Не расслабляться
19.5.2009

Работа по обеспечению IT-безопасности предприятия должна вестись постоянно. Оптимально, если это происходит без перерывов и по формуле «24x7» - 24 часа в сутки, 7 дней в неделю.

 Досье «IТ Бел»

ОАО «Центр банковских технологий»
Образован в 1997 г. В соответствии с указом № 694 Президента от 19.12.2008 РУП «Центр банковских технологий» преобразовано в ОАО «Центр банковских технологий». С момента образования основным предметом деятельности является развитие информационных технологий в денежно-кредитной системе Республики Беларусь, в том числе автоматизация деятельности Национального банка, его учреждений и предприятий. По решению Комитета по информационным технологиям Нацбанка ЦБТ уполномочен осуществлять следующие функции обеспечения координации процессов информатизации в банковской системе Республики Беларусь:

  • создание и развитие единого информационного пространства банковского сектора;
  • организация взаимодействия банковских информационных систем с информационными системами государственных органов управления, ведомств, организациями производственного сектора;
  • организация разработки и согласования с органами исполнительной власти и Национальным банком проектов нормативных правовых актов, связанных с реинжинирингом банковских бизнес-процессов, по вопросам IT;
  • разработка технических нормативов, сертификация программного обеспечения и программно-технических комплексов, применяемых в банковской системе.

ЦБТ разработал «Концепцию развития и применения информационных технологий в банковской системе на 2008-2012 гг.» и обеспечивает ее методическое сопровождение. Приоритетными направлениями развития ЦБТ являются:

  • IT-консалтинг для банков и организаций в денежно-кредитной сфере в областях электронного документооборота с применением ЭЦП, информатизации банковского фронт-офиса, разработки стратегии развития и применения IT в банках, управления IT-инфраструктурой организации, информационной безопасности, разработке программного обеспечения для автоматизации банковских бизнес-процессов;
  • испытания и сертификация программно-технических комплексов;
  • развитие банковской инфраструктуры открытых ключей электронно-цифровой подписи.

ЦБТ имеет опыт успешной реализации проектов и на его основе предлагает следующие услуги для банков:

  • разработка IT-стратегии банка;
  • разработка концепции и политики информационной безопасности банка;
  • внедрение средств обеспечения автоматизированного управления IT-инфраструктурой банка;
  • консультационные услуги по выбору средств автоматизации банковских бизнес-процессов;
  • испытания программно-технических комплексов;
  • разработка программного обеспечения под заказ.

Оставляя в стороне многочисленные академические толкования, можно выделить две составляющих IT-безопасности: обеспечение работоспособности IT-инфраструктуры и защита конфиденциальности. Первая составляющая на предприятиях в целом развивается неплохо - иначе невозможно было бы говорить о внедрении информационных технологий. А вот с обеспечением конфиденциальности производственной и персональной информации и предотвращением ее утечек далеко не все гладко практически в любой сфере, за исключением, пожалуй, банковской. Здесь вопросам безопасности изначально уделяется должное внимание, как, впрочем, и IT.

Как отмечает начальник Главного управления информационных технологий Нацбанка Олег Веремейчик, «информационные технологии в банковской системе развиваются наиболее динамично и отвечают всем вызовам. В нашей стране трудно найти другую сферу, где бы так активно, интенсивно и с таким уровнем достижений развивались IT. Без преувеличения, банковская система находится на переднем фронте работы по автоматизации и в своей отрасли, и в стране в целом».

При этом Нацбанк поощряет развитие IT не только силами госструктур, но и с привлечением частных компаний. О. Веремейчик подчеркивает:

- Личная моя точка зрения - в силу того что прогрессивные технологии распространяются по миру широко и одинаково, развитие IT в стране не могло бы идти интенсивно только за счет госсектора. Да в IT невозможно отделить госсектор и частный сектор.

Даже в такой деликатной сфере, как безопасность информации, по мнению эксперта, найдется место частнику:

- В качестве аудиторов могут выступать как раз частные компании. В этой части мы могли бы заимствовать опыт международных карточных систем, которые для принятия решения о соответствии уровня безопасности в банках используют оценки частных компаний, имеющих статус сертифицированного аудитора. Мы могли бы по такому же пути развивать подходы к оценке уровня безопасности.

Именно таким центром компетенции по вопросам безопасности в банковской сфере стало ОАО «Центр банковских технологий».

