+7 (499) 653-60-72 Доб. 417Москва и область +7 (812) 426-14-07 Доб. 929Санкт-Петербург и область

Информационная безопасность региональных банков

Информационная безопасность региональных банков

Наша беседа с директором по информационной безопасности Ассоциации ФинТех Львом Шумским была посвящена наиболее актуальным проблемам, которые возникают при взаимодействии ИТ- и ИБ-подразделений в компаниях. Как вы пришли в информационную безопасность? В 2003 году я сменил сферу деятельности, уйдя с госслужбы в ИТ. Потом, приблизительно через год, мне предложили попробовать себя в области информационной безопасности.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Вы точно человек?

ВИДЕО ПО ТЕМЕ: Информационная безопасность банков

Наша беседа с директором по информационной безопасности Ассоциации ФинТех Львом Шумским была посвящена наиболее актуальным проблемам, которые возникают при взаимодействии ИТ- и ИБ-подразделений в компаниях. Как вы пришли в информационную безопасность? В 2003 году я сменил сферу деятельности, уйдя с госслужбы в ИТ. Потом, приблизительно через год, мне предложили попробовать себя в области информационной безопасности. Я ее строил с нуля, при этом участвовал в реализации множества разноплановых и амбициозных идей, которые были у создателей проекта.

Это был один из самых ярких и увлекательных периодов в моей карьере. Одним из наиболее сложных проектов, над которым мне пришлось работать, стало создание и сертификация процессингового центра на соответствие стандарту PCI DSS. Затем была целая серия проектов, связанных с реализацией мер по соответствию нормам российского законодательства по защите персональных данных ПДн. Самым амбициозным проектом стало создание системы дистанционного банковского обслуживания для физических лиц.

Нам, команде ИБ- и ИТ-специалистов, удалось создать удобную и безопасную систему ДБО, которая получила большое количество наград и признание наших клиентов. Оно было переведено в безбумажный вид с подтверждением электронной подписью. Были реализованы проекты по повышению осведомленности пользователей, оценке защищенности инфраструктуры и ряд других. Но после того, как Роскомнадзор заблокировал мессенджер Telegram, финансирование проекта прекратилось. В стартапе я впервые столкнулся с новой для меня методологией ведения разработки Agile — это был полезный и интересный опыт, который позволил познакомится с замечательными разработчиками и технологами, получить благодаря им ценные знания.

Я занимаюсь вопросами информационной безопасности, включая экспертизу всех проектов, над которыми работает Ассоциация. Напомню, одна из ключевых целей Ассоциации ФинТех — разработка финансовых технологий и подходов к их внедрению. Сейчас, например, мы ведем работу над блокчейн-платформой Мастерчейн. Проект сложный, но в то же время очень интересный. Это первый в своем роде сертифицированный продукт: в начале октября мы получили положительное заключение ФСБ о соответствии разработанной нами платформе требованиям регулятора к СКЗИ.

Кому должны подчиняться ИТ и ИБ организационно? Есть классическое понимание того, где должна находиться служба ИБ. В небольших компаниях она может быть составной частью ИТ. Но по мере развития и роста компании ИБ должна отделяться от ИТ, поскольку чаще возникают конфликты интересов. ИТ важно, чтобы проекты стартовали как можно быстрее — даже невзиря на мелкие недоработки. ИБ же недостаточно того, чтобы система, внедренная или разработанная ИТ, просто действовала — им нужно, чтобы она была безопасной и функционировала устойчиво.

В близкой мне банковской сфере ИБ подчиняется обычно подразделению общей безопасности, несколько реже — управлению комплаенс или рисков, и очень редко — ИТ. Последнее обычно наблюдается в небольших региональных банках. Встречалось мне и такое, когда ИБ была частью службы внутреннего контроля. Бывает и полностью независимая ИБ-служба, которая подчиняется первому лицу — как правило, в крупном банке или холдинге. Как следует разрешать конфликты между разными подразделениями в процессе эксплуатации ИТ-систем и оборудования?

Конфликты возникают, я и сам через них проходил. На старте карьеры я обычно говорил, что так нельзя. На такой подход бизнес реагирует положительно, и в целом вокруг ИБ-службы возникает более позитивное реноме.

И в выстраивании отношений с бизнесом это реально помогает. Например, когда мне потребовались дополнительные ресурсы, а новую вакансию невозможно было открыть, на помощь пришел руководитель одного из бизнес-подразделений: он отдал свою вакансию в пользу ИБ, чтобы его проекты получали необходимую ИБ-поддержку.

Но в целом тут все очень сильно зависит от личности руководителя, оттого, как выстроены его коммуникации с бизнесом. Если же противопоставлять себя другим функциональным подразделениям, на хорошие результаты рассчитывать не стоит. Ведь ИБ, как и ИТ, — поддерживающее подразделение, которое генерирует затраты, а не прибыль. И это реально работает на практике. Также следует показывать и доказывать свою компетентность — тогда коллеги будут чаще прислушиваться к твоим словам и обращаться за советом.

Перевод части сервисов на аутсорсинг или внешнее облако. Как это меняет работу ИТ и ИБ? Еще лет 5-7 назад было невозможно себе представить, чтобы какие-то ИБ-сервисы будут передаваться на внешнее обслуживание, особенно если речь идет о банках.

Но жизнь диктует свои условия, и всем приходится перестраиваться. Тут большую роль играет экономическая составляющая. Сейчас далеко не каждая компания или банк может позволить себе реализовать полноценные ИТ-сервисы внутри. И оборудование, и ПО стоят дорого, важно иметь подготовленный персонал, которого на рынке не хватает. В таких условиях появление сервисов от внешних поставщиков становится отличной альтернативой и выходом из сложного положения. Мы все уже давно пользуемся облаками и даже не замечаем этого.

То же самое — мобильная экосистема Google, Apple, Microsoft. Но, тем не менее, вопрос доверия к этим сервисам остается. Такой канал рассматривают как доверенный, но именно через него в инфраструктуру и попадает вредоносное ПО в простонародье —вирус, зловред. Примерно в 2014 году мы сами столкнулись с атакой по такому сценарию, через партнеров. Тогда мы ее успешно отбили, к слову, с использованием как раз облачного сервиса.

В любом случае, сервисы надо проверять. И указывать в договорах специальные пункты, которые предусматривают все необходимые контроли. За рубежом уже давно появились документы с перечнем того, что нужно требовать от облачного провайдера для минимизации рисков. Из провайдеров услуг хотелось бы отметить Microsoft — компания очень хорошо продвинулась в организации защиты экосистемы Azure.

Взаимодействие с регуляторами. Кто должен этим заниматься? Кто это делает фактически? Тут все зависит от отрасли. И в целом банки, пожалуй, зарегулированы больше остальных.

Возможно, наряду с телекомом, где место Банка России займет Минцифры. В других сферах этот перечень будет иным. В той части, которая так или иначе касается информационной безопасности, взаимодействием с регуляторами занимался я лично. Иногда с привлечением ИТ, точнее, разработчиков. Как правило, это общение происходит на позитивной волне и конструктивно. Мы слышим друг друга и вместе вырабатываем консолидированное решение. Если говорить применительно к банковской сфере, то общаться с регулятором должны представители ИБ.

Банк России достаточно открыт и активно привлекает профессиональное сообщество к разработке нормативных документов. Это происходит внутри технических комитетов, действующих внутри Банка России. Тут особых проблем нет, главное, вносить предложения, которые обязательно рассмотрят. С какими новыми вызовами и проблемами приходиться сталкиваться в работе?

Все новое — хорошо забытое старое. В банках с большим количеством клиентов главными проблемами остаются фрод мошенничество и социальная инженерия. Мошенники развиваются, отлично владеют психологией и постоянно оттачивают манипулятивные приемы, позволяющие успешно красть деньги у людей. Например, используются методики, близкие к гипнозу, которые работают даже при отсутствии визуального контакта с жертвой.

Именно поэтому хотя памятки о том, что никому нельзя называть CVV-код на банковской корте или передавать код из СМС, висят в каждом подъезде и об этом говорят буквально из каждого утюга преступникам удается красть деньги с банковских карт. Они виртуозно меняют интонации, громкость, что позволяет добиваться необходимого эффекта, фактически управлять действиями жертвы.

Сами люди могут даже не осознавать, что они делают. Все чаще используются в таких схемах сообщения якобы от знакомых, у которых взломали из странички в соцсетях. А дальше эксплуатируются обычные человеческие эмоции: жадность, любопытство, желание помочь.

Появляются даже данные о том, что научились синтезировать голос, но это не будет массовым, и еще очень долго. Самое забавное в том, что конечные исполнители таких схем могут уже находиться в следственных изоляторах или местах лишения свободы.

При этом утечки данных, которые используют преступники, происходят, как правило, не из банков. Коллеги на Уральском форуме обратили внимание на то, что часто злоумышленники даже не знают, клиентом какого банка является их потенциальная жертва, и пытаются это определить уже в ходе разговора. В банках в последнее время с безопасностью стало заметно лучше, и Банк России ведет системную работу над тем, чтобы это направление совершенствовалось дальше.

Активно внедряются такие современные технологии, как поведенческий анализ, что позволяет с высокой долей вероятности определять подозрительные транзакции. В целом эта проблема характерна для всего мира. Чего стоит ждать в ближайшем будущем? Чего опасаться, как защищаться? Мы все больше уходим в цифровой мир. И цифровая личность вот-вот станет не фантазией киносценаристов, а реальностью. Разговоры о создании единого цифрового профиля гражданина уже идут, а это практически синонимы.

И если такие данные будут украдены, у жертв появится множество сложностей по восстановлению и возврату этой самой цифровой личности. Уже в стадии реализации находится создание единой биометрической системы.

Но тут, как мне кажется, неприятных сюрпризов не будет, она грамотно спроектирована и очень хорошо защищена. Естественно, если будут соблюдаться все условия по сбору и передаче биометрических материалов.

Askari Bank держит курс на развитие международного партнерства и привлечение внешних инвестиций. Для достижения этих целей банку важно предоставлять доказательства надежности своего бизнеса, в том числе и в области ИБ. Для построения СУИБ были выбраны типовые площадки, в которых сконцентрированы ключевые бизнес-процессы Банка.

Банки экономят на ИБ-специалистах? Алексей Доля Расходы банков на ИБ с каждым годом продолжают расти. Пытаясь защитить информацию разными средствами, банки тем не менее экономят на сотрудниках - более половины платят им меньше 1,5 тыс. Это выходит компаниям "боком": они имеют открытые ИБ-вакансии, в то время как профессионалы ищут работу.

Первая СУИБ в банковской отрасли Пакистана построена российским интегратором

Всероссийская конференция "Информационная безопасность. Региональные аспекты. Более чем за 10 лет конференция стала де-факто ежегодным съездом профессионалов по информационной безопасности России. За прошедшие годы свыше 1500 делегатов приняло участие в конференции, среди которых высшее руководство и специалисты государственных и коммерческих организаций, научных учреждений и общественных объединений. В конференции традиционно принимают участие представители федеральных органов государственной власти, законодательных, контролирующих и регулирующих структур Российской Федерации.

Компромисс бюджета и информационной безопасности

CNews: Какие секторы отечественного рынка ИБ растут сегодня, на ваш взгляд, наиболее динамично? Что стимулирует этот рост? Конечно, в первую очередь это связано с достаточно жесткими требованиями нового закона о персональных данных. Нельзя сказать, что только введение различных отечественных и международных стандартов является мотивирующим фактором для роста рынка ИБ, но на сегодняшний день, однозначно, это самый ярко выраженный фактор. К сожалению, таких компаний в России крайне мало. Не могли бы вы рассказать подробнее о нем и целях его работы?

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Семинар по Информационной безопасности банков. Часть 1
Игорь к.

В числе более чем 400 ее участников были руководители регулирующих органов, первые лица и ведущие IT- специалисты крупных промышленных предприятий и компаний, представители различных ветвей центральной и региональной власти. Седьмой год конференции отмечен значительным повышением ее статуса: теперь в качестве ее организатора выступает Совет безопасности Российской Федерации. Работа конференции была построена по уже стандартной схеме: в первый день — пленарное заседание с вступительным словом председателя, помощника секретаря Совета безопасности РФ Владислава Шерстюка, обзорные доклады, выступления спонсоров, награждения. Затем — секционные заседания и круглые столы, а главное — встречи участников в кулуарах, которые, по общему мнению, составляют одну из наиболее привлекательных сторон конференции. Такие речи сегодня слабо воспринимаются. Например, у нас в банке внедрен тайм-менеджмент, и на совещаниях пустым выступлениям нет места. А здесь пришлось сидеть и слушать 3040 минут то, на что хватило бы и 10 минут. Хотелось бы, чтобы организаторы подходили к этому вопросу строже. Самому же Андрею Ерину было чем поделиться с коллегами. С 1 июля здесь начали использовать для управления доступом клиентов к услугам банка так называемые токены — микрокомпьютеры, позволяющие эффективно защитить счета клиентов от несанкционированного доступа.

Страница не найдена

.

.

.

Согласно программе, информационная безопасность стала одним из и регионов, обеспечения безопасности банковских платежей и.

Банк «Открытие» презентует Индекс цифровизации бизнеса

.

Информационная безопасность

.

An error occurred.

.

Не стать блокирующим звеном

.

Общее. Обзор событий ИБ на Кубани

.

.

Комментарии 5
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. laycatiti93

    А вот мне сегодня не прет совсем, проиграл в казино и забыл в такси зонт :) ничего прорвемся

  2. greatectovi93

    Отлично написано. Позитива конечно не хватает, но читал на одном дыхании

  3. Конкордия

    Штото интересная новость. Вот я тоже как то об этом думал

  4. Изабелла

    Мне не ясно.

  5. Тамара

    СУПЕР-сказка!

© 2019 ct-tron.ru