ИНТЕРВЬЮ

Службу безопасности Банка России - территориально распределенную структуру с многочисленным штатом сотрудников - оценивают как весьма развитую, даже с учетом современных требований. Тем не менее некоторое время назад было принято решение усовершенствовать ее работу, с тем чтобы улучшить управляемость деятельностью банка и снизить возможные риски, связанные с нарушением безопасности. Во исполнение данного решения в 2000 г. началась разработка стандартов по обеспечению информационной безопасности (ИБ) этого кредитно-финансового учреждения. Теперь стандарт СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" обещает стать отраслевым в финансовой сфере. Кроме того, для финансовых организаций подготовлены стандарт аудита их информационной безопасности, рекомендации по документационному обеспечению и проведению самооценки, а также методика оценки соответствия деятельности таких организаций требованиям стандарта Банка России.

О том, какие задачи стоят сейчас перед службой, отвечающей за информбезопасность ЦБ, в том числе связанные с разработкой и внедрением отраслевых стандартов, научному редактору еженедельника PC Week/RE Валерию Васильеву рассказал заместитель начальника Главного управления безопасности и защиты информации (ГУБЗИ) Банка России Андрей Курило.

PC Week: Какие проблемы информационной безопасности в финансовой среде сегодня, на ваш взгляд, наиболее остры?

Андрей Курило: В финансовые компании наконец-то пришло осознание проблемы инсайдеров и необходимости разработки нормативных документов, позволяющих организовать работу по их блокированию, чтобы в итоге исключить возможности инцидентов.

Андрей Курило

PC Week: Вы упомянули организационные меры как первоочередные. А существуют ли технологии, адекватные намеченным в нормативных документах мерам? Или финансовый бизнес находится в положении ожидающего новаций от разработчиков?

А. К.: Такие технологии начинают появляться на рынке, но пока непонятно, насколько они эффективны в применении. Дело в том, что работа с проблемой инсайдеров прежде всего носит аналитический характер. Традиционные технические средства защиты от внешних угроз против инсайда не эффективны, поскольку инсайдер изначально, по своему статусу, легально допущен к информации. Вопрос в том, как он использует информацию - в соответствии с должностными обязанностями, учтенными в политике безопасности, или нет. Инсайд возникает во втором случае, но отличить одно от другого сложно. Поэтому и появляется необходимость четкого структурирования доступа пользователей к информационно-техническим ресурсам, контроля и анализа их деятельности по доступу к таким ресурсам и формирования вывода о направленности этих действий.

Традиционные технические средства защиты от внешних угроз против инсайда не эффективны.

Технические средства, решающие подобные задачи, сейчас уже предлагаются на рынке, хотя их пока не очень много. Но я должен еще раз подчеркнуть, что без правильного структурирования деятельности самой организации, без правильного разграничения доступа к ресурсам, без правильного администрирования доступа техника будет бессильна. Так что прежде всего нужно проводить организационные мероприятия.

PC Week: Разумным стартом в подготовке таких мероприятий является следование действующим стандартам. Какое место занимают государственные и отраслевые стандарты по информбезопасности в преодолении обозначенных вами проблем?

А. К.: Я бы сказал - основное. Полагаю, что, приняв стандарты и организовав в соответствии с ними работу по обеспечению ИБ, отрасль будет в состоянии бороться и с таким явлением, как инсайд. Стандарты как раз и предназначены для того, чтобы помочь компаниям правильно организовать ИБ.

В проблеме инсайдера самой "страшной" фигурой для специалистов, отвечающих за безопасность, ныне стал системный администратор. Права доступа, которыми он располагает, делают для него доступной практически любую информацию. Но и его деятельность, оказывается, можно и нужно поставить под контроль.

Например, существуют операционные системы, в которых просто отсутствует понятие такого суперюзера, как системный администратор, который стал головной болью для специалистов по ИБ. В подобных системах возникновение инсайда, связанного с пользовательской вседозволенностью, случается гораздо реже. То есть такие подходы уже давно реализованы.

PC Week: А с чьей стороны инициативы в разработке отраслевых стандартов больше - со стороны государства или бизнес-сообщества?

