FinSec: Информационная безопасность финансовых организацийНазад
FinSec: Информационная безопасность финансовых организаций
По итогам работы участники предложили сделать конференцию ежегодной.
Значительное внимание на форуме было уделено защите персональных данных. Об этой проблеме говорил Михаил Емельянников, заместитель коммерческого директора НИП "Информзащита". Комментируя современные законодательные нормы, он указал на то, что необходимо пересмотреть многие договора с работниками и клиентами, заключенные ранее, особенно в той части, которая касается обработки персональных данных и их распространения.
Информационная безопасность в первую очередь требует принятия соответствующих мер и организационных решений со стороны руководства банка. Эта задача решается путем создания соответствующих процедур и политик. Александр Велигура, председатель комитета по информационной безопасности Ассоциации российских банков, привел ряд международных стандартов информационной безопасности, введенных в России в последние годы, а также рассказал о комплексе стандартов и рекомендаций по стандартизации, разработанных Банком России.
Андрей Грициенко, начальник Службы информационной безопасности Банка "Возрождение" рассказал о том, как создавался собственный удостоверяющий центр (УЦ) банка. Основная выгода при наличии собственного УЦ - экономическая. Действительно, сертификат ключа подписи (СКП), выпущенный чужим УЦ, обходится в $100 - $250, в то время как стоимость самостоятельного выпуска СКП составляет величину порядка $10 при большом количестве выпущенных сертификатов. Статистика банка "Возрождения" показывает, что количество СКП, выпускаемых ежемесячно, увеличилось с 500 в 2005 году до 4000 в 2008 году, т.е. затраты на организацию УЦ себя быстро оправдали. В продолжении этого доклада Александр Широков говорил о разработке системы унифицированного защищенного доступа на основе PKI. Основной проблемой он назвал большое количество технологически разнообразных банковских систем и отсутствие единого механизма доступа к банковским системам. Поэтому был необходим проект по объединению решений в области ИБ, "интегратор интеграторов".
Как и другие высокотехнологичные области информационная безопасность требует высокой компетенции сотрудников. Зам. декана факультета информационной безопасности МИФИ Александр Толстой не понаслышке знаком с этой проблемой. Он привел данные по количеству образовательных центров в России, которые готовят специалистов по ИТ-безопасности, а также рассказал про существующие специализации. Всего в стране более 130 ВУЗов и 24 учреждения среднего профессионального образования, которые готовят специалистов в области ИБ. Ежегодно выпускается порядка 4000 специалистов, однако потребность одних только государственных учреждений оценивается в 4500 человек в год. Что касается финансовых организаций, то на сегодняшний день отсутствуют не только оценка потребности в кадрах по отрасли, но и сама системы подготовки специалистов по ИБ в финансовом секторе. В качестве основных факторов, определяющих наличие проблем, Толстой назвал особенности подготовки специалистов по ИБ, реформу системы образования в России, затратность подготовки таких специалистов и их будущую сравнительно невысокую зарплату. Он также поделился опытом МИФИ по совершенствованию системы дополнительного образования, рассказав о курсах повышения квалификации, учебно-лабораторной базе и методах обучения. Учебные программы носят дифференцированный характер для различных категорий слушателей, причем конкретная программа обучения согласуется с заказчиком и корректируется с учетом его специфики.
Денис Муравьев, генеральный директор бюро профессиональных услуг 4Х4 и президент ассоциации RISSPA, попытался обосновать необходимость инвестиций в информационную безопасноть. В качестве основных задач руководителей по ИБ он выделил три "Ч": чтобы не было претензий, чтобы ничего не украли и чтобы было недорого. Специфика заключается в том, что ИБ традиционно считается исключительно "затратной" статьей: она нужна всем, но и одновременно не нужна никому, поэтому идею в ее необходимости часто трудно донести до "верха". Муравьев процитировал результаты исследования Gartner, согласно которым не существует прямой зависимости между затратами на ИТ и удовлетворенностью бизнеса. Как правило, это связано с тем, что ИТ-специалисты сфоркусированы на технологиях, а не на бизнесе, а сам ИТ-департамент слабо взаимодействует с другими отделами и не способен позиционировать себя в рамках организации. Эти слова в принципе можно перенести и на информационную безопасность. Наверно, именно поэтому, по данным ABISS и Perimetrix, более половины компаний на информационную безопасность тратят менее 5% ИТ-бюджета. Какие же функции должен выполнять ИБ? Муравьев выделил три основных: поддержка импульса бизнеса, улучшение результата и согласованное ИБ-лидерство. Причем выживание ИБ-подразделения напрямую зависит от отчетности. Как правило, отчеты оказываются слишком "техничными", детальными и неясными, чтобы использоваться бизнесом. Для плодотворной работы также необходимо выстроить коммуникационный процесс с участием всех ИБ-менеджеров и определить их роли в компании.
Также на конференции выступили представители компаний "Oracle", "Элвис-Плюс", "ТрансТелеКом", ОКБ "САПР", предложившие свои новые разработки в области защиты информации и телекоммуникаций.
