Информационная в банках
В условиях активной автоматизации банковских услуг банки начинают задумываться о применении новых современных мер, обеспечивающих гарантированную информационную безопасность. Сегодня разработано множество подходов к ее обеспечению, часть из них содержится в различных международных, национальных и отраслевых стандартах. В статье представлен опыт внедрения системы информационной безопасности, основанной на рекомендациях международного стандарта ISO 27001:2005 в Банке24.ру.
безопасность
Б.п. дьяконов,
кандидат педогагических наук, доцент, QMS Auditor, CPM «B» IPMA, председатель Совета директоров «Банк24.ру» (ОАО)
Банковский бизнес с каждым годом становится все более технологичным: сегодня в банках только 10% денежных средств находится в виде живых денег, остальные 90% хранятся в виде информации. Это заставляет банки всерьез пересматривать подход к вопросам безопасности: если раньше речь шла лишь о совершенствовании сейфов, то сейчас им нужно защищать информацию о состоянии счетов.
По данным сайта Securitylab.ru, в мире еженедельно регистрируется около 9 крупных утечек информации, совокупный ущерб от которых достигает от сотен тысяч до десятков миллионов долларов. Приведем следующий пример. Сотрудники одного из крупнейших ирландских банков Bank of Ireland потеряли четыре конфиденциальных ноутбука еще в 2007 г., однако информация об утечке просочилась в прессу только в мае 2008 г. Сообщил об этом Билли Хоукс (Billy Hawkes), комиссар Ирландии по вопросам приватности, в эфире национального канала RTE. Руководству банка пришлось признать задержку в доведении сведений об утечке до своих клиентов. Представитель банка Брайан Форестер (Brian Forester) заявил, что это было связано с «невыполнением внутренних процедур банка». В частности, информация об инциденте «не дошла до менеджеров
должного уровня». Другими словами, рядовые сотрудники банка просто скрывали сведения о случившемся от страха перед руководством. Как следствие, более 10 000 клиентов в течение нескольких месяцев рисковали потерять деньги со своих банковских счетов.
И подобных примеров сотни. До сих пор памятна одна из наиболее крупных утечек информации, произошедшая в 2006 г. и коснувшаяся более 10 крупных российских банков. На нелегальном рынке в продаже появилась база, содержащая данные о 3 млн заемщиков. В нее входили информация об отказах по кредитам и стоп-листы банков, а также об имени заемщика, адресе, телефоне, месте работы и причине попадания в базу (просрочка по кредиту, отказ в выдаче кредита и другие строго конфиденциальные данные, например, наличие судимости).
Изменение отношения к безопасности в банках
Между тем все еще бытующее среди обывателей мнение, что самым надежным способом защиты является живая подпись, давно уже не соответствует действительности. Многие, вероятно, когда-либо подделывали чью-то подпись (хотя бы в школьные времена), так как
это не очень сложно. Между тем электронную цифровую подпись, в отличие от подписи человека, сегодня взломать практически невозможно. Для этого нужен либо особый компьютер, использование которого стоит дороже, чем деньги на счетах, либо ключи от системы. Во втором случае и заложены основные риски: зачастую люди относятся к сохранности электронных ключей очень безответственно. Ключ от квартиры они хотя бы положат в сумку, а дискету с ключами от интернет-банка могут просто оставить на рабочем столе.
В изменении такого отношения и заключается основной смысл организации системы безопасности в банках. Этот вопрос актуален сейчас абсолютно для всех финансово-кредитных учреждений.
Наиболее активно инструменты обеспечения информационной безопасности начали развиваться в последнее время, параллельно с развитием ИТ. По данным CNews Analytics, объем IT-затрат российских банков в 2007 г. составил около 30 млрд руб., что на 24% превышает аналогичный показатель 2006 г. По прогнозам экспертов, в 2008 г. следует ожидать примерно такого же прироста. В условиях активного развития информатизации банковских услуг банки начинают задумываться о применении новых современных мер, обеспечивающих гарантированную информационную безопасность.
Существует много подходов к обеспечению информационной безопасности банков, в частности, в различных международных, национальных и отраслевых стандартах. Однако практическая реализация данных подходов в российской практике пока сводится к единичным примерам.
Опыт внедрения системы информационной безопасности
Методология внедрения систем информационной безопасности, основанная на рекомендациях международного стандарта ISO 27001:2005, была разработана сотрудниками Банка24.ру совместно со специалистами консалтинговой компании «Траектория роста» (осуществлявшими проект по внедрению). В ее основе лежат четыре основных принципа:
1. Эффективное обеспечение информационной безопасности требует системных решений - необходимо создавать систему менеджмента информационной безопасности.
2. Система менеджмента информационной безопасности должна быть основана на подходах современного риск-менеджмента.
3. Система менеджмента информационной безопасности должна быть интегрирована в общую систему управления операционным риском организации.
4. Для обеспечения информационной безопасности необходимо формирование соответствующей корпоративной культуры.
Эти принципы были реализованы в Банке24.ру, который в апреле 2007 г. стал первым российским банком, успешно прошедшим сертификацию на соответствие требованиям вышеназванного стандарта.
На чем основана система управления информационной безопасностью. Российские и зарубежные стандарты менеджмента
Система управления информационной безопасностью (СУИБ) - это совокупность процессов, которые
«работают» в компании для обеспечения конфиденциальности, целостности и доступности информационных активов. Внедрение системы менеджмента информационной безопасности подразумевает разработку и применение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, т. е. рисков, в результате которых информационные активы (информация в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.
Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность - это результат устойчивого функционирования процессов, связанных с информационными технологиями.
В качестве основы для построения системы менеджмента информационной безопасности в Банке24.ру был выбран международный стандарт на систему менеджмента информационной безопасности, выпущенный ISO в 2005 г. и активно внедряемый сегодня во всем мире. В нем приведен перечень процессов и рекомендации, как наилучшим образом организовать функционирование процессов такой безопасности. Работа системы основана на подходах современной теории риск-менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:
• управление внутренней организацией информационной безопасности;
• обеспечение информационной безопасности при взаимодействии с третьими сторонами;
• управление реестром информационных активов и правила их классификации;
• управление безопасностью оборудования;
• обеспечение физической безопасности;
• обеспечение информационной безопасности персонала;
• планирование и принятие информационных систем;
• резервное копирование;
• обеспечение безопасности сети.
Возможность интеграции системы управления
информационной безопасностью в общую систему управления операционным риском была одним из немаловажных факторов, повлиявших на выбор в качестве основы для построения СМИБ стандарта ISO 27001:2005. Кроме того, данное решение позволяет реализовать названные выше четыре основных принципа. Помимо того, что ISO 27001:2005 - эта система, которая интегрируется в общую систему управления операционным риском, данное решение основано на подходах современного риск-менеджмента, а также позволяет сформировать корпоративную культуру, необходимую для обеспечения информационной безопасности. И еще один немаловажный факт «за» внедрение ISO 27001:2005 - это возможность использовать инструменты аккредитованной сертификации на соответствие международным стандартам, благодаря чему организация может получить дополнительную экспертизу
и независимую оценку системы, подтверждаемую международным сертификатом от признанного органа по сертификации.
У международного стандарта ISO 27001:2005 существует и российский аналог. 26 января 2006 г. Банк России ввел в действие вторую версию своего стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006). Данный стандарт предъявляет жесткие требования к системе ИТ-безопасности кредитно-финансовых организаций для повышения эффективности управления операционными рисками. Стандарт разработан с учетом российской специфики, поэтому его внедрение в Банке24.ру в целях создания эффективной системы информационной безопасности и адекватного взаимодействия с другими участниками банковской системы не подлежало сомнениям. Но дополнительно к оптимальному для российской практики стандарту ЦБ РФ Банк24.ру внедрил и упоминаемый нами международный стандарт системы менеджмента информационной безопасности.
Реализация проекта внедрения и сертификации системы
Система управления информационной безопасностью (СУИБ) внедрялась в течение 15 месяцев совместными усилиями специалистов отдела информационной безопасности банка и консалтинговой компании «Траектория роста». Областью для сертификации является управление информационной безопасностью в процессе предоставления услуг расчетного обслуживания клиентов через Интернет. В дальнейшем система будет распространена на все услуги банка.
Основные цели внедрения системы - обеспечение максимальной б
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.