Как создать в банке систему обеспечения информационной безопасности, которая будет не просто существовать на бумаге, но эффективно работать? Эксперты констатируют: единого рецепта нет, но там, где процессы анализа уязвимостей и угроз выстроены в соответствии с требованиями Банка России, и реализован правильный подход к формированию культуры кибербезопасности, риски можно свести к минимуму. Специалисты «ЦИБИТ» Василий ОКУЛЕССКИЙ (на фото в центре), кандидат технических наук, преподаватель учебного центра «ЦИБИТ», Тамара ДЕМЕНКОВА, руководитель департамента комплаенса для финансово-кредитных организаций ГК «ЦИБИТ», Лев ЯКУБОВИЧ (на фото слева), коммерческий директор ГК «ЦИБИТ», рассказали NBJ, как организовать работу, чтобы меры по защите информации приносили пользу, а не проблемы.

NBJ: Коллеги, от внедрения информационной безопасности в бизнес-процессы больше фактической пользы или вреда?

Для того, чтобы внедрение мер по защите информации приносило реальную пользу, в первую очередь необходимо глубокое понимание особенностей бизнеса и требований к безопасности в целом.

В. ОКУЛЕССКИЙ: Только в тех организациях, где уровень зрелости достаточно высок, вопросы защиты информации могут решаться правильно. Если не учитывать требования безопасности на все этапах жизненного цикла бизнеса, а тем более уже на начальных этапах проектирования систем, то впоследствии обязательно возникнут критические ситуации. Наложенные решения всегда менее эффективны, чем встроенные.

Чтобы предусмотреть все нюансы на этапе разработки ИБ-системы, организации нужны специалисты с необходимой квалификацией, поддерживать которую можно только постоянным обучением.

Если в работу организации попытаться включить меры по информационной безопасности в полном объёме, то фирма просто перестанет существовать – только вопросы, связанные с защитой персональных данных, требуют разработки и внедрения порядка 50 нормативных документов.

Что делать? Приходить в правильный учебный центр и обучаться, чтобы понять, какие задачи стоят перед информационной безопасностью, как их имплементировать в бизнес-процессы. Очень важен анализ возможности реализации тех или иных уязвимостей, оценка их актуальности в конкретных условиях организации.

В учебном центре «ЦИБИТ» мы учим специалистов анализировать уязвимости в каждой конкретной ситуации и разрабатывать процессы, приносящие пользу, и помогаем эти процессы внедрить и эксплуатировать.

NBJ: На ваш взгляд, когда уязвимость становится угрозой?

Банком России разработаны жёсткие требования в отношении организаций финансового сектора, ведь они чаще других становятся мишенью злоумышленников.

В. ОКУЛЕССКИЙ: Уязвимости в системе безопасности банка можно разделить на три уровня: уязвимости «железа», системного ПО и прикладного ПО. При этом не всякая уязвимость является угрозой. Чтобы определить степень риска, нужен глубокий анализ того, при каких условиях уязвимость может быть проэксплуатирована.

Такой анализ требует от специалистов организации знания особенностей систем, с которыми они работают, умения оценивать уязвимости и условия их реализации в этих системах на всех уровнях. С этой же целью в банке регулярно должны проводиться аудиты систем информационной безопасности.

Т. ДЕМЕНКОВА: В рамках аудита мы проводим анализ системы безопасности по нескольким направлениям: оценка нормативной документации; проверка выполнения заявленных требований; оценка осведомлённости работников и отношения руководства компании к вопросам информационной безопасности. Комплексный подход позволяет формировать детальное представление о текущем состоянии ИБ-системы.

Большое внимание Банк России уделяет техническим средствам защиты информации. Так, в соответствии с ГОСТ Р 57580.1-2017, всем финансовым организациям необходимы SIEM-системы для реализации мер процесса «Управление инцидентами защиты информации».

Л. ЯКУБОВИЧ: С 2015 года в России стали появляться собственные SIEM-системы – они начали замещать зарубежные, и сегодня этот процесс пошёл ещё более стремительно.

«ЦИБИТ» является партнёром ведущих российских поставщиков SIEM-систем. Лидерами на нашем рынке являются решения MaxPatrol SIEM, RUSIEM и KUMA. Сложность в том, что при внедрении отечественных систем требуется заново переписывать правила реагирования и настраивать источники.

NBJ: Как априори «безопасные» системы формируют неожиданные комбинации уязвимостей?

Иногда применяемые разработки становятся угрозами, а результат их внедрения – неожиданным, поэтому каждая технология требует постоянного совершенствования. Для российских банков примером является взаимодействие с сервисом государственных услуг, в процессе которого есть риски мошенничества.

В. ОКУЛЕССКИЙ: При взаимодействии сервиса «Госуслуги» и банков решается задача идентификации пользователя в одной системе через другую. Сегодня во всех этих системах есть «узкое место» – автоматизированный канал перебрасывания управления. В момент перехода пользователя в процессе авторизации из одной системы в другую есть риск перехвата управления. В результате реализации этой угрозы можно получить невозможность прохождения авторизации, либо авторизацию не того человека.

Т. ДЕМЕНКОВА: Сегодня расширение спектра оказываемых сервисом государственных услуг идёт быстрее, чем внедрение мер обеспечения безопасности учётных данных. Если сервис оказывает финансовые услуги или становится посредником в оказании таких услуг, то необходимо, чтобы его безопасность отвечала требованиям к информационной безопасности, предъявляемым сегодня к финансовым организациям.

NBJ: Как правильно организовать работу?

Высокий уровень культуры кибербезопасности подразумевает совокупность нескольких составляющих. Чтобы меры по защите информации приносили реальную пользу, они должны быть встроенными на этапе разработки. Кроме того, для правильного функционирования системы нужны технические средства и эффективный менеджмент. И, конечно, важно понимать, как принятые меры работают в условиях реальной кибератаки.

В соответствии с Положениями Банка России № 719-П и № 757-П, в финансово-кредитных организациях ежегодно должны проводиться пентесты. 

Л. ЯКУБОВИЧ: Пентест – это моделирование действий потенциального злоумышленника, позволяющее оценить реальный уровень защищённости ИТ-системы: наличие необновлённых операционных систем, прикладного ПО и СЗИ, использование стандартных или словарных паролей, устаревшие сертификаты SSL.

Как правило, банки заказывают внешнее тестирование для повышения оценки по 719-П, но такой подход является ошибочным. Тестировать нужно объекты информационной инфраструктуры – сайт, АБС, систему ДБО, рабочие места для обмена с платёжными системами. Только полноценный внутренний пентест позволяет выявить максимальное количество уязвимостей. Такие пентесты проводят специалисты «ЦИБИТ».

Группа компаний «ЦИБИТ» оказывает полный комплекс услуг в области информационной безопасности для финансово-кредитных организаций: обучение на курсах профессиональной переподготовки и повышения квалификации, финансовый комплаенс, комплексные ИБ-аудиты и пентесты, подбор кадров и аттестация объектов информатизации.

Мы помогаем соответствовать требованиям!

Материал также опубликован в печатной версии Национального Банковского журнала (май 2023)