Аналитика и комментарии
КУБ - новый подход к управлению информационной безопасностью банка
Банковский бизнес ежедневно имеет дело с огромными массивами конфиденциальной информации, составляющей банковскую тайну. Любая ошибка в защите этих данных может привести банк к фатальным последствиям, вплоть до банкротства или отзыва лицензии. Именно поэтому в финансовом секторе традиционно уделяется огромное внимание политике информационной безопасности (ИБ).
Компания ТрастВерс, входящая в холдинг «Информзащита», предложила рынку уникальную технологию КУБ - комплексное решение, обеспечивающее управление логическим и сетевым доступом к информационным ресурсам компании, непрерывный контроль соблюдения политики безопасности, выявление несанкционированных изменений настроек прав доступа и контроль программно-аппаратных конфигураций.
СЕРЬЕЗНАЯ ПРОБЛЕМА
Ни у кого из участников финансового рынка не вызывает сомнений тот факт, что обеспечение информационной безопасности банков - актуальная проблема, важность которой постоянно растет, о чем свидетельствует неумолимая статистика. Например, согласно исследованию аналитического центра компании InfoWatch прямые убытки кредитно-финансовых организаций в мире от утечек информации в первом полугодии 2012 года составили более двух миллиардов долларов, 24,7% которых пришлись на российские банки.
Одной из важных задач обеспечения ИБ банка является организация безопасного управления доступом к информационным ресурсам. Любой успешный банк имеет высокий уровень автоматизации и для обеспечения своей жизнедеятельности использует большое количество различных информационных систем: автоматизированные банковские системы, ERP, CRM, СЭД, электронную почту и многие другие. Кроме того, как и в любой другой крупной организации, в банке ежедневно происходит большое количество кадровых изменений, влекущих за собой необходимость изменений прав доступа к информационным ресурсам.
«Конечно, в организациях существует регламент, четко описывающий правила предоставления доступа, однако зачастую отсутствуют системы, которые бы непосредственно занимались управлением доступом, - отмечает руководитель группы проектирования системы КУБ Дмитрий Прокопенко. -Кроме того, отсутствие технических средств, позволяющих контролировать соответствие согласованного доступа реально предоставленному приводит к тому, что сотрудникам службы ИБ приходится делать это визуально». В промежутках, когда проверки не осуществляются, пользователь с избыточно предоставленным ему набором прав может получить доступ к конфиденциальным данным, замести за собой следы, и никто не узнает о том, что информация была похищена. У большинства банков отсутствует процесс постоянного мониторинга соответствия согласованных и реально действующих прав.
КУБ ИЛИ IDM?
Обеспечение информационной безопасности в современном банке - это комплексный процесс, в котором велика роль не только технической, но и организационной составляющей. Очень важно иметь решение, которое позволило бы осуществить тесную интеграцию технологий, процессов и людей.
К сожалению, традиционные IDM уделяют небольшое внимание вопросам контроля доступа, поскольку при создании разработчики ориентировались больше на потребности ИТ - автоматизировать процесс управления учетными записями. Технология КУБ (Комплексное Управление Безопасностью), разработанная компанией ТрастВерс, включает в себя функционал IDM, но расширяет его для полноценного решения проблем на стыке трех подразделений: бизнес, службы ИТ и ИБ.
ВОТ НЕКОТОРЫЕ ВОЗМОЖНОСТИ КУБ, КОТОРЫХ НЕТ В ТИПОВЫХ IDM:
■ динамическое построение маршрутов и оптимизация процессов согласования заявок любого уровня сложности;
■ непрерывный контроль соответствия согласованных и реально предоставленных полномочий пользователей, причем этот вопрос решен на уровне архитектуры системы;
■ хранение детализированной истории всех изменений прав, что дает в руки службы информационной безопасности инструмент оперативного расследования любых инцидентов;
■ управление сетевым доступом, программно-аппаратными конфигурациями, СЗИ, PKI.
После внедрения КУБ в банке возникает упорядоченная система предоставления доступа, где каждое изменение имеет своего автора.
