апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2014 / Выпуск №6 (39) / Заочный круглый стол «Безопасность превыше всего». Каких технологий ИБ не хватает банкам на отечественном рынке? Что предлагают ИТ-компании?

Рубрика: БИТ.Банки /  Круглый стол

Заочный круглый стол «Безопасность превыше всего»
Каких технологий ИБ не хватает банкам на отечественном рынке? Что предлагают ИТ-компании?

Без чего сегодня невозможно построение технологически защищенного банка, и почему для некоторых классов решений в области безопасности на российском рынке практически отсутствует какая-либо продукция вендоров?

В дискуссии принимают участие:

представители  банков		Вячеслав Благирев, бизнес-партнер по технологиям банка «Открытие»		Сергей Потанин, начальник управления информационной безопасности банка «СОЮЗ»

представители ИТ-компаний			Рустэм Хайретдинов, CEO компании Appercut Security		Олег Губка, директор департамента по работе с клиентами компании «Аванпост»
	Михаил Башлыков, руководитель направления ИБ компании КРОК		Дмитрий Титков, ведущий менеджер по работе с финансовым сектором Check Point Software Technologies		Владимир Ульянов, руководитель аналитического центра Zecurion
	Олег Ерошин, руководитель отдела систем информационной безопасности РДТЕХ		Александр Белоглинцев, менеджер по маркетингу клиентских продуктов, «Dell Россия»		Виталий Земских, руководитель отдела поддержки продаж ESET Russia

Как, на ваш взгляд, меняются требования к технологиям информационной безопасности со стороны банков? Сформулируйте, пожалуйста, топ-5 главных требований к ИБ банка на сегодняшний день.

Вячеслав Благирев: Здесь следует различать крупные и небольшие банки.

Думаю, что у небольших кредитных организаций в целом меньше рисков, которые связаны с безопасностью.

У крупных наоборот, рисков гораздо больше.

Пять основных требований к информационной безопасности, которые я бы выделил:

• Централизация. Современные технологии должны предоставлять возможность управлять ролями, правами, учетными записями и доступами из единого инструмента. Сюда же можно отнести интеграцию с AD (Active Directory), внедрение IDM (Identity Management). К примеру, обычно в банковских отделениях бывает достаточно высокая ротация, и если каждому новому сотруднику придется настраивать роли и доступы вручную, то это потребует довольно существенных и важных ресурсозатрат.

Главная проблема банков сейчас – это растущее количество различных комбинированных информационных атак и угроз как на головной офис и филиалы, так и на отдельных клиентов

• Ролевая модель. Основная беда крупных банков в том, что отсутствует качественная проработанная ролевая модель для каждого бизнес-процесса с соответствующей матрицей доступов. И здесь не имеет значения, занимаетесь ли вы проектированием процесса продажи кредитов или печатью выписки. Поскольку сотрудники имеют доступ к чувствительной финансовой информации, то ролевая модель должна быть проработана обязательно.
• Кластеризация ИТ-ландшафта на защищенные зоны. Банковский ИТ-ландшафт необходимо разделить на различные зоны безопасности, каждая из которых несет отличительные характеристики и требования в части информационной защиты. Так, например, требования в части обеспечения доступа к системам процессинга намного выше, чем к системам кадрового учета, поскольку затрагивают более критичные для организации финансовые процессы. Примером тому может служить стандарт PCI DSS платежной системы VISA в части обеспечения безопасности карточного контура в компании.
• Защита интеграционных взаимодействий. Сложно найти банк, не имеющий внешних интеграционных взаимодействий, с использованием которых передается чувствительная информация. Так, например, даже отчетность в ЦБ обычно передается в защищенном виде с помощью соответствующего сертификата. Или взять вызовы БКИ (Бюро Кредитных Историй), где передаются персональные данные клиентов. Иногда в банках можно встретить много внутренних взаимодействий между системами, часть которых реализована с помощью такого компонента, как интеграционная шина (ESB, Enterprise Servce Bus). Очень важно корректно спроектировать каждое из таких подключений, убедиться в минимальном риске потенциальных угроз, выработать необходимые требования.
• Защита персональных данных. Персональные данные можно встретить практически везде, и очень важно обеспечить надлежащий контроль по их защите. Для этого есть специальные регламенты и технологии, которые помогают выполнить требования законодательства.

