела необходимо профессионально выполнять ряд задач для обеспечения сохранности банковской информации.

Прежде всего, на их плечах лежит ответственность за разграничение прав доступа к различным модулям автоматизированной банковской системы, чтобы каждый сотрудник имел возможность использовать лишь тот объем информации, который необходим ему в соответствии с уровнем его ответственности. Еще одним важным моментом является отслеживание регистрации и выполнение фильтрации поступающих системных сообщений для определения списка работающих в данный момент программ. Таким образом, осуществляется предупреждение возможных действий по перехвату паролей пользователей с целью дальнейшего взлома системы защиты или для модификации и удаления конфиденциальных сведений.

Для обеспечения работоспособности системы и минимизации вероятности несанкционированного вторжения необходим аудит и мониторинг внешних атак из сети Интернет в режиме реального времени. В задачу входит построение информационно-замкнутых зон видения IP-адресного пространства с целью контроля вероятного доступа к рабочей станции в сети банка "извне".

Таким образом, безопасность банковской системы напрямую зависит от того, насколько ответственно и профессионально выполняют свои задачи специалисты отдела информационных технологий: системные администраторы, ИТ-менеджеры и т.п.

Соответствие требованиям

Важность возлагаемой на данных специалистов ответственности обязывает проводить тщательный подбор на вакантные должности. Нанимая работника, не удостоверившись в его достаточной квалификации, компания рискует не только информацией, но и эффективностью работы всего подразделения. Ведь исправление его ошибок потребует значительных затрат времени и средств. Поэтому основным требованием при подборе является уровень первоначальной подготовки соискателя -навыки программирования и знание языков. В зависимости от этого определяется сфера деятельности нового сотрудника в отделе. Типичный его состав включает специалистов технической поддержки, системных администраторов, ведущего системного администратора (консультанта), ИТ-менеджера и/или ИТ-директо-ра. Численность, структура и профессиональный состав ИТ-службы зависит от уровня банка. Каждая категория специалистов ориентирована на определенные задачи.

На должность специалиста технической поддержки ИТ-отдела (helpdesk) обычно претендуют кандидаты без опыта работы в банковской сфере, не имеющие достаточных навыков программирования, в том числе - студенты, заканчивающие обучение в вузе и имеющие сертификат MOUS (Microsoft Office User Specialist), наличие которого означает, что его обладатель умеет работать с программными продуктами начального уровня Microsoft (Word, Excel, Access). В задачи такого специалиста входят обслуживание офисной техники, консультации пользователей по вопросам информационных технологий, а также начальное администрирование Сети. Заработная плата таких специалистов, согласно обзорам ре-крутеров, составляет от $800 до $1500 (в зависимости от уровня банка).

К следующей категории сотрудников относится большая прослойка ИТ-специалистов, ориентированных на разработку нового программного обеспечения для банковской системы или доработку существующего. В их задачи включаются также администрирование сетей, баз данных, проведение аналитики. Возлагаются они на программистов и системных администраторов. При подборе первых - необходимо ориентироваться на платформу, на которой создана банковская система (Oracle, MySQL, Interbase), с тем, чтобы специалист владел навыками работы именно с той, которая используется компанией. Для системных администраторов требуется знание настроек использующейся операционной системы: Unix, Linux, Microsoft Server. Наличие у кандидата соответствующего сертификата значительно повышает его стоимость. При выборе программиста необходимо, чтобы он знал в совершенстве язык программирования, на котором написаны модули АБС (С/С++, VBA). Уровень заработной платы таких ИТ-специалистов колеблется, в зависимости от выполняемых ими задач, от $2000 до $5000. На текущий момент оклады этой категории сотрудников малых и средних банков составляют от $2000 до 3500, крупных банков - до $5000.

Кандидаты на должности ИТ-менеджеров, ведущих программистов, администраторов сетей и баз данных должны обладать не только большим багажом знаний, но и значительным опытом работы - не менее 5 лет. На привлечение этих профессионалов банки затрачивают максимальные усилия. Надо отметить, что на должности ведущих специалистов банки стремятся привлечь сотрудников, которые постоянно повышают и расширяют свою квалификацию, посещая дополнительные курсы и участвуя в работе конференций. По данным "ЮНИТИ", в настоящее время ежемесячный оклад ИТ-менеджеров малых и средних банков составляет от $2000 до $5000, крупных банков - до $15 000.

Каждый ИТ-специалист четко должен выполнять поставленные перед ним задачи, от реализации которых зависит работа всей команды по технической организации и защите бизнес-проектов банка. Поэтому правильно сделанный выбор нового сотрудника с оценкой его профессиональных качеств, проверкой рекомендаций и отзывов с предыдущих мест его работы позволит гарантировать банку надежное развитие финансовых операций.

