Поделиться
Как охраняют банки? Секреты ИБ-спецов
Обеспечение ИБ в банках и страховых компаниях по всему миру давно перестало пониматься как затыкание очередной "дыры" в информационных системах. Наступила эра комплексных систем управления безопасностью на основе универсальных стандартов, например, ISO 27001, и специализированных отраслевых нормативных актов. Секреты и стратегии ИБ финансового сектора обсуждались в рамках круглого стола "Информационная безопасность банков и страховых компаний", проведенного CNews Conference.Алексей Гребенюк: Требования ИБ банковской сферы весьма специфичны
На вопросы CNews отвечал Алексей Гребенюк, директор Центра технической поддержки "Доктор Веб".
CNews: Когда в России будут востребованы СМБ-решения по ИБ в банках?
Алексей Гребенюк: На самом деле многие из таких решений уже используются в небольших банковских структурах и филиалах крупных банков. Однако надо понимать, что ИБ вообще и ИБ банковской сферы – вещи несколько разные и должны отвечать различным требованиям. Так, например, система банковской безопасности, кроме обычных стандартов, регулируется нормативными документами Банка России. Поэтому соответствующие решения должны вписываться в достаточно сложную систему нормативного регулирования банковской деятельности.
CNews: В чем преимущество специализированных банковских ИБ-решений по сравнению с универсальными?
Алексей Гребенюк: Эти преимущества так или иначе вытекают из ответа на первый вопрос. Достаточно сложно найти универсальное решение, вписывающееся в сложную и щепетильную сферу ИБ крупного банка. Поэтому они достаточно часто прибегают к созданию своих, уникальных решений для обеспечения ИБ. Чаще других – из "универсальных" – используют антивирусные решения и межсетевые экраны, однако на этом перечень не ограничивается. При этом общая тенденция отхода от "коробочных" решений и перехода к сервисной модели информационной безопасности сохранится.
CNews: Станет ли закон "О персональных данных" катализатором массовой установки соответствующих ИБ-систем в российских банках?
Алексей Гребенюк: Существующая сегодня нормативная база говорит именно об этом – персональные данные должны защищаться и защищаться сертифицированными средствами. Пока не до конца ясны некоторые аспекты процедур сертификации, но это, полагаю, решится в ближайшее время.
CNews: Какие угрозы безопасности, на ваш взгляд, критичны для банков? Как с ними бороться?
Алексей Гребенюк: Основная тяжесть угроз уже давно переместилась в область борьбы с инсайдерами. К сожалению, в некоторой степени рост числа компьютерных преступлений связан с правонарушениями или злоупотреблениями именно сотрудников банка. Решение нужно искать на стыке продуманных организационных мер и программно-технических средств. Нередко в этой борьбе помогают нетрадиционные методы, которые позволяют осуществлять мониторинг действий нарушителя.
Короткая ссылка
