Лев ШУМСКИЙ: «Риск — величина непостоянная»
Маргарита Суворова, banki.ru
В текущем году Русь-Банк внес существенные изменения в систему безопасности дистанционного обслуживания своих клиентов. Подробности внедренного проекта в интервью порталу Банки.ру осветил Лев ШУМСКИЙ, заместитель начальника управления инфраструктуры департамента информационных технологий Русь-Банка.
У вас в банке завершена реализация проекта по созданию системы безопасности комплекса дистанционного банковского обслуживания (ДБО). Расскажите о нем посетителям нашего сайта, пожалуйста.
Думаю, что говорить о данном проекте как о создании системы безопасности только комплекса ДБО не совсем правильно. Такая система существовала и раньше. Прежде всего это был интеграционный проект. Нам было необходимо создать фундамент для построения комплексной системы информационной безопасности (ИБ) банка, полностью отвечающей требованиям стандарта ЦБ РФ и обеспечивающей возможность использования современных технологий защиты информации. Ключевой задачей проекта было выполнение основных требований стандарта Банка России СТО БР-ИББС 1.0 в части организации управления доступом, регистрации, назначения и распределения ролей и создание конкурентных преимуществ для нашего банка. Одними из положительных эффектов такого подхода в итоге стали значительное снижение рисков при работе клиентов с системой ДБО и повышение привлекательности наших дистанционных услуг.
Насколько серьезными были риски?
Риски нарушения информационной безопасности не являются величинами постоянными. Это связано с постоянным появлением новых технологий, которые берут на вооружение злоумышленники, возникновением новых уязвимостей и новых сценариев атак. В данной ситуации очень легко недооценить какой-либо риск и возможный ущерб от него. Поэтому мы крайне серьезно относимся к вопросам нивелирования всех возможных рисков, стараемся оперативно прорабатывать контрмеры применительно к появляющимся угрозам нашим информационным ресурсам.
Еще совсем недавно использование криптографических средств для защиты информации считалось вполне достаточной защитной мерой. Однако действия злоумышленников доказали, что этого мало, необходимо также выполнять мероприятия по защите криптографических средств, в первую очередь ключей. Проведенный нами анализ показал, что, правильно построив систему управления криптографическими ключами и приняв адекватные меры по их защите, мы сможем снизить целую группу рисков, связанных с получением несанкционированного доступа к криптографическим ключам.
Были прецеденты с клиентами вашего банка?
К счастью, нет. Мы успевали предотвращать конфликты за счет «ручной» работы бухгалтеров, которые блокировали и перепроверяли нетипичные для конкретного клиента платежи. Однако продолжаться так долго не могло. С ростом клиентской базы число таких платежей возрастало, и рано или поздно наверняка возникли бы ситуации, которые могли привести к финансовым потерям. Мы предпочли не учиться на своих ошибках, тем более что информация, поступавшая к нам из различных источников, свидетельствовала о том, что потери могут быть весьма значительными.
Какие цели ставились перед участниками проекта системы информационной безопасности Русь-Банка?
Как я уже отмечал, основной целью проекта было построение прочного фундамента для создания комплексной системы информационной безопасности, которая отвечала бы современным требованиям и стандартам. Внедрение современных технологий и интеграция большого количества различных систем позволили попутно решить и бизнес-задачу получения дополнительной прибыли.
Что сейчас представляет собой развернутый комплекс?
Запущенный в эксплуатацию комплекс основан на программном продукте «Аванпост», разработанном компанией «Технологии развития бизнеса». Он позволил нам комплексно внедрить технологии информационной безопасности в области доступа к информационным ресурсам, как при прямом обращении, так и через терминальные сессии. Были решены задачи развертывания корпоративной инфраструктуры открытых ключей, системы управления идентификацией и доступом, обеспечен безопасный доступ мобильных пользователей к централизованным информационным ресурсам банка. Ядро комплекса взаимодействует с кадровой системой и CRM, что позволяет получать наиболее достоверную информацию о сотрудниках и клиентах банка. При этом осуществляется синхронизация данных, получаемых из вышеуказанных систем, с информацией, хранимой в учетных записях в AD, Oracle, SQL и др. Автоматизация фактически всех бизнес-процессов, связанных с организацией доступа, и встроенная система электронного документооборота способствовали значительному сокращению количества возможных ошибок и снижению нагрузки на специалистов, решающих вопросы предоставления доступа к информационным системам.