Работа с персоналом

Однако для того чтобы ИТ-служба была надежной опорой в деле обеспечения безопасности банковской информации, необходим не только квалифицированный подбор специалистов, но и постоянная работа с персоналом. Руководство банка должно быть заинтересовано в улучшении условий труда и разработке систем мотивации, так как вместе с уходящим сотрудником покидают организацию "ключи к ее секретам безопасности".

Еще одним важным моментом являются меры по удержанию сотрудников. Крупные банки пристальное внимание уделяют мотивации. Структура материального поощрения может складываться из нескольких частей: базовой, премиальной, переменной долгосрочной мотивационной части и социального пакета.

Премия выплачивается сотрудникам по результатам работы за год. Переменная долгосрочная мотивационная часть - это специальная программа, построенная на основе стратегических планов развития банка на несколько лет вперед, мотивирующая на достижение стратегических целей. Система в большинстве банков рассчитана на три года, и итоговая премия зависит от вклада сотрудников в капитализацию банка. Социальный пакет в некоторых банках включает оплату мобильной связи, дополнительное медицинское страхование и иногда страхование жизни от несчастных случаев.

Согласно исследованиям кадрового центра "ЮНИТИ", динамика роста уровня заработной платы ИТ-персонала в 2007 г. составила 30-35% по сравнению с предыдущим годом. И в следующем году она, скорее всего, сохранится, поэтому банкам необходимо уделять большое внимание отслеживанию состояния кадрового рынка с тем, чтобы их предложения были конкурентоспособны. Это позволит обеспечить приток новых специалистов и удержание собственных сотрудников.

Однако многие банки, делая акцент на материальной мотивации и правильном управлении, забывают о нематериальных интересах ИТ-специалистов. В первую очередь, это возможность карьерного роста, профессионального обучения и развития.

Вопреки сложившемуся стереотипу относительно образа ИТ-специалистов, которым приписывается некоторая замкнутость и нетребовательность, значительную роль для них играют обстановка в коллективе и комфортные условия труда. Для обеспечения последнего требования очень важно внедрение передового высокотехнологичного оборудования. Кроме того, необходимо адаптировать знания и умения к потребностям банка на ближайшие годы.

Описанные выше методы работы с персоналом схожи для большинства организаций. Однако особые меры по обеспечению сохранности банковской информации требуют дополнительного участия службы безопасности компании. В ее функции, как правило, входит регулярное проведение консультационной работы, в том числе о возможных обращениях сторонними лицами к сотрудникам с предложением передать конфиденциальные данные. Важный способ предотвращения подобных утечек информации - это предупредительные беседы. В них разъясняется ответственность работника и возможные последствия его поступков, среди которых - увольнение, потеря профессиональной репутации и порой уголовная ответственность.

Комментарий эксперта

Михаил Левашов, начальник службы информационной безопасности банка "Союзный"

Автор совершенно правильно ставит задачу по поднятию статуса службы ИБ. Многие известные специалисты по ИБ уже неоднократно заявляли об оценке статуса руководителя службы информационной безопасности (Chief Information Security Officer - CISO) как топ-менеджера предприятия, который участвует в разработке его стратегии, построении новых и поддержке существующих бизнес-задач. Без такого статуса невозможно правильно оценивать имеющиеся и новые информационные бизнес-взаимодействия и поддерживать их защиту. Часто возникает ситуация, когда CISO разрабатывает стратегию и тактику защиты ИТ и информации, исходя только лишь из известных международных и национальных стандартов и лучших практик обеспечения безопасности ИТ, не учитывая глубинных бизнес-процессов и связанных с ними информационных взаимодействий. Это происходит, в частности, потому, что CISO практически не участвует в разработке стратегии предприятия, не допущен к формированию и поэтому не знает многих бизнес-направлений компании. С другой стороны, автор несколько упрощенно трактует не только процессы защиты информации и ИТ, но и связанные с этими процессами структурные подразделения. В частности, многие функции, которые возложены автором на ИТ-подразделения, относятся к подразделениям ИБ. Кроме того, недостаточно полно представлен состав ИТ-специалистов банка. Часто при отсутствии в банке подразделения банковских технологий задачи по формированию и модификации ролей в АБС, ее настройке и переводу ролей с ИТ-языка на язык бизнес-операций относятся также к ИТ-подразде-лениям. Это накладывает существенный отпечаток на подбор кадров, которые должны досконально знать не только использующиеся в банке АБС, но и финансовые технологии.