Банковский бизнес ежедневно имеет дело с огромными массивами конфиденциальной информации, составляющей банковскую тайну. Любая ошибка в защите этих данных может привести банк к фатальным последствиям, вплоть до банкротства или отзыва лицензии. Именно поэтому в финансовом секторе традиционно уделяется огромное внимание политике информационной безопасности (ИБ).

Компания ТрастВерс, входящая в холдинг «Информзащита», предложила рынку уникальную технологию КУБ - комплексное решение, обеспечивающее управление логическим и сетевым доступом к информационным ресурсам компании, непрерывный контроль соблюдения политики безопасности, выявление несанкционированных изменений настроек прав доступа и контроль программно-аппаратных конфигураций.

СЕРЬЕЗНАЯ ПРОБЛЕМА

Ни у кого из участников финансового рынка не вызывает сомнений тот факт, что обеспечение информационной безопасности банков - актуальная проблема, важность которой постоянно растет, о чем свидетельствует неумолимая статистика. Например, согласно исследованию аналитического центра компании InfoWatch прямые убытки кредитно-финансовых организаций в мире от утечек информации в первом полугодии 2012 года составили более двух миллиардов долларов, 24,7% которых пришлись на российские банки.

Одной из важных задач обеспечения ИБ банка является организация безопасного управления доступом к информационным ресурсам. Любой успешный банк имеет высокий уровень автоматизации и для обеспечения своей жизнедеятельности использует большое количество различных информационных систем: автоматизированные банковские системы, ERP, CRM, СЭД, электронную почту и многие другие. Кроме того, как и в любой другой крупной организации, в банке ежедневно происходит большое количество кадровых изменений, влекущих за собой необходимость изменений прав доступа к информационным ресурсам.

«Конечно, в организациях существует регламент, четко описывающий правила предоставления доступа, однако зачастую отсутствуют системы, которые бы непосредственно занимались управлением доступом, - отмечает руководитель группы проектирования системы КУБ Дмитрий Прокопенко. -Кроме того, отсутствие технических средств, позволяющих контролировать соответствие согласованного доступа реально предоставленному приводит к тому, что сотрудникам службы ИБ приходится делать это визуально». В промежутках, когда проверки не осуществляются, пользователь с избыточно предоставленным ему набором прав может получить доступ к конфиденциальным данным, замести за собой следы, и никто не узнает о том, что информация была похищена. У большинства банков отсутствует процесс постоянного мониторинга соответствия согласованных и реально действующих прав.

КУБ ИЛИ IDM?

Обеспечение информационной безопасности в современном банке - это комплексный процесс, в котором велика роль не только технической, но и организационной составляющей. Очень важно иметь решение, которое позволило бы осуществить тесную интеграцию технологий, процессов и людей.

К сожалению, традиционные IDM уделяют небольшое внимание вопросам контроля доступа, поскольку при создании разработчики ориентировались больше на потребности ИТ - автоматизировать процесс управления учетными записями. Технология КУБ (Комплексное Управление Безопасностью), разработанная компанией ТрастВерс, включает в себя функционал IDM, но расширяет его для полноценного решения проблем на стыке трех подразделений: бизнес, службы ИТ и ИБ.

ВОТ НЕКОТОРЫЕ ВОЗМОЖНОСТИ КУБ, КОТОРЫХ НЕТ В ТИПОВЫХ IDM:
■  динамическое построение маршрутов и оптимизация процессов согласования заявок любого уровня сложности;
■  непрерывный контроль соответствия согласованных и реально предоставленных полномочий пользователей, причем этот вопрос решен на уровне архитектуры системы;
■  хранение детализированной истории всех изменений прав, что дает в руки службы информационной безопасности инструмент оперативного расследования любых инцидентов;
■  управление сетевым доступом, программно-аппаратными конфигурациями, СЗИ, PKI.

После внедрения КУБ в банке возникает упорядоченная система предоставления доступа, где каждое изменение имеет своего автора.