Олег Губка, директор департамента по работе с клиентами компании «Аванпост» На мой взгляд, топ-5 главных направлений ИБ выглядит так (по убыванию приоритета): Реализация требований федеральных законов, регулирующих организаций и международных стандартов. В качестве примеров федеральных законов можно выделить 152-ФЗ «О персональных данных» и 63-ФЗ «Об электронной подписи», требований регулирующих органов – стандарты Центрального банка и Положение по защите платежных операций 382-П, международный стандарт по защите данных платежных карт PCI DSS. Обеспечение базовой безопасности ИТ-инфраструктуры: антивирусная защита и сетевая безопасность. Управление доступом. В последнее время активно развивается направление автоматизации процессов управления доступом (IDM). Обеспечение юридически значимого документооборота посредством применения электронной подписи. Защита от утечек конфиденциальной информации (DLP).

Владимир Ульянов, руководитель аналитического центра Zecurion Первое. Для банков крайне важна совместимость с существующим ПО. Второе требование – не мешать бизнес-процессам. Минутная остановка деятельности бизнес-подразделений в кредитных организациях ведет к миллионным убыткам. Третье – надежная защита от угроз. Простои в банковской сфере однозначно ведут к убыткам. И не важно, чем вызвана остановка, – некорректной настройкой средств защиты информации или успешной атакой киберпреступников. Еще два условия – соответствие требованиям нормативных актов и наличие сертификатов (при необходимости), а также отчетность (чтобы можно было показать результаты своей работы руководству) и готовность к встраиванию в системы менеджмента ИТ и ИБ.

Олег Ерошин, руководитель отдела систем ИБ компании РДТЕХ Построение системы безопасности для ИТ-инфраструктуры является нетривиальной задачей, при решении которой приходится строить модель оценки эффективности средств защиты. При построении модели оценки используется несколько принципов, основные – адекватность средств защиты информации и их достаточность. Адекватность средств защиты характеризует соотношение затрат на их внедрение и эксплуатацию и полученного в результате эффекта. Достаточность предполагает, что оценка потенциального ущерба в случае реализации угрозы становится приемлемой при применении выбранных средств защиты.

Сергей Потанин: С увеличением числа различных киберугроз в информационном мире со стороны банков меняются и развиваются новые требования к информационной безопасности, усиливается как техническое, так и правовое обеспечение.

Все российские коммерческие банки, независимо от типа собственности, являются частью единой платежной системы России, и их деятельность регламентируется и управляется ЦБ РФ. Наши банки в части формирования требований по информационной безопасности не совсем самостоятельны, всю динамику необходимых изменений в требованиях информационной безопасности для банков отслеживают наши регуляторы – ЦБ РФ, ФСБ, ФСТЭК, Роскомнадзор. Каждый из них, конечно, в своей части. Вот последний пример: в июне 2014 года вышел обновленный стандарт ЦБ РФ по информационной безопасности, в котором существенно повышены требования и детализированы положения по сравнению с предыдущим стандартом.

Главная проблема, как я думаю, сейчас у наших банков – это нарастающая реализация различных комбинированных информационных атак и угроз как на головной офис и филиалы банка, так и на отдельных его клиентов, использующих механизмы дистанционного банковского обслуживания (ДБО).

Понятно, что такая ситуация требует от регуляторов чуткого реагирования, и это ведет к тому, что банкам приходится очень часто менять правила игры в банковском сообществе «прямо на лету». Они очень часто просто не успевают за этими новыми требованиями.

Поэтому у нас образуются временные «дыры», которые в работе появляться не должны вообще. Но эта проблема, видимо, будет существовать всегда – сначала «угроза», а потом «ответ», так называемая проблема «нулевого дня». По крайней мере до тех пор, пока наши регуляторы не сумеют играть на опережение возникающих критических ситуаций.

