29 мая руководители ИТ и ИБ крупнейших уральских банков встретились в столице Урала за бизнес-завтраком, организованном компанией CIFT и Уральским Центром Систем Безопасности. В фокусе обсуждения оказались два актуальных стандарта информационной безопасности – Стандарт Банка России и стандарт защиты информации в индустрии платежных карт PCI DSS.
Вооруженная охрана, пуленепробиваемые окна, бронированные двери, сейфовые хранилища… Повышенные меры безопасности в банках, казалось бы, исключают возможность любого незаконного проникновения. Однако в информационную эру гораздо более разорительными для банковского бизнеса могут оказаться незримые угрозы ИБ. Не секрет, что банковские серверы, сайты и другие информационные ресурсы – излюбленная мишень для хакерских атак, а частные данные держателей счетов и платежных карт представляют большой интерес для финансовых мошенников. Все это диктует необходимость обеспечения гораздо более высокого уровня информационной безопасности, чем в любой другой отрасли. Именно поэтому банковский сектор сегодня является лидирующим среди всех остальных отраслей – как по зрелости информационных систем, так и по наличию нормативных актов в области обеспечения ИБ.
Повышение уровня ИБ российских банков до соответствия международным требованиям – общая цель двух актуальных стандартов в области обеспечения информационной безопасности – Стандарта Банка России СТО БР ИББС-1.0, который рекомендован к внедрению Центробанком и, вероятно, в ближайшее время станет обязательным, и PCI DSS – де юре обязательного для всех организаций, работающих с платежными картами в регионе СEMEA, в том числе, и в России.
29 мая в Екатеринбурге состоялся бизнес-завтрак, экспертами на котором выступили специалисты CIFT, осуществляющие аудит на соответствие Стандарту Банка России, и консультанты Уральского Центра Систем Безопасности, проводящие подготовку к проведению аудита PCI DSS.
Особенностям и практике внедрения Стандарта Банка России посвятил свой доклад заместитель начальника Департамента обеспечения информационной безопасности CIFT Дмитрий Истомин, который открыл бизнес-завтрак. В рамках обсуждения Дмитрий предложил участникам произвести экспресс-оценку уровня ИБ в своих банках в соответствии со Стандартом ЦБ. Это позволило коллегам соотнести требования Стандарта, который планируется в ближайшее время сделать обязательным, с реальным уровнем ИБ в банке.
«Специалисты единодушны в том, что Стандарт ЦБ, разработанный на основе ISO 27001, является самым зрелым и актуальным из всех российских документов, в том числе ГОСТов, в сфере управления ИБ на предприятии. Фактически в Стандарте описан управленческий подход к организации системы менеджмента ИБ, где под ИБ понимается обеспечение непрерывности бизнеса. Таким образом, этот стандарт ориентирован на топ-менеджеров, так же как и стандарт обеспечения качества ИСО 9000. С ноября 2004 года стандарт предлагается к внедрению во всех коммерческих банках, и хотя пока это не является обязательным требованием ЦБ, эксперты спорят лишь о сроках перевода стандарта в разряд обязательных. Есть мнение, что стандарт будет обязательным уже в 2008 году» -отмечает Дмитрий Истомин.
Банки, успешно прошедшие аудит на соответствие Стандарту ЦБ, отмечают, что Стандарт является серьезным подспорьем в снижении рисков, связанных с использованием информационных технологий, а также хорошим инструментом для контроля работы подразделений и выявления недобросовестных сотрудников (инсайдеров).
«Этот бизнес-завтрак безусловно полезен, его КПД для всех участников гораздо выше, чем у других мероприятий подобной тематики. Банки продемонстрировали интерес к внедрению Стандарта Банка России, они показали, что эта тема важна для них» – подвел итог выступлению Дмитрия Истомина эксперт встречи, начальник отдела ТЗИ Главного управления безопасности и защиты информации по Свердловской области Банка России Сергей Разжигаев.
Основные области контроля и требования безопасности в рамках стандарта PCI DSS (Payment Card Industry Data Security Standard), анализ существующих несоответствий информационных систем и способы их устранения были раскрыты в докладах других экспертов встречи – генерального директора Уральского Центра Систем Безопасности Андрея Антипинского и директора департамента информационной безопасности УЦСБ Валентина Богданова.
Разработанный в 2004 году набор требований к безопасности данных – стандарт защиты информации в индустрии платежных карт PСI DSS, объединил в себе рекомендации ряда программ по безопасности таких платежных систем, как VISA, MasterCard, American Express и Discover Card. Изначально стандарт внедрялся на территории США и Западной Европы, но с сентября 2006 года был введен как обязательный на территории стран CEMEA, в том числе, и в России. PCI DSS распространяется на всех, кто передает, обрабатывает и хранит данные держателей платежных карт. До конца 2008 года эти компании должны пройти процедуру аудита на соответствие требованиям стандарта и предоставить результаты тем платежным системам, с которыми они работают. Каждая компания (или банк) в индивидуальном порядке уведомляется международной платежной системой о сроках прохождения аудита. Если компания в них не укладывается и не соответствует требованиям стандарта, на нее могут быть наложены штрафные санкции.
Встреча стала еще одним подтверждением тому, что сегодня перед банками стоят общие цели и задачи в сфере обеспечения информационной безопасности. "Я являюсь руководителем бизнес-направления в Банке, и моя задача - видеть проблемы и «подводные камни», которые ещё только появляются на горизонте, но могут стать преградой или тормозом в поступательном развитии бизнеса. Именно по этой причине мне безусловно важно и интересно посещать подобные мероприятия, это помогает планировать дальнейшую работу со своими ИТ и ИБ-службами" - комментирует один их участников мероприятия, начальник Управления банковских карт ОАО «СКБ-Банк» Виталий Копысов. "Все доклады мне понравились, и сегодня на бизнес-завтраке озвучены темы, действительно важные и интересные. Я впервые присутствую на мероприятии, где обсуждается тема применения стандартов PCI DSS, мне было интересно обсудить это с коллегами и выслушать разные точки зрения. Кроме того, здесь присутствует представитель Банка России, поясняет, что ждет нас в будущем, поэтому мы знаем, к чему готовиться".
Как отметил генеральный директор Уральского Центра Систем Безопасности Андрей Антипинский, «актуальность мероприятия очень высока – это видно по живой реакции зала. Вопросы, которые мы обсудили, касаются очень многих аспектов – не только организационных, но и технических. Такой формат проведения мероприятий очень удачен, так как это дает возможность людям открыто в кругу коллег обсудить все тонкие моменты реализации требований в области информационной безопасности».
Эту особенность встречи оценила и Марина Усова, региональный представитель Kaspersky Lab в Уральском Федеральном округе: «Живое общение захватывает, и видно, что людям интересно. Уровень докладчиков очень высокий. Следует проводить побольше подобных мероприятий».
Очевидно, Россия переходит на международные стандарты в области ИБ, и с введения Стандарта ЦБ, разработанного на основе ISO 27001, а также стандарта защиты информации, в индустрии платежных карт PCI DSS этот процесс начался.