ТЕХНОЛОГИЯ ДЛЯ ТРЕХ СТОРОН БИЗНЕСА

Резюмируем, зачем нужна технология КУБ и что она дает каждой из сторон, включенных в процесс получения доступа к информационным ресурсам банка.

■ Сотрудники и руководители бизнес-подразделений получают возможность самостоятельно, без посредников, в привычной терминологии запрашивать доступ к необходимым информационным ресурсам через удобный web-портал и получать его, избегая дополнительных согласований.

■ Сотрудники служб информатизации и автоматизации получают четкие, не требующие уточнения инструкции к выполнению в понятной терминологии. Им не нужно тратить время на согласование заявок на доступ с руководителями смежных подразделений и службой ИБ. Возможно автоматическое исполнение инструкций. Процессы изменения прав автоматизированы, что позволяет сократить ресурсы, необходимые для поддержки информационных систем, и снизить риск ошибок, связанных с человеческим фактором.

■ Руководитель службы информационной безопасности получает инструмент контроля.  Он  автоматически  получает информацию обо всех несанкционированных изменениях прав сотрудников и программно-аппаратных конфигураций.

ИНТЕЛЛЕКТУАЛЬНАЯ СОСТАВЛЯЮЩАЯ КУБ

Человеческий фактор был и остается самым слабым звеном информационной безопасности любого банка - об этом говорят ИТ-директора банков и специалисты в области ИБ. Ошибки людей можно и нужно предотвращать за счет автоматизации. КУБ позволяет уже на уровне архитектуры отсекать возможные неправомерные действия нарушителей.

В процессе управления доступом КУБ создает так называемую модель, отражающую текущие настройки всех информационных систем. После согласования заявки КУБ может спрогнозировать, как должны измениться настройки информационных систем в соответствии с утвержденной политикой информационной безопасности. По факту любого изменения система переходит в новое состояние, и фактическая модель сравнивается с прогнозируемой.

Благодаря такому подходу процедура контроля становится по-настоящему эффективной. Изменения считаются успешно завершенными, только если реальное состояние информационной системы совпадет с моделью. В противном случае сразу же станет понятным, что кто-то из сотрудников не выполнил всех необходимых действий или умышленно сделал что-то не так, например, дал лишний доступ к определенным информационным ресурсам.

КОМУ НУЖЕН КУБ?

Эксперты компании ТрастВерс отмечают, что типовой вариант КУБ можно внедрить за очень короткие сроки - в течение нескольких недель, особенно если политика информационной безопасности формализована и в банке разработан четкий регламент управления доступом, которому сотрудники стараются следовать, а у руководства есть понимание необходимости решать данную проблему.

КУБ обычно внедряют компании крупного и среднего бизнеса с разветвленной региональной сетью, обладающие большим количеством информационных ресурсов и систем, где хранятся данные, подлежащие обязательной защите.

ЧТО ЖДАТЬ ОТ ВНЕДРЕНИЯ КУБ?

Приведем выдержку из интервью представителя одного из заказчиков ТрастВерс - главного инженера ГУ Центрального банка России по Тверской области Виктора Владимировича Людкевича.

Мы внедрили платформу КУБ в 2009 году. И вот что изменилось у нас за это время:
■ мы полностью ушли от бумажных заявок к электронному документообороту, за три года через систему КУБ реализовано более 80 тысяч заявок от наших 800 сотрудников;
■   уровневый процесс согласования и исполнения заявок был оптимизирован и сократился с 1-5 дней до нескольких часов;
■ благодаря простому и удобному интерфейсу КУБ любой сотрудник банка может самостоятельно запросить доступ к необходимым ему ресурсам и контролировать ход выполнения заявки;
■КУБ синхронизирован с организационно-штатной структурой банка, что позволяет блокировать учетные записи сотрудников на время их отпусков, командировок и т.д. - это требование безопасности;
■ КУБ автоматически контролирует соблюдение утвержденного в банке регламента и отслеживает все необходимые соответствия.