Многие думают, что опережать, предвидеть возможные будущие угрозы ИБ просто невозможно. Но это не так. И я утверждаю это не случайно. Уже сейчас существуют механизмы, которые принципиально, раз и навсегда, в одном конкретном варианте, закрывают все настоящие и все будущие угрозы, связанные с подменой подписываемого документа в ДБО или с удаленным управлением ПК клиентского места ДБО.

Я уже несколько лет выступаю и пропагандирую в своих статьях конкретный механизм, который построен на простейшем свойстве – использовании в ДБО однонаправленных (полудуплексных) интерфейсов ввода (клавиатур) информации в ПК клиента и применении в этих интерфейсах электронной подписи для защиты введенной через них инфор-мации.

Что касается топ-5 требований для построения правильной ИБ, на мой взгляд, они могут быть такими:

1. Максимально качественный антивирус.
2. Надежный внешний межсетевой экран.
3. Удостоверяющий центр с качественной (сертифицированной) криптографией.
4. Эффективный контроль Интернета и электронной почты сотрудников.
5. Эффективный технологический внутренний контроль всех действий сотрудников и клиентов через ДБО в автоматизированных системах.

Александр Белоглинцев, менеджер по маркетингу клиентских продуктов, «Dell Россия» Мы сегодня наблюдаем стабильно высокий интерес к средствам авторизации пользователей и защиты информации со стороны банков и финансовых организаций. Это, в частности, касается рабочих мест сотрудников, к которым заказчики традиционно предъявляют требования по средствам шифрования данных на жестком диске, а также блокировки неиспользуемых интерфейсов. Во многих банках мы наблюдаем постепенный переход к VDI-инфраструктуре. Также остро стоит вопрос обеспечения безопасности банковских транзакций с клиентских приложений на мобильных устройствах пользователей.

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК Набор средств информационной безопасности в том или ином банке очень сильно зависит от предоставляемых услуг, уровня зрелости уже выстроенной системы информационной безопасности и бизнес-процессов в целом. Другими словами, для каждого конкретного заказчика актуален свой «джентльменский набор» средств безопасности. Главное – выбирать их, учитывая стандарты в данной отрасли и предварительно тщательно оценив существующие риски. Если мы будем исходить из нашей практики, то сейчас «в среднем по рынку» наибольшей популярностью пользуются средства защиты от DDoS-атак и утечки информации (системы DLP), аутентификционные центры и пр.

Дмитрий Титков, ведущий менеджер по работе с финансовым сектором Check Point Software Technologies На сегодняшний день все больше компаний финансового сектора начинет рассматривать информационную безопасность не как некоторый излишний придаток, а как важную часть бизнес-процессов. Структура информационной безопасности все чаще оценивается с точки зрения денег и эффективности. На мой взгляд, топ-5 главных требований к ИБ со стороны бизнеса включают: Обеспечение эффективной защиты в реальном времени при сохранении непрерывности функционирования всего бизнеса в целом. Унифицированную систему управления и контроля различных средств ИБ, а также корреляции их событий. Возможность изменения производительности систем ИБ и функционала для новых услуг и сервисов или переориентации бизнеса. Сохранение инвестиций. Наличие сертификатов контролирующих органов.

Каким, на ваш взгляд, должен быть «джентльменский набор» средств безопасности для банковской ИТ-инфраструктуры в целом?

Вячеслав Благирев: Очевидно, должно использоваться соответствующее программное обеспечение, включая антивирусы, токены, интеграция с Active Directory и Firewall. Кроме того, необходимо применять следующее:

• Понятная политика ИБ. Многие политики очень перегружены терминами и напоминают какую-то кандидатскую. На практике это должен быть работающий документ, а не кусок бумаги с цитатами из Wikipedia. В нем должен быть четко прописан порядок хранения и управления реестром сертификатов с указанием времени и процедуры их обновления и ответственных.
• Логирование действий сотрудников. Это необходимо реализовать как на прикладном уровне, так и на уровне баз данных и интеграционных взаимодействий.

