Инновационный подход к управлению ИБ банка

Банковский бизнес ежедневно имеет дело с огромными массивами конфиденциальной информации, составляющей банковскую тайну. Любая ошибка в защите этих данных может привести банк к фатальным последствиям, вплоть до банкротства или отзыва лицензии. Именно поэтому в финансовом секторе традиционно уделяется огромное внимание политике информационной безопасности (ИБ).

Компания ООО «ИНФОРМЗАЩИТА-СЕРВИС» предложила рынку уникальную технологию КУБ – комплексное решение, обеспечивающее управление логическим и сетевым доступом к информационным ресурсам компании, непрерывный контроль соблюдения политики безопасности, выявление несанкционированных изменений настроек прав доступа и контроль программно-аппаратных конфигураций.

Серьезная проблема

Ни у кого из участников финансового рынка не вызывает сомнений факт, что обеспечение информационной безопасности банков – актуальная проблема, важность которой постоянно растет, о чем свидетельствует неумолимая статистика. Например, согласно исследованию аналитического центра компании InfoWatch, прямые убытки кредитно-финансовых организаций в мире от утечек информации в первом полугодии 2012 года составили более 2 млрд долларов, 24,7% которых пришлись на российские банки.

Одной из важных задач   обеспечения информационной безопасности банка является организация безопасного управления доступом к информационным ресурсам. Любой  успешный банк имеет высокий уровень автоматизации и для обеспечения своей жизнедеятельности использует большое количество различных информационных систем: автоматизированные банковские системы, ERP, CRM, СЭД, электронную почту и многие другие. Кроме того, как и в любой другой крупной организации в банке ежедневно происходит большое количество кадровых изменений, влекущих за собой необходимость изменений прав доступа к информационным ресурсам.

«Конечно, в организациях существует регламент, четко описывающий правила предоставления доступа, однако зачастую отсутствуют системы, которые бы непосредственно занимались управлением доступом, - отмечает Дмитрий Прокопенко, руководитель группы проектирования технологии КУБ.  - Кроме того, отсутствие технических средств, позволяющих контролировать соответствие согласованного доступа реально предоставленному приводит к тому, что сотрудникам службы ИБ приходится делать это визуально». В промежутках, когда проверки не осуществляются, пользователь с избыточно предоставленным ему набором прав может получить доступ к конфиденциальным данным, замести за собой следы, и никто не узнает о том, что информация была похищена. У большинства банков отсутствует процесс постоянного мониторинга соответствия согласованных и реально действующих прав.

КУБ или IDM?

Обеспечение информационной безопасности в современном банке – это комплексный процесс, в котором велика роль не только технической, но и организационной составляющей. Очень важно иметь решение, которое позволило бы осуществить тесную интеграцию технологий, процессов и людей.

К сожалению, традиционные IDM уделяют небольшое внимание вопросам контроля доступа, поскольку при создании разработчики ориентировались больше на потребности ИТ - автоматизировать процесс управления учетными записями. Технология КУБ (Комплексное Управление Безопасностью), разработанная компанией ООО «ИНФОРМЗАЩИТА-СЕРВИС», включает в себя функционал IDM, но расширяет его для полноценного решения проблем на стыке трех подразделений: бизнес, службы ИТ и ИБ.

Вот некоторые возможности КУБ, которых нет в типовых IDM:

  • Динамическое построение маршрутов и оптимизация процессов согласования заявок любого уровня сложности.
  • Непрерывный контроль соответствия согласованных и реально предоставленных полномочий пользователей. Причем этот вопрос решен на уровне архитектуры системы.
  • Хранение детализированной истории всех изменений прав, что дает в руки службы информационной безопасности инструмент оперативного расследования любых инцидентов.
  • Управление сетевым доступом, программно-аппаратными конфигурациями, СЗИ, PKI.

После внедрения КУБ в банке возникает упорядоченная система предоставления доступа, где каждое изменение имеет своего автора.

Технология для трех сторон бизнеса

Резюмируем, зачем нужна технология КУБ и что она дает каждой из сторон, включенных в процесс получения доступа к информационным ресурсам банка.

Сотрудники и руководители бизнес подразделений. Получают возможность самостоятельно, без посредников, в привычной терминологии запрашивать доступ к необходимым информационным ресурсам через удобный web-портал и получать его, избегая дополнительных согласований.

Сотрудники служб информатизации и автоматизации. Получают четкие, не требующие уточнения, инструкции к выполнению в понятной терминологии. Им не нужно тратить время на согласование заявок на доступ с руководителями смежных подразделений и службой ИБ. Возможно автоматическое исполнение инструкций. Процессы изменения прав автоматизированы, что позволяет сократить ресурсы, необходимые для поддержки информационных систем и снизить риск ошибок, связанных с человеческим фактором.

Руководитель службы информационной безопасности. Получает инструмент контроля. Он автоматически получает информацию обо всех несанкционированных изменениях прав сотрудников и программно-аппаратных конфигураций.

Интеллектуальная составляющая КУБ

Человеческий фактор был и остается самым слабым звеном информационной безопасности любого банка – об этом говорят ИТ-директора банков и специалисты в области ИБ. Ошибки людей  можно и нужно предотвращать за счет автоматизации. КУБ позволяет уже на уровне архитектуры отсекать возможные неправомерные действия нарушителей.

В процессе управления доступом КУБ создает так называемую «модель», отражающую текущие настройки всех информационных систем. После согласования заявки, КУБ может спрогнозировать, как должны измениться настройки информационных систем в соответствии с утвержденной политикой информационной безопасности. По факту любого изменения система переходит в новое состояние и фактическая модель сравнивается с прогнозируемой.

Благодаря такому подходу, процедура контроля становится по настоящему  эффективной. Изменения считаются успешно завершенными, только если реальное состояние информационной системы совпадет с моделью. В противном случае, сразу же станет понятным, что кто-то из сотрудников не выполнил всех необходимых действий или умышленно сделал что-то не так, например, дал лишний доступ к определенным информационным ресурсам.

Кому нужен КУБ?

Эксперты компании отмечают, что типовой вариант КУБ можно внедрить за очень короткие сроки – в течение нескольких недель, особенно, если политика информационной безопасности формализована и в банке разработан четкий регламент управления доступом, которому сотрудники стараются следовать, а у руководства есть понимание необходимости решать данную проблему.

КУБ обычно внедряют компании крупного и среднего бизнеса с разветвленной региональной сетью, обладающих большим количеством информационных ресурсов и систем, где хранятся данные, подлежащие обязательной защите.

Приведем выдержки из небольшого интервью представителя одного из заказчиков, главного инженера ГУ Центрального банка России по Тверской области Виктора Владимировича Людкевича:

 Мы внедрили платформу КУБ в 2009 году. И вот что изменилось у нас за это время:

  • Мы полностью ушли от бумажных заявок к электронному документообороту. За три года через систему КУБ реализовано более 80 тысяч заявок от наших 800 сотрудников.
  • 4-х уровневый процесс согласования и исполнения заявок был оптимизирован и сократился с 1-5 дней до нескольких часов. 
  • Благодаря простому и удобному интерфейсу КУБ любой сотрудник банка может самостоятельно запросить  доступ к необходимым ему ресурсам и контролировать ход выполнения заявки.
  • КУБ синхронизирован с организационно-штатной структурой Банка, что позволяет блокировать учетные записи сотрудников на время их отпусков, командировок и т.д. Это требование безопасности.
  • КУБ автоматически  контролирует соблюдение утвержденного в банке регламента и отслеживает все необходимые соответствия.