Александр Лысенко, ведущий эксперт по вопросам технической защиты информации компании «Код Безопасности»
Ежедневно банк обрабатывает огромное количество данных: счета и платежные поручения, финансовые отчеты, проводки, различные сведения о клиентах, партнерах, сметы и многое другое. Все эти данные могут храниться и обрабатываться в любом сегменте, узле, приложении или на компьютере сети банка, поэтому каждый из этих объектов должен быть защищен соответствующими сертифицированными средствами как от внешних, так и от внутренних угроз.
При этом в вопросах защиты интеллектуальной собственности, в первую очередь, необходимо делать поправку на человеческий фактор. Промышленный шпионаж, коммерческая разведка, утечки информации по причине халатности и некомпетентности сотрудников являются реальными угрозами для банковского бизнеса.
Реализация этих угроз невозможна без участия человека, то есть злоумышленника или инсайдера. Принятие организационных (например, введение режима коммерческой тайны) и юридических мер (например, подписание соглашения о неразглашении с каждым из сотрудников) не всегда действенно. В то время как в 99% случаев злонамеренный или непреднамеренный инсайд случается с использованием компьютерных технологий. Копирование, пересылка, кража, искажение или повреждение данных, обрабатываемых и хранящихся на серверах и на компьютерах сотрудников банка, являются теми техническими способами, которые сегодня доступны инсайдерам.
Совсем отказаться от компьютерных технологий и, таким способом, избежать информационных рисков тоже невозможно. Встает вопрос: можно ли внедрять технические средства и новые компьютерные технологии, но при этом обеспечивать информационную безопасность? Ответ может быть один – жизненно необходимо создание в компаниях специальной службы информационной безопасности и внедрение технических средств защиты информации.
На специалистов по информационной безопасности в первую очередь должна лечь задача по определению актуальных для банка угроз информационной безопасности, как внешних, так и внутренних. На основе анализа прогнозируемых угроз строится модель угроз. В соответствии с этой моделью должны быть подобраны технические средства защиты информации. Они могут быть как программными, так и аппаратными.
Существует несколько проверенных на практике рекомендаций, которыми могли бы воспользоваться компании банковского сектора при выборе технических средств защиты конфиденциальных данных.
Во-первых, исключите возможность несанкционированного доступа к важной информации с помощью специальных решений – средств защиты информации от несанкционированного доступа (СЗИ от НСД). Обеспечить надежную защиту конфиденциальных данных можно путем контроля устройств, функционирующих в сети банка, контроля потоков конфиденциальной информации, контроля печати и т.д. Все эти функции успешно реализует сертифицированное СЗИ от НСД Secret Net разработки компании «Код Безопасности». Для защиты конфиденциальных данных, которые хранятся и обрабатываются в виртуальной среде, необходимо применять специализированные СЗИ. Такие решения позволят деактуализировать специфичные для виртуальных инфраструктур угрозы и обеспечить контроль выполнения ИБ-политик для виртуальной инфраструктуры банка. При этом не стоит забывать о множестве функционирующих в сети банка мобильных устройств. В этом случае необходимо исключить несанкционированное подключение к сети (например, Wi-Fi-сети банка) и к находящимся в ней компьютерам, ноутбукам, телефонам и планшетам. Во-вторых, обратите внимание на то, чтобы критические ресурсы сети банка, такие как сервера баз данных, компьютеры руководителей, а также сотрудников, имеющих доступ к информации ограниченного доступа, были надежно защищены специальными средствами. Для этой цели рекомендуется использовать межсетевой экран, который обеспечит защиту серверов и рабочих станций локальной сети банка от НСД и позволит разграничить сетевой доступ к информационным системам банка. Продуктом, который сегодня обладает таким функционалом, а также имеет высокий уровень сертификации, является разработка компании «Код Безопасности» TrustAccess.
В-третьих, учитывайте, что самым дорогим видом утечки, по данным аналитиков, признана утечка через системного администратора. Поэтому полномочия системного администратора сети не должны быть сконцентрированы у одного человека. Рекомендуется полномочия по управлению инфраструктурой разделять с администратором информационной безопасности. Особенно важно это для тех финансовых организаций, которые используют технологию виртуализации. В первую очередь, это связано с тем, что в системах виртуализации опасность утечки через администратора повышается в связи с технологическими особенностями этих платформ и по причине высокой консолидации данных в таких системах. Сегодня единственным сертифицированным СЗИ от НСД, способным обеспечить надежную защиту инфраструктуры виртуализации банка и контроль доступа с разграничением полномочий администраторов сети, является vGate R2 от компании «Код Безопасности». В-четвертых, стоит обратить внимание на требования законодательства в сфере защиты информации. Банк является оператором персональных данных (ПДн). Поэтому для обеспечения конфиденциальности этой информации необходимо использовать специальные сертифицированные средства защиты информации. При этом для построения комплексной системы защиты рекомендуется использовать продукты одного разработчика. Таким образом, можно решить вопрос совместимости применяемых средств защиты и избежать проблемы «зоопарка» СЗИ, когда решения от разных производителей плохо взаимодействуют, а иногда и конфликтуют между собой. На сегодняшний день единственным российским разработчиком, который имеет наиболее полную линейку сертифицированных СЗИ для выполнения требований законодательства в области защиты ПДн, является компания «Код Безопасности».
В заключение надо отметить, что бюджеты, выделенные на информационную безопасность, списывать в чистые затраты все-таки не стоит. Модели окупаемости внедряемых средств защиты информации существуют, и посчитать, через какое время окупится то или иное СЗИ, не так сложно. С учетом стоимости тех рисков, которые могут быть предотвращены с помощью технических средств защиты информации, возврат вложенных в СЗИ инвестиций может достигать 400% за период, равный полутора годам. При грамотном подходе к ведению бизнеса его руководитель всегда знает размеры финансовых потерь, которые могут наступить при возникновении инцидента утечки информации к конкурентам или в открытые источники.
Таким образом, простая бизнес-арифметика наглядным образом показывает, что инвестирование в обеспечение информационной безопасности банка необходимо и жизненно важно.