Из наиболее актуальных технологий стоит отметить обязательное наличие:

• Систем класса IDM, на базе которых возможно построить хаб по управлению информзащитой.
• Систем класса слежения за сотрудниками. Это системы, которые позволяют анализировать содержание экранов сотрудников, действия, которые сотрудник производит в системе, и трафик для того, чтобы выявить запрещенные действия.

Владимир Ульянов, руководитель аналитического центра Zecurion Если мы говорим о банках, то прежде всего нужен набор средств для шифрования данных. Начнем с того, что формы ежедневной отчетности отправляются в зашифрованном виде, обмен информацией с клиентами происходит также в зашифрованном виде. Что касается сетевой безопасности и защиты рабочих станций, здесь обязательными являются средства разграничения и контроля доступа, аутентификации, антиспам и антивирусные решения (в т.ч. на рабочих станциях пользователей), а также DLP-системы для предотвращения утечек конфиденциальной информации. Интересно, что всплеск активности в последнее время наблюдается именно в отношении DLP-решений. Другие средства уже стали привычными, но ужесточение позиции регуляторов, увеличение ответственности за утечки и опыт зарубежных стран мотивируют российские компании и кредитные организации, в частности, интенсивнее внедрять DLP.

Дмитрий Титков, ведущий менеджер по работе с финансовым сектором Check Point Software Technologies Как такового универсального набора не существует. При выборе решений финансовые организации руководствуются в первую очередь созданной внутри компании моделью угроз, а также требованиями регуляторов, как отечественных, так и общемировых. В любом случае современную ИТ-инфраструктуру сложно представить без следующих средств ИБ: Firewall. Система предотвращения вторжений (Intrusion Prevention System). Средства контроля приложений и фильтрации веб-страниц (Application Control и URL Filtering). Различные средства предотвращения утечки данных (DLP). Anti-Virus. Защита от СПАМа (Anti-Spam). Системы, противодействующие бот-сетям (Anti-Bot). Средства защиты от DDoS-атак (у провайдера телеком услуг и у конечного пользователя). Средства защиты для рабочих станций и мобильных устройств сотрудников.

Олег Губка, директор департамента по работе с клиентами компании «Аванпост» За последнее время классический набор средств ИТ-безопасности не сильно изменился. Такой набор, как правило, не зависит от размера ИТ-инфраструктуры и актуален для всех организаций, независимо от принадлежности к отрасли. Такие средства можно распределить по следующим направлениям: антивирусная защита; межсетевые экраны; VPN (если ИТ-инфраструктура распределенная); аутентификация и разграничение доступа (как правило, встроены в операционные системы и бизнес-приложения).

Рустэм Хайретдинов, CEO компании Appercut Security Базовый набор выглядит так: антивирус, антиспам, система обнаружения вторжений, VPN-концентратор, межсетевой экран, резервное копирование. Продвинутый набор, кроме базовых средств, включает в себя также сканер безопасности, систему управления доступом, DLP-систему, SIEM, а также основные элементы обеспечения непрерывности бизнеса – резервные дата-центры, зеркалирование операций и т.п. Полный набор включает в себя систему защиты виртуальных сред, систему противодействия мошенничеству, SOC, системы защиты приложений, web application firewall, database firewall, систему контроля привилегированных пользователей, защиту от таргетированных атак и другие средства.

Насколько отечественный рынок технологий для ИБ удовлетворяет потребности банков? Чего, на ваш взгляд, не хватает?

Вячеслав Благирев: На мой взгляд, сегодня не хватает стратегии, видения перспективы дальнейшего развития этих технологий. Для некоторых классов решений на российском рынке практически отсутствует какая-либо продукция вендоров, например, решения класса SSO (Single – Sign-On, централизация процесса аутентификации).

И, несмотря на лидерство российских компаний в сегменте антивирусов, дальнейшее продолжение это лидерство в сегменте финансовой отрасли, других классов решений для информационной безопасности пока не получило.

