Контакты
Подписка
МЕНЮ
Контакты
Подписка

Региональный аспект обеспечения ИБ в банковской сфере

Региональный аспект обеспечения ИБ в банковской сфере

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Региональный аспект обеспечения ИБ в банковской сфере

Стремление современного банковского бизнеса к расширению географии своего активного присутствия, укреплению своих позиций во многих регионах, созданию и расширению сети своих региональных подразделений требует от банка определенных усилий и существенных затрат, направленных в первую очередь на создание самих точек продаж, развитие бизнеса и обеспечение его безопасности.
Игорь
Писаренко
к.т.н., доцент, отдел информационной безопасности УОБ ВТБ24 (ЗАО)
Сергей
Попов
отдел информационной безопасности УОБ ВТБ24 (ЗАО)

Служба безопасности регионального подразделения коммерческого банка комплексно решает вопросы, связанные с обеспечением экономической безопасности, информационной безопасности (ИБ) и обеспечением режима и охраны. Каждое из направлений деятельности весьма специфично и предполагает наличие определенных теоретических знаний, навыков практической деятельности и опыта работы для работников службы безопасности. Естественно, что найти универсальных специалистов, качественно и эффективно решающих одновременно полный спектр задач по обеспечению безопасности, практически невозможно, поэтому в составе такой службы должно быть минимум два-три специалиста различного профиля, которые в определенной степени были бы взаимозаменяемыми при необходимости.

Многие российские коммерческие банки, крупные и не очень, сегодня уделяют особое внимание развитию своих филиальных сетей и региональных представительств, и это не случайно: как правило, в крупных городах точки продаж уже активно функционируют, обслуживая клиентов, и в целях развития бизнеса, привлечения новых клиентов необходимо открывать новые точки продаж банковских продуктов и услуг в других населенных пунктах, не избалованных присутствием кредитных организаций.

Вопросы обеспечения ИБ имеют во многом приоритетное значение, так как существуют и, к сожалению, зачастую активно реализуются угрозы мошенничества с использованием информационных технологий, в первую очередь в системах дистанционного банковского обслуживания (ДБО), инсайдерские угрозы, связанные с хищением информации, угрозы безопасности, обусловленные ошибочными или случайными действиями пользователей, угрозы безопасности, связанные с банковскими картами, а также угрозы безопасности, связанные с тем, что бизнес-подразделения, их руководители и менеджеры по внедрению проектов, не всегда понимая важность и необходимость обеспечения ИБ, пытаются активно внедрять небезопасные информационные технологии и банковские продукты.

В соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее СТО БР ИББС-1.0) для реализации, эксплуатации, контроля и поддержания на должном уровне системы обеспечения информационной безопасности (далее - СОИ Б) руководству следует сформировать службу И Б или назначить уполномоченное лицо, а также утвердить цели и задачи их деятельности, а для организаций банковской системы, имеющих сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ или уполномоченных лиц на местах, обеспечив их необходимыми ресурсами и нормативной базой.

Для региональных подразделений, особенно небольших точек продаж, где работает небольшое число пользователей, наиболее рациональным является создание службы безопасности, охватывающей несколько точек продаж. Принципиальным является наличие специалистов различного профиля: по обеспечению экономической безопасности, по обеспечению ИБ, по режиму и охране.

Несомненно, одним из основных вопросов является схема взаимодействия с головной службой безопасности в целях проведения единой политики ИБ, внедрения единых требований к работникам всех подразделений, проведения всего комплекса мероприятий по обеспечению ИБ, выявлению и расследованию нарушений регламентов банка, оказанию методической помощи в решении сложных вопросов.

Одной из апробированных и достаточно адаптивных схем является двух - или трехуровневая иерархическая модель построения вертикали управления с единым центром в головном офисе банка и службами безопасности в каждом регионе присутствия. Эффективным является введение промежуточного звена управления в виде укрупненной службы безопасности, например, в федеральных округах. Такая служба координирует деятельность специалистов по отдельным направлениям, обеспечивая более оперативное реагирование на нештатные ситуации, плотное взаимодействие как между своими региональными службами безопасности, так и со структурами безопасности других банков, государственных и коммерческих структур с учетом региональных особенностей и более эффективный контроль деятельности профильных специалистов.

В целом деятельность по реализации и поддержанию ИБ в региональном подразделении строится с использованием циклической модели Деминга: "планирование - реализация - проверка - совершенствование - планирование", которая является основой модели менеджмента стандартов Банка России СТО БР ИББС-1.0 и стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001-2005 (см. рис.).


В плане обеспечения ИБ можно выделить следующие процессы, обусловленные региональным аспектом:

  • создание функционального направления по обеспечению ИБ, связанное прежде всего с подбором специалиста соответствующей квалификации;
  • обеспечение организационно-технического аспекта деятельности по обеспечению ИБ: внедрение и поддержание единых требований политики ИБ, своевременное доведение необходимой информации в плане развития информационной системы, обеспечение специалиста по ИБ необходимым инструментарием для качественного выполнения функциональных обязанностей;
  • обеспечение необходимых условий для эффективной деятельности специалиста по ИБ, что достигается координацией его деятельности из головного офиса, планированием мероприятий по обеспечению ИБ, поддержкой руководства на месте и продуктивным взаимодействием с профильными подразделениями, прежде всего с информационно-технологическим, по работе с персоналом, юридическим;
  • контроль деятельности специалиста по ИБ, получение от него необходимой информации (обеспечение обратной связи), методическая поддержка его деятельности, консультирование по различным вопросам;
  • совершенствование деятельности по обеспечению ИБ регионального подразделения, обучение и инструктажи пользователей и самих специалистов по ИБ по организационно-правовым вопросам, использованию средств защиты информации.

Понятно, что создание функционального направления по обеспечению ИБ с выделенным функционалом базируется на реальной потребности в таком специалисте: далеко не все вопросы по обеспечению ИБ можно решать удаленно, из головного офиса, при полном понимании руководством - как региональным, так и головным - угроз и рисков нарушения ИБ, возможного ущерба и при соответствующей поддержке руководства.

Основные аспекты, влияющие на обеспечение ИБ в региональном подразделении

Несомненно, важным аспектом является подбор и ввод в строй самого специалиста по ИБ. Конечно, лучше всего брать подготовленного профильного специалиста с определенным опытом работы в банковской сфере, но это не всегда возможно. В ряде случаев приходится либо переманивать его откуда-то, либо искать кого-то в силовых структурах, либо брать специалиста без опыта в надежде на его быстрое обучение.

Целью дистанционного обучения в рамках курса повышения осведомленности персонала и обучения в области ИБ является изучение пользователями основных требований политики ИБ банка, по результатам проводится тестирование. В случае если пользователь по каким-то причинам не прошел курс или не сдал тест, курс назначается повторно, с уведомлением об этом непосредственного руководителя структурного подразделения. На специалиста по ИБ также возлагается функция контроля за дистанционным обучением пользователя.
Обучение самих специалистов по ИБ можно проводить в рамках стажировок, внешнего обучения в специализированных организациях или совещаний-семинаров, проводимых на плановой основе. В ходе совещаний-семинаров проводится плановое обучение по текущим вопросам обеспечения ИБ, доводятся изменения в нормативной базе банка, требования к узлам сети и рабочим местам, осуществляется обмен опытом по отдельным направлениям деятельности среди специалистов по ИБ.

На этом этапе большое значение имеет обучение самого специалиста по И Б по всем направлениям профессиональной деятельности, связанной с обеспечением ИБ в регионе (обычно в форме инструктажа и стажировки в головном офисе, при необходимости - обучение в профильных учебных заведениях в форме повышения квалификации с получением удостоверения государственного образца), доведением всех необходимых нормативных документов банка, регламентов и требований, предоставления необходимых доступов к информационным системам.

В ходе обучения специалиста по И Б до него доводятся требования законодательства РФ и стандартов Банка России в сфере обеспечения ИБ, требования регуляторов, а также основные положения документов банка, определяющих позицию банка в отношениях с регуляторами.

Здесь особое внимание обращается на внедрение и поддержку единой политики ИБ, единых требований и рекомендаций головного подразделения банка по ИБ, использование единых критериев для оценки угроз и рисков нарушения ИБ, оценки ущерба при проведении расследований по нарушениям ИБ.

Обеспечение условий для эффективной деятельности специалиста по ИБ и обеспечение организационно-технического аспекта такой деятельности в значительной степени зависят от головного офиса и представляют собой комплекс мероприятий по полноценному обеспечению указанного специалиста необходимыми техническими системами и средствами защиты информации и мониторинга, используемыми в региональных подразделениях, комплектом рабочей документации и типовыми формами, а также своевременное информирование обо всех изменениях в структуре сети, требованиях к отдельным узлам сети и рабочим местам, тенденциях развития информационных систем и сети банка в целом.

В свою очередь, инструментарий может включать средства защиты каналов и отдельных узлов и рабочих мест, в том числе средства криптографической защиты информации, средства и системы мониторинга состояния сети и действий пользователей, средства управления портами и устройствами, средства антивирусной защиты, средства выявления уязвимостей и многое другое.

Особое внимание в условиях развитой региональной сети необходимо уделять вопросам управления деятельностью специалистов по ИБ, а именно вопросам планирования и контроля их деятельности.

Планирование и контроль

Планирование целесообразно вести в рамках общего планирования деятельности по обеспечению безопасности регионального подразделения, с разбивкой на краткосрочное (ежемесячное) и среднесрочное (годовое).

