16 марта в Москве прошел третий форум «ИТ-безопасность в финансовом секторе». Банки и финансовые организации — те, кто действительно озабочен проблемами безопасности. Это определяется, как требованиями регулирующих органов и отраслевыми стандартами, так и особенностями отрасли в целом. Тем не менее, многие вопросы безопасности, волнующие финансовые организации столь же актуальны для компаний других отраслей.

Во многих докладах была сильна отраслевая специфика — тематика конференции обязывает. Однако, обеспечение информационной безопасности — общая проблема. Угрозы и средства их преодоления не имеют отраслевой окраски.

Среди самых тяжелых для ИТ-безопасности пунктов называется — внимание со стороны руководства к вопросам ИБ. Руководство  вспоминает о безопасности после того, как что-то происходит. Пока все работает ситуация воспринимается как нормальная.

Валерий Харламов, Банк России, в своем докладе представил результаты опроса более 800 российских банков. На первом месте — действия сотрудников в рамках их полномочий. Источник угроз — сотрудники, которые делают что-то угрожающее ИТ-среде в целом, при этом строго в рамках, имеющихся у них полномочий. Слишком много сотрудников с избыточным набором прав — проблема не только финансовых организаций. Во многих компаниях сакральное знание админского пароля (*****) доводится до сотрудника в первый же день работы. Впрочем, эта угроза в опросе заняла третье место — действия сотрудников, выходящие за рамки их полномочий.

Второе место тоже отдано «штатным» угрозам ‑ сбоям и отказам технических средств. При этом злоумышленники и террористы волнуют финансовые организации намного меньше, чем неблагоприятные погодные явления.

Что с этим делать? Вот ответ Валерия Харламова: «Документация — основа наведения порядка в любой системе. Основные источники угроз — люди. Если у людей нет регламентов — ничего хорошего не будет».

Юрий Лысенко, HomeCreditBank, хорошо объяснил различие между службами ИТ и ИБ: «Задача ИТ — обеспечение доступности. Задача ИБ — обеспечение конфиденциальности». Очевидно, что часто эти задачи вступают друг с другом в конфликт и именно поэтому целесообразно разделять специалистов ИТ и ИБ.

К вопросу о непрерывности бизнеса. У банков документ по восстановлению работы бизнеса после сбоев создается в соответствии с требованиями регулирующих органов. Однако, очень часто такой документ не работает, поскольку с развитием ИТ-среды в него не вносятся необходимые изменения отражающие текущие реалии.

Ну и некоторое резюме форума от Василия Окулесского, Банк Москвы:

• Учить, лечить и защищать информацию умеют все;
• Золотой середины в информационной безопасности не бывает;
• Гром не грянет — начальник об информационной безопасности не вспомнит.

P.S. Кто из участников сообщества был на конференции? Поделитесь своими впечатлениями.

Дополнительные материалы

• Информационная безопасность, NDA и пользователи
• Основные внутренние угрозы для ИТ-среды и методы защиты
• ИТ-навыки востребованные у работодателей