ТЕХНОЛОГИЯ ДЛЯ ТРЕХ СТОРОН БИЗНЕСА
Резюмируем, зачем нужна технология КУБ и что она дает каждой из сторон, включенных в процесс получения доступа к информационным ресурсам банка.
■ Сотрудники и руководители бизнес-подразделений получают возможность самостоятельно, без посредников, в привычной терминологии запрашивать доступ к необходимым информационным ресурсам через удобный web-портал и получать его, избегая дополнительных согласований.
■ Сотрудники служб информатизации и автоматизации получают четкие, не требующие уточнения инструкции к выполнению в понятной терминологии. Им не нужно тратить время на согласование заявок на доступ с руководителями смежных подразделений и службой ИБ. Возможно автоматическое исполнение инструкций. Процессы изменения прав автоматизированы, что позволяет сократить ресурсы, необходимые для поддержки информационных систем, и снизить риск ошибок, связанных с человеческим фактором.
■ Руководитель службы информационной безопасности получает инструмент контроля. Он автоматически получает информацию обо всех несанкционированных изменениях прав сотрудников и программно-аппаратных конфигураций.
ИНТЕЛЛЕКТУАЛЬНАЯ СОСТАВЛЯЮЩАЯ КУБ
Человеческий фактор был и остается самым слабым звеном информационной безопасности любого банка - об этом говорят ИТ-директора банков и специалисты в области ИБ. Ошибки людей можно и нужно предотвращать за счет автоматизации. КУБ позволяет уже на уровне архитектуры отсекать возможные неправомерные действия нарушителей.
В процессе управления доступом КУБ создает так называемую модель, отражающую текущие настройки всех информационных систем. После согласования заявки КУБ может спрогнозировать, как должны измениться настройки информационных систем в соответствии с утвержденной политикой информационной безопасности. По факту любого изменения система переходит в новое состояние, и фактическая модель сравнивается с прогнозируемой.
Благодаря такому подходу процедура контроля становится по-настоящему эффективной. Изменения считаются успешно завершенными, только если реальное состояние информационной системы совпадет с моделью. В противном случае сразу же станет понятным, что кто-то из сотрудников не выполнил всех необходимых действий или умышленно сделал что-то не так, например, дал лишний доступ к определенным информационным ресурсам.
КОМУ НУЖЕН КУБ?
Эксперты компании ТрастВерс отмечают, что типовой вариант КУБ можно внедрить за очень короткие сроки - в течение нескольких недель, особенно если политика информационной безопасности формализована и в банке разработан четкий регламент управления доступом, которому сотрудники стараются следовать, а у руководства есть понимание необходимости решать данную проблему.
КУБ обычно внедряют компании крупного и среднего бизнеса с разветвленной региональной сетью, обладающие большим количеством информационных ресурсов и систем, где хранятся данные, подлежащие обязательной защите.
ЧТО ЖДАТЬ ОТ ВНЕДРЕНИЯ КУБ?
Приведем выдержку из интервью представителя одного из заказчиков ТрастВерс - главного инженера ГУ Центрального банка России по Тверской области Виктора Владимировича Людкевича.
Мы внедрили платформу КУБ в 2009 году. И вот что изменилось у нас за это время:
■ мы полностью ушли от бумажных заявок к электронному документообороту, за три года через систему КУБ реализовано более 80 тысяч заявок от наших 800 сотрудников;
■ уровневый процесс согласования и исполнения заявок был оптимизирован и сократился с 1-5 дней до нескольких часов;
■ благодаря простому и удобному интерфейсу КУБ любой сотрудник банка может самостоятельно запросить доступ к необходимым ему ресурсам и контролировать ход выполнения заявки;
■КУБ синхронизирован с организационно-штатной структурой банка, что позволяет блокировать учетные записи сотрудников на время их отпусков, командировок и т.д. - это требование безопасности;
■ КУБ автоматически контролирует соблюдение утвержденного в банке регламента и отслеживает все необходимые соответствия.