Годовой план представляет собой высокоуровневый документ, который должен содержать как можно более полный перечень всех предстоящих в течение года мероприятий по обеспечению ИБ (разовых, регулярных, проводимых по необходимости) с обязательным указанием сроков (периодичности) их проведения. Поскольку не всегда возможно указать конкретные сроки выполнения тех или иных работ, а также запланировать отдельные мероприятия, необходимость в проведении которых появляется только в процессе обеспечения ИБ, годовой план периодически может подвергаться изменениям. Планы же, составленные на месяц, как правило, более точные (как по срокам, так и по содержанию), и поэтому в них редко вносятся корректировки.

Контроль призван обеспечивать объективную оценку деятельности специалиста по ИБ и реальной ситуации в региональном подразделении по обеспечению ИБ и тем самым создавать предпосылки для внесения корректив в деятельность специалиста и СОИБ регионального подразделения в целом. В этом смысле контроль выступает, с одной стороны, одним из главных инструментов оценки деятельности специалиста по И Б, его профессиональной пригодности, а с другой - позволяет устранять несоответствия в применении политики ИБ, оптимально использовать ресурсы, а также избегать кризисных ситуаций.

Контроль можно проводить либо непосредственно на месте, в форме выездной проверки (комплексной или по вопросам обеспечения ИБ) либо дистанционно, в ходе анализа отчетов о деятельности за определенный период, а также по косвенным признакам, характеризующим состояние ИБ в региональном подразделении банка.

Выездная проверка позволяет всесторонне и качественно оценивать реальное состояние СОИБ регионального подразделения, на месте вскрывать недостатки и упущения, оперативно устранять их, принимать меры, направленные на повышение эффективности деятельности в целом.

Дистанционный контроль в основном предполагает анализ информации, поступающей в головной офис из регионов по вопросам обеспечения ИБ. К такой информации относятся прежде всего отчеты о работе за определенный период (год, месяц); справки о деятельности по определенным направлениям, другие документы информационно-аналитического характера. Большое значение может иметь информация, поступающая из информационно-технических подразделений, от руководителей региональной службы безопасности, руководителей точки продаж, из других источников.

Обучение

Ну и, наконец, работа в направлении повышения осведомленности персонала и обучения в области ИБ, на которой акцентирует внимание стандарт Банка России СТО БР ИББС-1.0 и которая является, несомненно, важной и нужной в любой организации для правильной организации работ по обеспечению ИБ, снижения количества ошибок пользователей в ходе обработки и передачи информации, а также уменьшения угроз непреднамеренной утечки конфиденциальной информации, вирусных заражений и других негативных воздействий.

Формы обучения могут быть самыми разными: очными, в ходе которых происходит непосредственное общение специалиста по ИБ с пользователем информационных систем банка, и дистанционными, с использованием корпоративной электронной почты и специальных учебных порталов.

Выездная проверка позволяет всесторонне и качественно оценивать реальное состояние СОИБ регионального подразделения, на месте вскрывать недостатки и упущения, оперативно устранять их, принимать меры, направленные на повышение эффективности деятельности в целом.

Наибольший эффект, как показывает практика, достигается комплексным использованием всех видов обучения: начиная с вводного инструктажа пользователей по вопросам ИБ при поступлении на работу, обязательного проведения дистанционного обучения всех пользователей по программе повышения осведомленности по вопросам ИБ с тестированием по результатам обучения и дальнейшего обучения по использованию средств и систем защиты информации и консультирования по возникающим вопросам.

И еще один вопрос, на который хотелось бы обратить внимание в деятельности специалистов по ИБ регионального подразделения, - это взаимодействие со службами И Б других банков в регионе присутствия, государственных и коммерческих, обмен информацией по возможным схемам мошенничества, возникновению новых угроз и уязвимостей, вирусных атак и другим вопросам.

Таким образом, обеспечение ИБ в региональном подразделении банка представляет собой многогранную и комплексную деятельность, направленную на соблюдение единых требований политики ИБ банка, тесно взаимоувязанную как с потребностями бизнеса, с вопросами внедрения и развития информационных технологий, так и с другими направлениями обеспечения безопасности. Эффективное решение этой задачи для банка с разветвленной филиальной сетью возможно в рамках построения циклической модели на основе требований стандарта Банка России СТО БР ИББС-1.0, в тесном взаимодействии с головным подразделением ИБ и контролем с его стороны.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2012
Посещений: 9069

Приобрести этот номер или подписаться
  Автор

Игорь Писаренко

Игорь Писаренко

Департамент информационной безопасности,
ПАО Банк “ФК Открытие”, к.т.н., доцент, член АРСИБ

Всего статей:  14

  Автор

Сергей Попов

Сергей Попов

отдел информационной безопасности УОБ ВТБ24 (ЗАО)

Всего статей:  1

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций