«Внутренние IT-угрозы в банке превосходят по значимости все остальные»
О том, как важно правильно защитить банк от внутренних IТ-угроз, рассказывает председатель совета директоров Банка высоких технологий Игорь Триф.
С какими внешними угрозами сталкивается IT-департамент вашего банка чаще всего?
Наиболее распространенные из них – вирусы, спам, попытки несанкционированного доступа к публично доступным сервисам банка. Интернет-атаки составляют порядка 30%. Сканирование портов и попытки несанкционированного доступа к внешним сервисам – это наши суровые будни.
Кстати, по данным Отчета об угрозах интернет-безопасности компании Symantec, за первые шесть месяцев 2006 года сектор финансовых услуг оказался вторым по интенсивности нацеленных на него атак, их доля составила 14% от всех зафиксированных целенаправленных попыток «взлома». Сектор финансовых услуг занял девятое место по интенсивности атак на отказ в обслуживании, он чаще всего подвергался фишингу.
Новые версии и виды вредоносного программного обеспечения появляются постоянно, даже самые известные вендоры на рынке антивирусного программного обеспечения не всегда своевременно успевают отреагировать на них. От внешних угроз мы защищены неплохо – у нас своевременно обновляются антивирусные базы, проводится установка новых обновлений и исправлений безопасности в области операционных систем и программного обеспечения, фильтрация спама, проверка аномалий в сетевой активности со стороны рабочих станций и серверов. Мы следим за информацией на сайтах вендоров антивирусного ПО и сайтах, связанных с информационной безопасностью. Все это позволяет существенно снизить возможность проникновения вредоносного ПО в наши системы.
В связи с утечками баз конфиденциальных банковских данных некоторые эксперты отмечают, что сейчас гораздо актуальнее решение вопросов, связанных с построением защиты банков от внутренних IT-угроз. Так ли это?
Действительно, по данным исследований компании InfoWatch, одного из лидеров российского рынка программных решений, обеспечивающих защиту конфиденциальной информации предприятий и организаций, внутренние IT-угрозы, такие как кража информации и халатность сотрудников, остаются главной опасностью для российских кредитных организаций. На фоне незначительного снижения общего индекса обеспокоенности информационной безопасностью эта угроза превосходит по значимости все остальные. Это также подтверждается введенным в действие в нынешнем году новым стандартом Банка России СТО БР ИББС – 1.0 – 2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее СТО БР ИББС – 1.0 – 2006). Пункт 5.4. раздела 5 гласит: «Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Учитывая вышесказанное, можно сделать вывод, что вопрос разработки политики информационной безопасности при защите от внутренних IТ-угроз очень актуален.
Конечно, желательно, чтобы политика информационной безопасности при защите от внутренних IТ-угроз разрабатывалась на основе существующих стандартов информационной безопасности и информационных технологий, таких как уже упомянутый СТО БР ИББС – 1.0 – 2006, ISO IEC 27001-2005, COBIT. На мой взгляд, не стоит изобретать велосипед, в то время когда уже существуют лучшие практики в области информационной безопасности, такие как ISO IEC 17799-2005.
Стоит также отметить, что нельзя руководствоваться одним лишь «кнутом» при разработке политики информационной безопасности. Огромную роль играет еще и действующая в банке корпоративная этика.
Готов ли ваш банк технически осуществлять серьезный контроль над состоянием внутренней информационной среды? Каков общий принцип организации информационной безопасности в вашем банке?
На данный вопрос нельзя дать однозначный ответ без привлечения внешних аудиторов, но скорее да, чем нет. Основной же принцип организации информационной безопасности в банке – это принцип минимальной достаточности.
Приложение
Основные принципы для разработки политики информационной безопасности при защите от внутренних IТ-угроз:
- принцип двойного управления;
- принцип минимальной достаточности;
- принцип самоокупаемости.
Анна Верхось