А. К.: До недавнего времени - со стороны бизнес-сообщества. К этому его подвигали и подвигают ежедневные практические проблемы. Меры ИБ не повышают качество деятельности банков, а снижают связанные с нею риски - операционные и системные - до заданного уровня. Задача обеспечения безопасности стоит на втором месте после основной деятельности, она затрагивает банковские информационные системы, работу предприятия по эксплуатации ИТ и основную деятельность. При этом ИТ предоставляют инструменты для выполнения главной задачи банка, не более, но этими инструментами нужно уметь правильно пользоваться.

Года три-четыре назад появилось понятие непрерывности бизнеса, и его сформулировали как конечную цель в комплексе мер по обеспечению безопасности предприятия. Приоритеты здесь выстраиваются следующим образом: обеспечение доступности, целостности, конфиденциальности информации. От доступности ресурсов в том числе зависит и непрерывность бизнеса, а она в свою очередь поддерживается резервированием, катастрофоустойчивостью, копированием, архивированием, дублированием каналов связи. Учиться организации безопасности пока трудно: нет достаточного количества источников информации. Но главное - сформулировать проблему и пути ее решения. И дело обстоит совсем не безнадежно. Например, безвозвратно уничтожить клиентскую БД банка при современных средствах ее организации невозможно. Она всегда будет восстановлена по имеющимся записям в других источниках: выписках клиентов и корреспондентов, их базах данных.

Вот очень показательный пример. В ходе террористической атаки 11 сентября 2001 г. на "близнецов" в Нью-Йорке были разрушены расположенные там центры обработки и телекоммуникационные центры ряда местных и зарубежных банков, в которых держали свои счета и российские банки. Через три дня все бизнес-процессы пострадавших финансовых организаций были восстановлены - никто из клиентов не потерял ни доллара, а до этого Bank of New York, с которым работали наши коллеги, обрабатывал платежи вручную. Да, была нарушена непрерывность бизнеса, резко ухудшен параметр доступности, но задачи резервирования, архивирования, катастрофоустойчивости, надежности функционирования были решены правильно.

В проблеме инсайдера самой "страшной" фигурой для специалистов, отвечающих за безопасность, ныне стал системный администратор.

В кредитных организациях в результатах внедрения стандартов заинтересованы высшие менеджеры, подразделения безопасности, внутреннего аудита, ИТ-служба и служба внутреннего контроля. Фактор добросовестной конкуренции и получения конкурентных преимуществ, в том числе и использование аутсорсинга, тоже способствует внедрению стандартов. Проблема аутсорсинга - проблема доверия, а доверять можно, если оценки аутсорсеров базируются на стандартах. Там, где работает стандарт, повышается прозрачность, управляемость, мотивация, проще доказывать потребность в ресурсах.

Сегодня и государство начинает обращать внимание на необходимость разработки стандартов в финансовой сфере. Оно поддерживает движение бизнеса в этом направлении. В стандартах помимо самих банков, аудиторских компаний и иностранных бизнес-партнеров заинтересованы органы законодательной и исполнительной власти нашей страны, государственного регулирования, высшие органы регулирования банковской деятельности. У всех у них есть собственный интерес в том, чтобы работа в сфере финансов велась по понятным методикам. Так, недавно ФСТЭК обратилась к нам с предложением разрабатывать отраслевые системы документов по защите информации.

PC Week: Каков портрет финансовой компании, поддерживающей создание и внедрение отраслевых стандартов, и как выглядит ее антипод?

А. К.: Проще все-таки сказать о том, что заставляет тот или иной банк сопротивляться принятию стандартов. Это прежде всего опасение того, что внедрение стандартов потребует значительных затрат. Показательно, что среди таковых большую часть составляют банки, не вошедшие в систему страхования вкладов. А здесь причины, по-моему, лежат в субъективности подходов руководства этих банков, а не в области экономики.

Стандартизацию поддерживают крупнейшие банки страны. Их руководители расценивают это как конкурентное преимущество, заключающееся в том, что деятельность подведомственных им предприятий делается для них гораздо прозрачней, понятней, а повышение управляемости организации становится основным приоритетом в работе.

