Поделиться
Как охраняют банки? Секреты ИБ-спецов
Обеспечение ИБ в банках и страховых компаниях по всему миру давно перестало пониматься как затыкание очередной "дыры" в информационных системах. Наступила эра комплексных систем управления безопасностью на основе универсальных стандартов, например, ISO 27001, и специализированных отраслевых нормативных актов. Секреты и стратегии ИБ финансового сектора обсуждались в рамках круглого стола "Информационная безопасность банков и страховых компаний", проведенного CNews Conference.Кроме того, в больших корпорациях уследить за всеми изменениями конфигурации сети и обновлениями для ПО крайне сложно. В качестве выхода "Стинс Коман" предлагает использование программно-аппаратных комплексов класса UTM. Они делают проверку кода в реальном масштабе времени. Они не основываются на исходном адресе URL, атрибутах сигнатур или репутационных данных, которые меняются каждый час. Блокируют вредоносный трафик на уровне шлюзов и не допускают никакого исполнения этого кода на конечных устройствах. Существует широкая продуктовая линейка этих ПАК: от NG-1100 для среднего и малого времени до NG-8100 – уровня крупного предприятия (до 25 тыс. пользователей). Управляются же ПАК автоматически с центрального узла.
Представители компания "Техносерв А/С" ознакомили собравшихся на круглом столе с решениями по защите от спама. Эта проблема известна всем – большинство из нас тратят немалое время на разбор своих почтовых ящиков, зачастую подхватывая при этом компьютерные вирусы. Предлагаемый ПАК "Barracuda спам-файрвол" способен контролировать до 15 млн писем в сутки при наличии двойного антивирусного контроля и возможностью работы с архивами. Производитель гарантирует почасовое обновление правил фильтрации и антивирусов. Маркетинговой особенностью является единая лицензия на любое количество пользователей. Spam Firewall 100 предназначен для 50 активных пользователей. Старшая модель Spam Firewall 900 поддерживает до 30 тыс пользователей и 250 Гб объема карантина.
Агафонов Андрей, начальник отдела внедрения и сопровождения POS-терминалов департамента банковских технологий ГК "Ланит", обратил внимание на еще одну особенность ИБ в банках: "Каждая современная кредитная организация имеет в наличие и банкоматы, и POS-терминалы и другие удаленные устройства. Рынок пластиковых карт в России растет на 50% ежегодно. Все больше используются открытые сети для передачи платежных транзакций. В результате, по данным ГУБЭП, убытки от мошенничества по пластиковым картам превышают 5 млн долларов в год".
Производители советуют бороться с мошенниками путем использования устройств, поддерживающий требования международных платежных систем –например SSL 3.0, который основан на криптографических алгоритмах 3DES, аутентификации участников по методу RSA и поддерживающих целостность данных. ЛАНИТ предлагает продукцию от RADWARE и HYPERCOM.
Новая линейка HYPERCOM 42ХХ
Источник: "Ланит", 2008
"Хостинг центр РБК" продолжил тему криптографии и предложил свои услуги в области сертификационного центра. Данная компания способна предоставить своим клиентам следующие сертификаты: стандартные, Wilde Card, SGC, EV и сертификаты разработчика.
Обсуждение проблем в области ИБ в финансовом секторе завершилось анализом ситуации в области резервного копирования данных. С соответствующим докладом выступил Артем Хазов, директор по развитию Aflex Software – партнера компании Acronis.
Решение компании Acronis состоит из ряда компонентов, позволяющих организациям отделять свои цифровые активы (ОС, приложения, настройки, пользовательские данные) от используемой для их хранения системы и аппаратной конфигурации. Это достигается путем виртуализации. В результате корпоративные данные становятся доступными тогда и там, где они нужны, независимо от того, когда и где они были созданы.
В качестве итогов дискуссии необходимо отметить, что финансовые компании проявляют огромный интерес к вопросам информационной безопасности. Это обусловлено глубокой интеграцией ИТ и ИБ во всех бизнес-процессы банков и страховых компаний. Неудивительно, что этот сегмент экономики потребил в 2006 году более 29% всех расходов на информационную безопасность. Рост потребления по сравнению с 2005 годом составил 28%.
Доля расходов на ИБ финансового сектора ко всему рынку ИБ в 2006, %
Источник: CNews Analytics, 2007
Очевидно, что эра обеспечения информационной безопасности в банках и страховых компаниях путем внедрения "точечных" или локальных решений подошла к концу. На повестке дня — построение комплексных масштабируемых систем с единым центром управления, естественно, соответствующим мировым стандартам (в том числе по управлению рисками).
По данным ЦБ РФ, лишь 20% всех задач по обеспечению безопасности могут быть решены с помощью техники. 80% всех проблем решается организационными, административными и процедурными средствами.
Доли продуктов ИБ в финансовом секторе в 2006 г.
Источник: CNews Analytics, 2007
Вследствие этого происходит принятие того факта, что защита банковской информации, будучи чрезвычайно сложным и дорогостоящим процессом, требует отработанных методик по ее обеспечению, которые немедленно превращаются в один из наиболее значимых активов организации. Это подтверждается распределением затрат на ИБ в финансовом секторе в 2006 году.
Страховой бизнес в России также активно движется к принятию "на вооружение" парадигмы комплексной безопасности. Но здесь довлеет влияние международного стандарта ISO/IEC 27001:2005. Это подтверждается сертификацией компании "Росно" по этому стандарту и рядом промежуточных шагов, сделанных другими компаниями в этом направлении.
Вадим Ференец / CNews
Презентации участников круглого стола
Короткая ссылка
