Подписной индекс 48386 защита информации Говорят специалисты ВНЕДРЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ В БАНКАХ КОМПАНИЯ АМИ ул. Куйбышева, 143г, г. Донецк, 83060 тел./факс: +380 62 385-48-88 http://ami.ua/ [email protected] Игорь Квитко, Начальник управления инфраструктурных решений компании АМИ – Игорь, какова на сегодняшний день ситуация с внедрением CУИБ в украинских банках? – На практике не все банки сразу активно включились в процесс создания СУИБ, ожидая методических рекомендаций со стороны НБУ и анализа результатов работы коллег. Это привело к тому, что сегодня во многих банках остро стоит вопрос формального приведения организационных мер информационной безопасности (ИБ) в соответствие с требованиями стандартов посредством оперативного «латания» наиболее существенных «дыр» в системе безопасности. При 42 С момента принятия постановления Национального банка Украины № 474 «О введении в действие стандартов по управлению информационной безопасностью в банковской системе Украины», обязывающего банки Украины внедрить систему управления информационной безопасностью (СУИБ), прошло уже более 2-х лет. Что успели реализовать банки за это время? Каковы причины низкой эффективности целого ряда реализованных мер? Как максимально эффективно начать реализацию СУИБ? На эти и многие другие вопросы отвечает Игорь Квитко, начальник управления инфраструктурных решений компании АМИ. этом уже доказано на практике, что формальный подход в большинстве случаев обусловливает низкую эффективность организационных мер ИБ и необходимость их последующего повторного пересмотра. Подобный способ решения вопроса не позволяет банкам быть уверенными в успешном прохождении процедур внешнего аудита в рамках процессов оценки рисков, что негативно влияло и влияет на прогнозы, а также может сказаться на ухудшении показателей рейтинга банка. Для ряда банков, которые уже начали процесс внедрения СУИБ, характерны задержки с реализацией организационных и технических мер или их низкая эффективность, что связано с изначально неверной оценкой бизнес-процессов в связи с их неполным или некорректным описанием и сложностью определения владельцев бизнес-процессов. – Какой должен быть первый шаг в процессе создания СУИБ? – Прежде всего, необходимо заручиться поддержкой руководства банка. Без понимания ТОПменеджментом важности и необходимости внедрения СУИБ, усилия, направленные на ее реализацию, будут малоэффективными, и велики риски остановки процесса создания СУИБ. И, конечно, первостепенную важность имеет правильное опреде- F+S: технологии безопасности и противопожарной защиты № 2 (62) 2013 ление владельцев бизнес-процессов банка. К критичным бизнес-процессам можно отнести следующие: управление обслуживанием физических и юридических лиц, управление рисками, управление ИТ-инфраструктурой, персоналом. – Что включает в себя процесс реализации мер ИБ? – Система управления информационной безопасностью, являющаяся частью общей системы управления банком, базируется на анализе информационных рисков и предназначена для обеспечения эффективной защиты важной для банка информации вне зависимости от вида данной информации, а также от носителя, на котором данная информация находится физически. В целом, план реализации мер информационной безопасности можно представить в виде следующей схемы (cм. рис. 1). Очень важный момент, на который хочу обратить особое внимание, – это то, что в настоящее время выполнение требований национальных стандартов не требует от украинских банков реализации в короткие сроки всех мер ИБ для каждого из направлений, будь то политика ИБ, контроль доступа, управление персоналом или непрерывность бизнеса. Тем банкам, которые в качестве основной цели создания СУИБ в соответствии с требованиями стандарта www.security-info.com.ua Говорят специалисты защита информации РИС. 1. ПЛАН РЕАЛИЗАЦИИ МЕР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НБУ видят фактическое эффективное функционирование системы, в качестве первоочередного решения мы предлагаем реализацию проекта, обеспечивающего: определение области действия СУИБ, перечня основных и вспомогательных банковских процессов, подлежащих защите; подготовку рабочей группы, проведение тренингов для персонала службы ИБ; диагностику процессов ИБ и оценку степени соответствия требованиям стандартов; планирование внедрения СУИБ, формирование базовых организационных документов СУИБ; разработку методики оценки рисков ИБ и ее проверку на пилотном наборе информационных активов. Реализация данных мер позволит оптимальным образом спланировать последующие шаги внедрения СУИБ, в том числе реализацию организационных и технических мер ИБ. Дополнительным преимуществом выбора услуг нашей компании является предоставление специалистами АМИ оценки уровня зрелости ИТинфраструктуры, обеспечивающей работу критичных для бизнеса ИТсистем, а также разработка плана проектов по совершенствованию ИТ, согласованного с планом реализации СУИБ. – Какие основные преимущества внедрения СУИБ в банке Вы бы отметили? – В результате создания СУИБ будет обеспечено соответствие процессов ИБ банка требованиям стандар- тов по управлению информационной безопасностью в банковской системе Украины. Банк будет готов к проведению проверок ИТ-рисков как составляющей технологических рисков, проводимых во время инспекционных проверок. Помимо обеспечения соответствия требованиям НБУ, отмечу следующие важные преимущества, которые получает банк при внедрении СУИБ: снижение рисков утечки конфиденциальной информации и коммерческой (банковской) тайны; обоснованные и прогнозируемые затраты на информационную безопасность; непрерывность ключевых и вспомогательных критичных бизнеспроцессов; централизованный и непрерывный контроль за состоянием ИБ; повышение степени доверия клиентов и партнеров; возможность сертификации по ISO 27001. – Расскажите о возможностях компании АМИ в области обеспечения информационной безопасности. – Компания АМИ является одним из крупнейших системных интеграторов на территории Украины. За 20 лет работы на рынке системной интеграции, АМИ приобрела большой опыт создания уникальных по своему масштабу проектов в области обеспечения информационной безопасности и предлагает полный комплекс услуг в данном направлении: от аудита информационной безопасности до проектирования и внедрения комплексных систем защиты информации (КСЗИ). Наша компания является партнером TUV SUD Ukraine – украинского филиала международной сертифицирующей организации. Свою деятельность в сфере защиты информации АМИ осуществляет на основании лицензии Государственной службы специальной связи и защиты информации Украины на выполнение работ в сфере технической защиты информации (Серия АВ №611947 от 20.04.2012 г.). – Как обеспечить успех в деле повышения уровня зрелости процессов информационной безопасности банка? – По оценкам наших специалистов, повышение уровня зрелости процессов информационной безопасности напрямую связано с уровнем знаний персонала, ответственного за ИБ и проведение внутренних аудитов. Повышение квалификации собственного персонала банка вместе с привлечением внешних консультантов, имеющих опыт создания СУИБ, позволяет максимально эффективно начать реализацию СУИБ, обеспечить понимание руководством банка необходимости внедрения СУИБ, объяснить бизнес-подразделениям цели и задачи внедрения системы, их роль в данном процессе. Данный подход также позволяет исключить возможность ошибочного понимания СУИБ как набора программных, аппаратных и организационных мер ИБ, предоставляя персоналу банка комплексное видение работы СУИБ как «системы управления». Редакционная подписка: (044) 369-51-11 43