К слову, разработана процедура, с помощью которой требования внедряемого Банком России стандарта четко ограничиваются через политику безопасности, действующую в данной конкретной организации, стандарт адаптируется под характер и размер бизнеса организации. Это необходимо прежде всего для небольших банков, в которых реализуются далеко не все виды банковских операций. Контроль исполнения стандартов проводится только в рамках требований политики безопасности. Это позволяет корректно оценить деятельность организации. Однако здесь очень важен процесс адаптации стандарта - он также предусмотрен и регламентирован.

Кстати, к обязательности соблюдения внедряемого им стандарта Банк России подходит аккуратно, потому что финансовую систему страны нужно к этому подготовить. Резкие усилия при внедрении, с одной стороны, могут вызвать сопротивление, а с другой - затруднят деятельность организаций. Поэтому процесс растянут во времени, но итог четко определен - стандарт обязательно будет внедрен. Есть план внедрения, есть рекомендации по работе с кредитными организациями. Перегибы на местах тоже случаются, но критических масштабов они не имеют. Для урегулирования спорных ситуаций мы рекомендуем поддерживать связь с регулятором процесса - Банком России. Мы открыты для взаимодействия.

PC Week: Деятельность сообщества ABISS (в котором Банк России играет одну из ключевых ролей) направлена на развитие национальных отраслевых стандартов. А какова в таком случае в нем роль зарубежных компаний? Не возникает ли здесь коллизий?

А. К.: Считаю, что участие в ABISS таких международных компаний, как KPMG и Ernst&Yang, четче выявляет значимость поднимаемых ассоциацией проблем. В свое время специалисты этих компаний лично принимали участие в разработке базовых стандартов, в частности ISO 27001, и их деятельность внутри ассоциации усиливает методическую часть деятельности ABISS.

Что же касается бизнеса KPMG и Ernst&Yang, можно предположить, что они заинтересованы в предстоящей аудиторской работе в нашей стране, в наших компаниях, по нашим стандартам. Тем более что отечественные национальные стандарты, скорее всего, будут представлять собой адаптированные международные, с которыми эти компании имеют дело давно.

Международные стандарты являются одним из источников решений национальных задач. После их адаптации встанет вопрос признания результатов как внутри страны, так и в международном бизнесе, чтобы нашим банкам не пришлось оплачивать двойной аудит. Если банк соответствует стандарту ISO 27001, то тем самым он обозначает свой уровень соответствия международным финансовым отношениям, а для банков (и не только) это важно при взаимодействии с зарубежными партнерами. Результаты проверки на соответствие международному стандарту впоследствии можно предоставить аудитору, проверяющему соответствие национальному стандарту, и при условии корректно выполненной адаптации у аудитора будут все основания доверять предыдущей проверке при выполнении своей работы, что значительно сократит ее объем. Международные компании-аудиторы понимают выгодность сотрудничества, которое имеет обозначенные выше цели.

PC Week: Не могли бы вы рассказать о наиболее интересных недавних проектах ABISS?

А. К.: Ассоциация только начинает разворачиваться и сейчас проводит подготовку своих членов к предстоящим и текущим работам.

Думаю, что самый главный проект на сегодня связан с созданием на базе МГТУ им. Н. Э. Баумана системы обучения будущих аудиторов. После нормативного внедрения комплекса стандартов в банковскую систему страны нужно будет на его основе контролировать состояние системы ИБ финансово-кредитных организаций. Одним из методов контроля является аудит, выполненный аудиторскими и уполномоченными компаниями. Мы знакомим будущих аудиторов со всеми нюансами методик проверок и вместе с тем, опираясь на их квалификационный уровень, одновременно улучшаем сами методики. Это, пожалуй, самая главная задача ассоциации.

Что же касается отдельных проектов, то входящие в ассоциацию организации проводили частные работы как на объектах Банка России, так и в других кредитных организациях нашей страны. Об отрицательных результатах этих работ я не слышал. Задавая жесткие требования для вступления в ABISS, мы вправе верить результатам работ, проводимых ее членами. Одновременно мы настроены проверять результаты, полученные по тому же направлению деятельности организациями, не являющимися членами ассоциации.

PC Week: Благодарю за беседу.