«Банковские технологии»: Процесс учета ключевых носителей и средств криптографической защиты в любом банке является своего рода «головной болью» службы безопасности и IT-департамента. Какие наиболее актуальные проблемы существуют в этой области?
Александр Санин: Сейчас любой крупный банк предоставляет услуги дистанционного банковского обслуживания (ДБО). Этот вид обслуживания клиентов уже стал массовым. А, как известно, с точки зрения IT и ИБ, система ДБО это не что иное, как элемент PKI-инфраструктуры. Управление этой системой должно быть безопасным и контролируемым. Кроме того, существуют определенные законодательные требования к процессу учета ключевых носителей и средств криптографической защиты, которые накладывают различные регуляторы, в первую очередь ФСБ и Центральный банк РФ.
Олег Волков: Услуга дистанционного банковского обслуживания подразумевает идентификацию пользователя и подпись платежных документов. Каждый банк, обладающий собственной системой ДБО, вынужден выпускать сертификаты, подтверждающие подлинность ключей, и управлять ими в дальнейшем. Этот процесс не всегда легко контролировать, так как, во-первых, пользователи ДБО могут переходить из банка в банк, во-вторых, могут меняться реквизиты и целый ряд других параметров.
Учитывать выданные цифровые подписи и ключи становится сложно. Но необходимость жесткого учета ключевых носителей (токенов, смарт-карт) диктуется государством. Суть проблемы - сложность управления оборотом ключевых носителей в банковской организации. Ведь иногда ключи теряются, или уволившийся сотрудник забирает ключ с собой, то есть в какой-то момент процесс становится неуправляемым, что с точки зрения информационной безопасности порождает для банка вполне определенные риски.
А. С.: Если говорить о ДБО, то в этой системе контролировать состояние защищенности довольно сложно, так как масштаб этой области постоянно меняется. Если у банка, к примеру, тысяча клиентов, то неавтоматизированный контроль, хотя и очень трудоемкий, еще возможен. Но когда количество клиентов в системе ДБО достигает 70 или 100 тысяч, контролировать уровень информационной безопасности можно только автоматизировано. ФСБ, как правило, периодически проверяет эффективность этого контроля, и, если он не соответствует требованиям, банк может потерять лицензию на использование криптографических средств защиты. Думаю, последствия такой потери вполне очевидны. Еще одна составляющая проблемы -- для служб безопасности очень важен фактор подконтрольности и учета, а также его прозрачности для органов государственного регулирования в случае проверки.
О. В.: Когда мы изучили потребности рынка, стало очевидно, что у многих банков есть вполне определенная потребность в автоматизации такого учета. Рассмотрев эту проблему со всех сторон, мы начали поиск универсального решения, которое бы не только автоматизировало учет ключевых носителей, но и позволило банку развивать направление управления идентификацией. Мы изучили рынок и остановились на программном комплексе (ПК) «Avanpost».
Этот продукт действительно универсален, так как позволяет решить сразу две проблемы - оптимизировать управление инфраструктурой открытых ключей и управление идентификацией и правами доступа. Сейчас мы заключили партнерское соглашение с его разработчиком - компанией «Аванпост» и видим, что интерес к этому решению довольно высок, причем не только в банковском сегменте.
«Б. Т.»: Александр, ваша компания вышла на рынок относительно недавно. Расскажите, пожалуйста, каковы принципы ее работы?
А. С.: Наша компания является классической компанией-вендором. Количество наших партнеров со стороны IT- и ИБ-интеграторов неуклонно растет, и уже есть круг компаний, которые обладают существенными компетенциями по нашему продукту. В частности, компания «Гелиос информационные технологии» - один из наших ключевых партнеров, который уже завершил несколько проектов по внедрению нашего продукта. Хочу отметить, что уже с первых недель совместной работы стало очевидно, что эта компания обладает очень серьезными экспертизами, и мы надеемся на длительное плодотворное сотрудничество.
«Б. Т.»: Сколько времени в среднем занимает проект? Что получает в результате банк, какие задачи оказываются решенными?
А. С.: Очень важно, чтобы решение, которое получает заказчик, было достаточно легким, не требующим длительного внедрения. И я считаю, что нам удалось достичь этой цели при его разработке. Практика показывает, что внедрение решений «Avanpost» занимает порядка двух-трех месяцев.
О. В.: Добавлю, что его внедрение не требует никаких дополнительных операционных затрат. Этот инструмент хорошо интегрируется в имеющуюся инфраструктуру, при этом не надо выделять отдельные ресурсы - управление и контроль может осуществлять администратор службы информационной безопасности.
А. С.: Банк на практике получает реальное сокращение бумажного документооборота и трудозатрат. Хочу заметить, что наш продукт разработан бывшими специалистами банка, которым в свое время пришлось решать задачу автоматизации службы информационной безопасности, поэтому, создавая его, они учитывали банковскую специфику. В комплекс входит несколько модулей, которые решают разные задачи. Ключевой функционал содержится в модулях Avanpost IDM» (управление идентификационными данными) и «Avanpost PKI» (управление работой с ключевыми носителями). У заказчиков востребованы также модули «Avanpost SSO» (модуль однократной идентификации) и «Avanpost SeS» (модуль контроля действий пользователя).
Важно отметить, что продукт имеет понятную экономику: в среднем проекте окупаемость наступает примерно через 9-12 месяцев. Нашим заказчикам мы предоставляем удобный механизм для расчета этого периода, что упрощает процесс обоснования необходимости его приобретения перед руководством.
О. В.: Мы видим большой потенциал этого продукта и для других сегментов бизнеса, в частности, к нему уже проявляют интерес и госорганы, и предприятия энергетики и промышленности. В целом я могу сказать, что мы рассматриваем «Avanpost» как наиболее удобный и эффективный инструмент управления информационной безопасностью в организации.
Агунда Алборова
Популярность облачных сервисов растет, ими пользуются и конечные пользователи, и компании самого разного размера, и даже госструктуры. Соответственно растет «цена ошибки» — стоимость последствий несанкционированного проникновения в систему, утечки и порчи данных и т. д. И сообщения о взломах учетных записей социальных сетей, на серверах электронной почты или в других сервисах появляются все чаще.
Для рынка систем IDM (Identity Management), на котором работает наша компания, 2012 год стал переломным. Напомню, что такие системы помогают организовать удобный и безопасный доступ сотрудников к информационным системам компании, автоматизировать бизнес-процессы и рутинные операции по управлению доступом и, соответственно, практически исключают угрозы, связанные с «человеческим» фактором.