Новая парадигма ИБ: по отношению к ИТ-инфраструктуре нет «своих», все – «чужие»

Банковская сфера является одной из наиболее требовательных к обеспечению высоких стандартов информационной безопасности. Банк Хоум Кредит относится к крупнейшим розничным банкам в России. Он занимает второе место по размеру сети отделений, а также входит в ТОП-5 банков по размеру портфеля кредитов физическим лицам и объему срочных вкладов населения. Об особенностях обеспечения информационной безопасности в столь крупном розничном банке нам рассказал Юрий Лысенко, начальник управления информационной безопасности Банка Хоум Кредит.

В чем концептуальная сложность обеспечения информационной безопасности бизнеса сегодня?

– Основная сложность при обеспечении ИБ в современных условиях заключается в том, что по отношению к ИТ-инфраструктуре больше нет «своих» и «чужих» пользователей программного обеспечения. Сегодня все – «чужие». Парадигма ИБ изменилась кардинально. Не обязательно речь идет об облачных технологиях или инсайдерстве: обычная программа может быть плохо написана, обновление плохо протестировано и т. д. Все это порождает уязвимости в системе информационной безопасности в самых неожиданных местах, а также новые угрозы корпоративной ИС.

Многие специалисты по информационной безопасности являются сторонниками централизации компетенций банка по обеспечению ИБ. А существуют ли среди банковских специалистов-безопасников сторонники децентрализации управления ИБ?

– Это зависит от специфики работы банка и видения руководством того, как бизнес будет развиваться. Существуют розничные банки, есть те, кто занимается корпоративным бизнесом, ценными бумагами, существуют те, кто включает в себя все направления. Каждая из сфер деятельности имеет свои риски, а значит, и свой подход к обеспечению информационной безопасности. Хоум Кредит специализируется на рознице, и концепция централизованного управления ИБ соответствует специфике нашего бизнеса. В нашей клиентской базе 29 млн клиентов, почти 6 тыс. офисов. Банк обладает мощной ИТ-инфраструктурой, которую необходимо контролировать из единой точки, обеспечивая взаимодействие службы ИБ банка и ИТ-департамента.

Что удалось реализовать на практике в контексте централизации ресурсов по ИБ? Что предстоит сделать в перспективе?

– В банке внедрено множество специализированных инструментов и решений, обеспечивающих многостороннюю, комплексную защиту информации. В частности, это связано с необходимостью подтверждения соответствия банка международным стандартам карточных платежных систем PCI DSS, предъявляющих к информационным системам банка – эмитента банковских карт очень жесткие требования в плане обеспечения безопасности информации. Уже в третий раз банк проходит аудит на соответствие PSI Data Security Standard, ежегодно получая сертификат, подтверждающий выполнение требований данного стандарта.

В ИТ-инфраструктуре банков последние годы появилась новая важная компонента – ЦОД. Где расположен основной ЦОД банка? Предусмотрена ли в ИТ-инфраструктуре резервная площадка?

– Банк имеет основной и резервный ЦОД. Основной ЦОД, собственность банка, расположен в Обнинске (в этом городе наш банк является одним из крупнейших работодателей с примерно 2 тыс. сотрудниками). Мощности и площадка для резервного ЦОД арендуются в Москве. Главные промышленные информационные системы банка, включая базы данных, а также инструментарий, обеспечивающий ИБ, расположены в основном ЦОД. Он также является центром обеспечения комплексной информационной безопасности банка. Банк обеспечивает как физическую защиту оборудования, на котором работают информационные системы, так и системы поддержки жизнедеятельности оборудования, такие как резервное питание, охлаждение, пожаротушение и т. п.

При такой централизации особую роль играет пропускная способность и надежность телекоммуникационных каналов. Существует ли проблема безопасности передачи информации через телекоммуникационные каналы? Как она решается?

– Данной проблемы как таковой нет. Передаваемая информация шифруется, сами каналы резервируются (договоры заключены с несколькими телекоммуникационными провайдерами) и при необходимости пропускная способность может быть увеличена в разы в течение короткого времени.

Одни и те же термины часто трактуются специалистами по-разному. Распространенная в среде специалистов по ИБ трактовка концепции Security Operation Center (SOC) подразумевает постоянный мониторинг инцидентов ИБ и реагирование на них. Как вы оцениваете данную концепцию?

– Трактовка правильная. И сама по себе концепция SOC – тоже. Можно поставить любое количество инструментов и решений, но если вы не будете контролировать инциденты ИБ и своевременно реагировать на них, то грош цена всем этим системам.

Последние годы специалистами обсуждается возможность обеспечения ИБ бизнеса внешними специализированными компаниями. На ваш взгляд, целесообразна ли передача банком функций обеспечения ИБ на аутсорсинг?

– В отдельных случаях это действительно целесообразно. Например, мы передали на аутсорсинг защиту от DDоS-атак. Выполнение этой задачи предполагает круглосуточный мониторинг, который осуществляют специалисты узкого профиля. Штатные сотрудники не обладают необходимыми компетенциями и могут просто не заметить атаку или не суметь ее отразить, а это может привести к отказу в обслуживании. Любой простой сегодня приводит к потерям огромных сумм, поэтому недопустим.

Какие дополнительные риски берет на себя банк при передаче функций ИБ на сторону?

– Риск банкротства и ухода аутсорсера с рынка. Также существует риск доступа к конфиденциальной информации. Например, в случае DDоS-атаки при переключении системы на режим очистки трафика сотрудник аутсорсинговой компании может получить доступ к банковским транзакциям, совершаемым в данный момент.

Как банк может защитить себя в такой ситуации?

– На уровне SLA прописать положения о конфиденциальности информации и в том числе предусмотреть штрафы в случае несоблюдения критичных с точки зрения непрерывности бизнеса параметров (например, предельно допустимая длительность простоя в случае атаки). Крупные аутсорсеры идут на это, прописывая в договорах стоимость простоя каждого часа, и даже минут.

Безопасность информации обеспечивается не только техническими средствами, но и организационными. Какие организационные моменты прежде всего следует держать на контроле службе информационной безопасности банка?

– В первую очередь – обучение персонала основам информационной безопасности, повышение грамотности в этой области. Обучение не обязательно означает прохождение специализированных курсов. Не так давно мы запустили на всех мониторах специальные скрин-сейверы, которые в шутливой форме регулярно напоминают пользователям 10 основных правил безопасной работы на компьютере. Мы регулярно распространяем специальные корпоративные дайджесты по различным вопросам ИБ: например, правилам использования пластиковых карт, предотвращению мошенничества с личными мобильными устройствами и другим вопросам. При этом обучать ИБ необходимо как сотрудников операционных подразделений, так и ИТ-служб банка. В силу специализации сегодня ИБ и ИТ имеют свои особенности, поэтому ИТ-специалистов также надо обучать аспектам безопасности. Особое внимание в плане обучения ИБ уделяется в отношении программистов, поддерживающих и развивающих автоматизированные банковские системы (АБС). На разработчиках лежит особая ответственность, ведь их ошибки могут обойтись очень дорого. Повышенное внимание к обучению персонала диктуется в числе прочего и требованиями PCI DSS, о которых я уже говорил.

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку