Без чего сегодня невозможно построение технологически защищенного банка, и почему для некоторых классов решений в области безопасности на российском рынке практически отсутствует какая-либо продукция вендоров?
1. Как, на ваш взгляд, меняются требования к технологиям информационной безопасности со стороны банков? Сформулируйте, пожалуйста, топ-5 главных требований к ИБ банка на сегодняшний день.
Отвечает Олег Губка, директор департамента по работе с клиентами компании «Аванпост»
На мой взгляд, топ-5 главных направлений ИБ выглядит так (по убыванию приоритета):
Реализация требований федеральных законов, регулирующих организаций и международных стандартов. В качестве примеров федеральных законов можно выделить 152-ФЗ «О персональных данных» и 63-ФЗ «Об электронной подписи», требований регулирующих органов – стандарты Центрального банка и Положение по защите платежных операций 382-П, международный стандарт по защите данных платежных карт PCI DSS.
Обеспечение базовой безопасности ИТ-инфраструктуры: антивирусная защита и сетевая безопасность.
Управление доступом. В последнее время активно развивается направление автоматизации процессов управления доступом (IDM).
Обеспечение юридически значимого документооборота посредством применения электронной подписи.
Защита от утечек конфиденциальной информации (DLP).
2. Каким, на ваш взгляд, должен быть «джентльменский набор» средств безопасности для банковской ИТ-инфраструктуры в целом?
Отвечает Олег Губка, директор департамента по работе с клиентами компании «Аванпост»
За последнее время классический набор средств ИТ-безопасности не сильно изменился. Такой набор, как правило, не зависит от размера ИТ-инфраструктуры и актуален для всех организаций, независимо от принадлежности к отрасли. Такие средства можно распределить по следующим направлениям:
антивирусная защита;
межсетевые экраны;
VPN (если ИТ-инфраструктура распределенная);
аутентификация и разграничение доступа (как правило, встроены
в операционные системы и бизнес-приложения).
Какие каналы утечек требуют повышенного внимания служб ИБ (кража/потеря устройства, мобильные устройства, съемные носители, электронная почта, бумажные носители, др.)? Расположите в порядке рейтинга по важности.
Работая над данной статьей, я решил посмотреть на реализацию централизованной базы данных прав доступа с разных сторон и посвятить статью не только снижению типовых рисков информационной безопасности, но и тренду развития технологий такого хранилища, как с точки зрения исторической ретроспективы, так и исходя из зрелости и размеров ИТ-инфраструктуры.