Редко можно встретить отечественные решения, качественно продуманные с архитектурной точки зрения.

Сегодня основные комплексы систем защиты для банков представлены у западных вендоров.

Сергей Потанин: Я считаю, что наш рынок вполне развит, на нем есть практически все, что нам, ИБшникам, нужно. На мой взгляд, не хватает только одного – небольшого класса специализированных недорогих систем, о чем я уже говорил выше, основанных на использовании однонаправленных интерфейсов ввода (клавиатур) в компьютер. Появление этих систем на рынке позволит резко уменьшить риски ДБО практически для всех наших банков.

Сегодня однозначно для систем ДБО необходимо вводить дополнительные средства защиты – например, попробовать реализовать предлагаемую мною идею, – которые позволят клиентам банка гарантированно защищать свои финансовые активы. К сожалению, используемые в настоящее время технологии в ДБО пока еще не позволяют в полной мере защитить клиента от возможных атак со стороны киберпреступности.

Виталий Земских, руководитель отдела поддержки продаж ESET Russia Этот аспект стоит рассматривать под другим углом: когда потребности российских компаний в средствах ИБ дорастут до уровня предложений, представленных на рынке? Пока отрыв предложения от спроса колоссален. Когда конечный потребитель понимает, зачем ему нужна современная система ИБ и что это вообще такое, она уже считается устаревшей. Потребители не успевают анализировать продукты в разных отраслях, а разработчики уже выпускают новые решения. Когда потребность в ИБ догонит предложение, прогнозировать сложно. Дело в том, что в нашей стране большинство решений об инвестициях в ИБ принимается на основе прецедентов. Но думаю, что потребность в наращивании мощи ИБ в ближайшие годы коснется очень многих. ИТ-инфраструктура – это парадные ворота во многие компании, единственное, что их видят не все. Так вот, система информационной безопасности – это охрана ворот, и в данный момент во многих компаниях она очень слаба. Я думаю, это обусловлено тем, что целенаправленных атак пока не так много.

Рустэм Хайретдинов, CEO компании Appercut Security Российский рынок в силу особенностей экономики страны отстает от американского на несколько лет. Поэтому, несмотря на то что практически все современные продукты представлены на российском рынке, зрелость компаний и их бизнес-процессов делает внедрение некоторых средств ИБ неэффективным. Бессмысленно защищать корпоративные ресурсы, если сам заказчик не знает, какая именно информация где лежит, как грифуется, куда может перемещаться, а куда – нет. Не имея прописанных ролей для каждого пользователя информационной системы, невозможно внедрить IDM-систему, и так далее. С ростом общей зрелости компаний подкрепленный требованиями регуляторов ИБ-рынок становится все более цивилизованным.

Дмитрий Титков, ведущий менеджер по работе с финансовым сектором Check Point Software Technologies Рынок ИБ в нашей стране достаточно велик и разнообразен. Здесь широко представлены как отечественные средства защиты, так и ведущие мировые производители. Поэтому компании имеют достаточно широкий выбор. На практике же информационная безопасность в любой компании – это некий компромисс выбора решений, которые соответствуют требованиями регуляторов (для финансового сектора это ФСБ, ФСТЭК, Роспотребнадзор), и решений ведущих игроков мирового рынка, обеспечивающих наилучшую защиту и предоставляющих наиболее полный набор средств защиты, а также подходящих по стоимости.

Владимир Ульянов, руководитель аналитического центра Zecurion Продукты отечественных компаний рассматриваются иностранными аналитиками (в частности, Gartner) наравне с лучшими западными образцами. Однако говорить о возможности полного импортозамещения, к сожалению, нельзя, ведь в России нет самого главного, ядра, операционной системы. Вся обвязка устанавливается на операционные системы западных вендоров. А все анонсируемые перспективные разработки собственных операционных систем на деле оказываются незначительно модифицированными сборками ОС с открытым программным кодом на базе Linux и Android.

Круглый стол провели
Агунда Алборова и Ирина Ложкина

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи