Как охраняют банки? Секреты ИБ-спецов - Зашита - Безопастность! - Каталог статей - Сайт абсолютно для всех!!!

Воскресенье, 04.12.2016, 23:24
Приветствую Вас Гость | RSS

Сайт для всех!

Каталог статей

Главная » Статьи » Безопастность! » Зашита

Как охраняют банки? Секреты ИБ-спецов

Внедрение комплексных систем управления ИБ в современных условиях стало рассматриваться не как "обязательная программа", а как выгодные инвестиции. Это подтверждается многочисленными исследованиями самых авторитетных консалтинговых компаний.

Как видно из данных Deloitte, комплексная система ИБ – чемпион по эффективности использования при несущественном повышении стоимости по сравнению с решениями из предыдущих фаз эволюции.

Своим видением причин подобного положения вещей для отечественного банковского сектора поделился Борис Скородумов (доцент кафедры "Информационная безопасность банковских систем" МИФИ, исполнительный директор института банковского дела Ассоциации Российских банков (АРБ)).

Этапы эволюции средств защиты информации

Красной линией своего выступления он провел высказывание гуру в области управления Питера Ф. Друкера: "менеджмент должен осуществляться, прежде всего, на основании постоянного, систематического и целенаправленного снижения издержек производства".

Это, в свою очередь, означает, что для высшего менеджмента компании перестал существовать технический вопрос информационной безопасности, а появился набор рисков и убытков от них, которыми надо управлять с целью минимизации. Так закончилась эра ИБ в банках и началась эпоха риск- менеджмента.

Как показывают авторы исследования развития риск-менеджмента, а также считают создатели СТО Банка России ИББС-1.0-2006, ИБ прочно стала компонентом операционных рисков. А учитывая возможность трансформации одних видов в другие, то и вовсе рисков, как таковых. А осуществлять комплексное управление ими гораздо дешевле, чем "зоопарком" не связанных между собой технических и программных средств.

Этапы развития риск-менеджмента

Журнал "Банковское обозрение", 2007

По мнению директора киевского центра технической поддержки "Доктор Веб" Алексея Гребенюка, основной тенденцией мирового рынка ИБ стало окончательное осознание компаниями зависимости их бизнеса от уровня защиты информации. "Наряду со стабильно высоким спросом на средства защиты от внешних угроз стремительно растет интерес к управлению безопасностью с учетом внутренних угроз", - считает он.

В итоге компания "Доктор Веб" проповедует стратегию "триады построения безопасных бизнес-процессов в банке". Первым пунктом стоит правильное распределение ролей, соответствующих им прав и полномочий, а также привилегий, связанных с контрольными функциями.

 Андрей Агафонов, начальник отдела внедрения и сопровождения POS-терминалов "Ланит": Убытки от мошенничества по пластиковым картам превышают 5 млн долларов в год
Во-вторых, любой процесс доступа к информационному ресурсу регламентируется исключительно ролью работника и соответствующим ей правам и полномочиям.

И, наконец, контрольные функции по исполнению действующего регламента возлагаются исключительно на специалистов (сотрудников подразделений ИТ и ИБ), которые действуют в рамках предоставленных им прав и привилегий.

В результате образуется следующая методология - абсолютно каждый бизнес-процесс на любом предприятии, включая банки, имеет составляющую безопасности, которую нельзя игнорировать.

Но возникает проблема реализации этого функционала и пересмотра подхода, когда программно технические меры ИБ рассматриваются как дополнение к существующим информационным процессам.

"Однако особенностью российского банковского мира ИБ является – с одной стороны зарегулированность со стороны государства, а с другой – несовершенство законодательства" - говорит Михаил Емельянников, заместитель коммерческого директора компании "Информзащита".

Он напомнил коллегам, что с 26 января 2007 года все банки и страховые компании, согласно закону "О персональных данных", стали операторами этих персональных данных. А с 1 января 2008 года большинство из них должны были уведомить об этом соответствующие инстанции. Почему они это не сделали?

Постановление правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" определило, что ФСБ России и ФСТЭК должны в трехмесячный срок (с момента выхода постановления) утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных положением.

Прошло 17 февраля 2008 года (дата принятия), потом 25 февраля (день опубликования), но акты и документы, которые ждут операторы и поставщики услуг, так и не появились…

Пока в данной ситуации банки и страховые компании ориентируется на собственное понимание вопроса и существующие нормы, например, стандарт ЦБ РФ в области ИБ, соответствовать которому очень трудно без внедрения систем мониторинга событий ИБ.

По словам Евгения Дружинина, ведущего системного инженера компании "Крок", финансовые компании зачастую имеют весьма сложную гетерогенную структуру. Проводить аудит ИБ, как внутренний, так и внешний - достаточно сложная задача без наличия средств автоматизированного выявления и расследования инцидентов ИБ. При этом управление ими обязательно должно базироваться на регулировании их жизненного цикла: автоматическая идентификация инцидентов в соответствии с результатами корреляции, его оценка и описание, наличие базы знаний по выходящим в него событиям, возможность его обработки: назначение, контроль выполнения действий, сохранение результатов реагирования, а также ведение базы.

Тенденции в развитии рынка SEIM

Источник: "Крок", 2008

Компания "Крок" предлагает решение подобных задач на основе единой системы мониторинга событий информационной безопасности (Security Event and Information Management) и единой системы выявления соответствия корпоративным политикам безопасности и лучшим мировым практикам.

Категория: Зашита | Добавил: FuDjI (10.03.2008) | Автор: Firdavs E W
Просмотров: 360 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа
Категории раздела
Зашита [3]
Создание вирусов [4]
Взлом [10]
Прочее [37]
Поиск
Наш опрос
Как вы попали в этот сайт?
Всего ответов: 14
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0
    Copyright MyCorp © 2016