Внутренняя политика

Валентин Зубович 

Наполнение понятия «информационная безопасность» зависит от структуры организации, видов деятельности, объемов информационного обмена. И здесь главный тезис - «использование средств безопасности должно быть разумным, не блокирующим основную деятельность» - таково мнение первого заместителя директора «Центра банковских технологий» (ЦБТ) Валентина ЗУБОВИЧА. Так же как и менеджмент, безопасность информации не должна стоить дороже, чем сам бизнес-процесс, который защищается. В крупных организациях безопасность информации - в первую очередь организационный процесс. В его разработке приняты устоявшиеся подходы. Первоначально исследуется состояние вопросов безопасности, по результатам исследования фиксируется текущее положение, исправляются выявленные критичные недостатки. На основании обследования составляется Концепция информационной безопасности и, наконец, формируется основополагающий документ - «Политика информационной безопасности», который определяет используемые средства и технико-экономическое обоснование их использования.

В дальнейшем проводится аудит - проверка на соответствие принятой политике безопасности. Подобную работу ЦБТ уже проводил для одного из крупнейших банков страны. В. Зубович отмечает, что, несмотря на грамотно выстроенную инфраструктуру, в системе банка выявлено немало уязвимостей, связанных с возможной утечкой информации.

Структуры, подобные ЦБТ, решают два типа задач:

- Первое - консалтинг, то есть разъяснение того, как решать вопросы защиты информации на предприятии. ЦБТ, например, специализируется на финансово-кредитной сфере, в которой его специалисты обладают достаточной компетенцией в том, что касается IT-инфраструктуры, знания бизнес-процессов и определения мест, где локализованы риски.
- Второе - аудит, уже после того, как появилась «Политика безопасности». Регулярный аудит выявляет, насколько полно выполняется то, что принято.

Что такое «прайвиси»?

Очевидно, что один из крупнейших банков не случайно озаботился аудитом - с 27 мая вступает в силу Закон «Об информации, информатизации и защите информации». В статьях Закона перечислены цели и основные требования по защите информации, права и обязанности субъектов информационных отношений по защите информации.

Однако основная проблема с безопасностью связана с обеспечением сохранности персональных данных. Хотя эта проблема также упомянута в Законе, до ее решения еще далеко. В. Зубович отмечает:

- Сейчас нет даже определения понятия «персональные данные». Ф.И.О. и паспортные данные - это персональные данные? Хотя очевидно, что Ф.И.О. и данные о состоянии здоровья - это уже несомненно персональные данные, доступ к которым может быть предоставлен только с согласия лица. Этот вопрос не регламентирован, каждый решает его на свой страх и риск. Например, тот, кто обращается в банк за кредитом, обязательно подписывает согласие на то, что специалист банка, который рассматривает заявление клиента, получит доступ к его персональным данным, которые есть в банке данных Кредитного бюро.

С другой стороны, банковские структуры заинтересованы в соблюдении своей «privacy», сохранении секретов, в том числе и при проведении внешнего аудита. В. Зубович считает, что в каждом случае этот вопрос решается по усмотрению руководства банка: 

Например, в международной платежной системе VISA применяется стандарт безопасности PCI DSS и в их Политике безопасности принято, что участники, которые имеют свои процессинговые системы в рамках VISA, должны проходить сертификацию по безопасности и регулярно проводить аудит. В Беларуси не так уж много предприятий, которым требуется аттестация по PCI DSS. Аудит по умолчанию не может ведь производиться собственной службой. Такие организации обязаны допустить внешний аудит, как этого требуют правила системы VISA. Что и позволяет нам развиваться в этом направлении, не опасаясь, что наши услуги не будут востребованы.

Помимо внешнего аудита, банки обязаны проводить и внутренний. В частности, в ближайшее время, по словам В. Зубовича, появятся два стандарта, которые в том числе касаются вопросов безопасности информации в банках - «Банковские технологии. Внутренний контроль и аудит информационных систем» и «Банковские технологии. Управление рисками в сфере информационных технологий».

К интеграции

Олег Веремейчик

Нынешний этап в решении вопросов безопасности информационных систем можно было бы назвать интеграционным. И связан он прежде всего с расширением систем межведомственного взаимодействия и законодательными изменениями.

В настоящее время создается ряд систем электронного документооборота, где ставятся жесткие требования по защите.

- Нами разработаны приложения, которые обеспечивают аудит доступа к персональным данным, - заявляет В. Зубович. - Реализованы они на базе системы гарантированной доставки юридически значимых электронных документов: каждый запрос к банку данных, содержащему персональные сведения, подписывается электронной цифровой подписью ответственного лица.Для управления доступом пользователей к самой системе доставки, которая направляет запрос к информационному ресурсу, используются методы мультифакторной идентификации.

По действующему законодательству правила использования электронных документов определяются владельцем информационной системы. Но в Совете Республики уже находится на рассмотрении новый законопроект «Об электронной цифровой подписи и электронном документе», где будут приняты иные нормы. В. Зубович замечает, что Законом будет установлено создание в Беларуси Государственной системы управления открытыми ключами (ГосСУОК).