Выбор платформы для реализации проекта был осуществлен после изучения рынка, общения с коллегами, которые данное решение уже внедрили у себя в банках. Надо сказать, что в выборе мы не ошиблись — использование ПК «Аванпост» позволило выполнить все наши требования к системам управления доступом, регистрации, назначения и распределения ролей. Кроме того, удалось реализовать проект в достаточно короткие сроки. Он стартовал в декабре 2009 года, к маю 2010-го были завершены все технические работы, а с 31 августа мы приступили к вводу системы в промышленную эксплуатацию во всех филиалах банка.
Сложно ли было убедить руководство в необходимости этого проекта?
На получение одобрения проекта ушло полгода. За это время был осуществлен пилотный проект, который позволил оценить эффективность, удобство и правильность выбранных нами решений. Немаловажным фактором стало и то, что в ходе реализации пилота мы увидели возможность оптимизации бизнес-процессов системы ДБО. Применение современных технологий позволило сократить количество визитов клиентов в банк и упростить процедуры их подключения к системе. Как показала жизнь, наши расчеты полностью подтвердились.
Как вы выбирали исполнителя проекта — компанию Aladdin?
Мы провели исследование рынка, пообщались с коллегами из других банков, а также специалистами компании «Крипто-Про», на решении которой базируется наш удостоверяющий центр. Кроме того, мы проанализировали представленные на рынке защищенные носители, оценили их производителей с точки зрения количества подобных отраслевых внедрений, качества техподдержки, наличия сертификата ФСТЭК и т. д. Все эти работы мы выполняли собственными силами, без привлечения сторонних исследовательских организаций.
Сталкивались ли вы с конфликтными ситуациями во время реализации проекта?
Если бы нам приходилось конфликтовать, то вряд ли бы мы уложились в столь короткие сроки. Естественно, при реализации любого крупного проекта иногда возникают ситуации, когда приходится обосновывать правильность принимаемых решений специалистам смежных подразделений. Зачастую это связано с тем, что у коллег нет технического образования и им не всегда очевидны некоторые аспекты: зачем нужны те или иные решения, для чего. Тесная работа со всеми подразделениями банка, задействованными в проекте, дала нам возможность постепенно прийти к общему пониманию необходимых изменений. Ведь часть из них осуществлялась в целях выполнения рекомендаций ЦБ РФ, изложенных в стандарте СТО БР ИББС, требований ФСБ по эксплуатации криптосредств и нормативов других регуляторов. В целом сложившаяся рабочая обстановка позволила оперативно и качественно решать возникающие задачи, что свидетельствует о высоком профессионализме наших банковских специалистов.
Какие советы вы могли бы дать тем, кто еще только думает о подобном внедрении?
Во-первых, не откладывать такие проекты в долгий ящик. В вопросах обеспечения информационной безопасности стоит только упустить время — и вероятность ущерба для организации многократно возрастает. Во-вторых, нужно подготовить для руководства достаточно веские обоснования необходимости проекта. В-третьих, обратить пристальное внимание на техническую часть. Интеграция большого количества систем и приложений — процесс непростой. В нашем случае все прошло удачно, что стало результатом очень серьезной работы по выбору интеграционной прослойки, которая позволила нам «скрестить ужа и ежа». Ну и наконец, надо понимать и готовиться к тому, что предстоит большая оргработа, связанная с подготовкой новых регламентов, технологических процессов, инструкций и т. д. А для этого необходимо наладить коммуникации практически со всеми подразделениями банка.