В ЦБТ совместно с Центром информационных ресурсов и коммуникаций БГУ разработано программное обеспечение, которое может использоваться как в рамках существующего законодательства, так и в будущем, с выходом нового Закона, с учетом ввода в эксплуатацию ГосСУОК. Клиентская часть обеспечивает создание и передачу электронного документа на сервер системы, ведение пользователями архивов электронных документов, а также выработку и подписание так называемой квитанции о получении документа. Серверная часть ПО проверяет действительность ЭЦП, соблюдены ли правила оформления документа, то есть - будет ли документ признан юридически значимым, - и передает его получателю. Важно, что в централизованном архиве системы сохраняются все документы и электронные квитанции, подписанные ЭЦП получателя. Последнее требование, в ситуациях, когда может возникнуть необходимость в судебном разбирательстве, обеспечивает возможность выдачи удостоверенных копий электронных документов на бумажных носителях.

В настоящее время ЭЦП в основном используется в рамках разрозненных ведомственных систем. Новый Закон «Об электронной цифровой подписи и электронном документе» направлен на создание ГоcСУОК, что даст возможность использования одной ЭЦП во всех системах.

Хакеры сюда не ходят

Обыватели по всему миру запуганы - в основном благодаря беллетристике, Голливуду и СМИ - угрозами со стороны изощренных злоумышленников - хакеров. А так ли уж велики угрозы со стороны этих IT-хулиганов в реальности? По мнению наших экспертов, в Беларуси пока невелики. Хотя объемы данных, конечно, растут, и становятся все более изощренными угрозы, с которыми приходится бороться. Что касается банковской сферы, то здесь угрозы невелики еще и потому, что технологии интернет-банкинга белорусскими банками пока только начинают развиваться. Но банки все же активно защищаются.

Прежде всего, в Беларуси банки объединены в рамках закрытой защищенной сети - Банковско-финансовой телесети (БФТ), которая отделена от Интернет - этим решается много вопросов. По мнению В. Зубовича, «уровень защиты нашей платежной системы очень высокий, что подтверждается регулярным международным аудитом». Разумеется, угрозы есть во всех составляющих банковской IT-инфраструктуры. И из единого центра все их держать под контролем не удалось бы. Секрет успешности - в распределении зон ответственности. Сами банки контролируют свою информационную систему и инфраструктуру, включая пункты приема платежей - банкоматы, кэш-ин, выход в Интернет. БФТ отвечает за то, чтобы доступ в транспортную сеть не получили посторонние. Межбанковские системы контролируют безопасность платежной системы, Единого расчетного информационного пространства (ЕРИП), других сервисов.

- Есть банки, которые уходят от использования сети БФТ и принимают услуги других провайдеров - там угрозы растут, - считает В. Зубович. - В общем виде банковская система достаточно хорошо защищена, поскольку каждый ее сегмент контролируется конкретным оператором. Известно, что базы данных некоторых GSM-операторов регулярно появляются в свободном доступе, а вот утечек из банковской среды Беларуси до сих пор не было. С точки зрения безопасности у нас пока все неплохо.

Вместо резюме

Банкиры подают пример успешного ведения политики безопасности. Но пока этому образцу не торопятся следовать в других сферах. По мнению В. Зубовича, чаще всего «конфиденциальность» обеспечивается парой «логин/пароль» - такую защиту сегодня способен взломать даже школьник. По мнению эксперта IT-Бел, назрела необходимость развивать вопросы безопасности во всех отраслях, где используются персональные данные, таких как образование, медицина. А также и в промышленности, где пока про безопасность информации всерьез не задумываются, а эпизодически возникающие проблемы решают методом аврала.

Возможно, толчком к развитию систем безопасности послужат новые законы.

Глоссарий

PCI DSS - Payment Card Industry Data Security Standard - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации. Его требования распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Определяет 6 областей контроля и 12 основных требований по безопасности:

1 Построение и сопровождение защищенной сети: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт; не использование выставленных по умолчанию производителями системных паролей и других параметров бехопасности.

2. Защита данных держателей карт: обеспечение защиты данных держателей карт в ходе их хранения; обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

3. Поддержка  программы управления уязвимостями: использование и регулярное обновление антивирусного программного обеспечения; разработка и поддержка защищенных систем и приложений.

4. Реализация мер по строгому контролю доступа: разграничение доступа к данным по принципу служебной необходимости; присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру; ограничение физического доступа к данным держателей карт.

5. Регулярный мониторинг и тестирование сети: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт; регулярное тестирование систем и процессов обеспечения безопасности.

6. Поддержка политики информационной безопасности: наличие и исполнение в организации политики информационной безопасности.

Открытый ключ электронной цифровой подписи (ЭЦП) - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения подлинности ЭЦП в электронном документе.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

 
© ОАО “Центр банковских технологий”