Финансовый сектор. Банк «ВТБ» (ОАО)
Финансовый сектор. ОАО «Банк Москвы»
Финансовый сектор. АКБ «РосЕвроБанк»(ОАО)
Энергетика. ОАО «РусГидро»

Окулесский Василий Андреевич, начальник отдела защиты информации ОАО «Банк Москвы»

«InfoWatch – это не лучшее и не худшее решение. Это то, что реально работает!»

Полещук Александр Владимирович, Начальник отдела информационной безопасности ООО «Газпром Трансгаз Москва»:

«Продукты компании InfoWatch превосходят своих конкурентов по функционалу и эффективности. Это доказали тесты нашего системного интегратора!»

Юрий Лысенко, Начальник управления информационной безопасности «РосЕвроБанка»:

«Комплексное решение InfoWatch позволяет перекрыть максимум возможных каналов утечки информации и оптимально отвечает потребностям ИБ нашего Банка!»

Компания InfoWatch уже реализовала целый ряд проектов по обеспечению совместимости с требованиями самых жестких законодательных и отраслевых актов, включая соглашение Basel II, стандарт Центробанка по ИТ-безопасности, американский закон SOX, для крупных российских компаний, являющихся лидерами в своей отрасли. Специалисты отдела внедрения компании InfoWatch обладают чрезвычайно ценным на российском рынке опытом реализации самых жестких требований стандартов и нормативных актов в наиболее крупных и сложных с точки зрения топологии корпорациях.

Более того, комплексное решение IWES сегодня используется во многих министерствах и ведомствах, включая Минфин, Таможенную службу и др.

Отрасль: Финансовый сектор

Заказчик: ОАО «ВТБ»

Ситуация: Построить эффективную систему управления операционным риском в соответствии с требованиями соглашения Basel II (методика расчета AMA)и создать эффективную систему ИТ-безопасности в рамках стандарта Банка России.

Решение: Использование решения IWES позволило удовлетворить основным требованиям соглашения Basel II (§§660,664,666,732 и 734)и внедрить систему управления операционным риском для использования методики расчета AMA. Построенная система ИТ-безопасности удовлетворила всем требованиям стандарта Банка России. Тем самым, все цели проекта были достигнуты.

Преимущества решения: Заказчик сформировал собственную стратегию управления нормативными рисками, отражающую его текущие деловые цели и планы на будущее,а также единую универсальную платформу, позволившую сразу же удовлетворить требованиям стандартам ЦБ по ИТ-безопасности, соглашения Basel II и американского закона SOX.В результате заказчик сэкономил на увеличении резервируемого под операционные риски капитала и существенно повысил свою конкурентоспособность.

Внешторгбанк (ВТБ) является крупнейшим коммерческим банком страны по размеру уставного капитала, величина которого 52,1 млрд. рублей. Главным акционером банка с долей в 99,9 % является Правительство Российской Федерации. По данным публикуемой отчетности, по состоянию на 1 июля 2006 г. размер собственных средств ОАО «Внешторгбанк» составил 118 млрд. рублей, величина активов — 752 млрд. рублей. Банк имеет наивысший для российских банков рейтинг международных рейтинговых агентств Moody ’s Investors Service, Standard &Poor ’s и Fitch. Российские рейтинговые агентства традиционно относят ВТБ к высшей группе надежности.

В рамках концепции развития как сетевого банка федерального уровня ВТБ предоставляет клиентам услуги через разветвленную сеть своих подразделений, включающую свыше 200 офисов обслуживания клиентов. За рубежом он представлен двенадцатью представительствами, дочерними и ассоциированными банками.

До внедрения

Одной из причин успеха коммерческой деятельности ВТБ является повсеместное использование последних достижений высоких технологий. Вычислительная сеть организации насчитывает более 10 тыс. территориально распределенных рабочих мест, все ключевые бизнес процессы интегрированы в ИТ систему. Однако информационные технологии несут в себе и известную долю рисков, связанных как с враждебным внешним окружением (вирусы, спам, хакерские атаки), так и с угрозой изнутри — промышленный шпионаж, конкурентная разведка, другие умышленные и неосторожные действия сотрудников организации. Причем если для защиты от внешних атак в ИТ инфраструктуре Внешторгбанка уже давно используется целый арсенал средств, то проблемы защиты внутренней безопасности требовали немедленного решения.

«Особенность работы сети ВТБ заключается в циркуляции большого количества данных, составляющих коммерческую и банковскую тайну. Без должной защиты такой информации немыслимо оказание качественных услуг клиентам, а репутация организации находится под постоянной угрозой. Именно поэтому внедрение надежной защиты конфиденциальных данных является приоритетом развития информационной системы банка»,— комментирует Олег Смолий, главный специалист Управления по обеспечению безопасности ОАО «Внешторгбанк ».

В связи с тем, что ВТБ оказывает услуги физическим лицам, в его распоряжении находится база персональных данных граждан. Утечка этой информации могла бы нанести существенный удар по репутации компании, привести к сокращению клиентской базы и подрыву доверия со стороны инвесторов и партнеров. Кроме того, уже на тот момент в Госдуме обсуждался законопроект «О персональных данных» (к моменту окончания внедрения проект уже превратился в Федеральный закон). Таким образом, утечка приватных сведений граждан могла привести в обозримом будущем к череде судебных исков и существенным юридическим издержкам.

Принимая решение о внедрении системы защиты от внутренних угроз, специалисты ОАО ВТБ ориентировались на стандарт Банка России по ИТ безопасности, а также положения соглашения Basel II в плане минимизации операционного риска. Каждый из этих нормативных актов требует от организации взять под контроль инсайдеров и предотвратить утечку классифицированной информации. Прежде всего, специалисты Банка обратили внимание на почтовые ресурсы — это самый уязвимый коммуникационный канал с точки зрения утечки данных и злоупотребления со стороны служащих. В результате перед ОАО ВТБ стояли следующие задачи:

• взять под контроль канал электронной почты, чтобы предотвратить утечку конфиденциальных и персональных данных;
• обеспечить архивирование всего почтового трафика для последующего ретроспективного анализа, например, при расследовании инцидентов;
• удовлетворить требованиям стандарта Банка России по ИБ в плане архивирования электронной почты и защиты от инсайдеров;
• минимизировать часть операционного риска, связанную с утечкой классифицированной информации, и адресовать тем самым требования соглашения Basel II.

Кроме того, заказчик предъявил следующие чисто технические требования к внедряемому решению:

• Продукт должен быть достаточно производительным и отказоустойчивым, чтобы обрабатывать в среднем 10 Гбайт почтового трафика ежесуточно, а гарантированное максимальное время задержки одного сообщения не превышало 1 с.
• Фильтр конфиденциальной информации должен уметь обрабатывать не только стандартные форматы файлов, предусмотренные разработчиком, но еще и внутренние форматы заказчика.
• Решение должно быть достаточно хорошо настроенным, чтобы фильтровать дополнительные типы и форматы данных.

Все эти требования были сформулированы на этапе предпроекта, после чего заказчик провел открытый конкурс, опубликовав свои технические и бизнес требования.

Выбор решения

Эксперты ОАО ВТБ провели глубокий сравнительный анализ представленных на российском рынке систем мониторинга и архивирования электронной почты. Особое внимание они уделяли соответствию таким требованиям, как возможность дополнить продукт до комплексного решения, чтобы покрыть все уязвимые коммуникационные каналы организации (Интернет, принтеры, рабочие станции и т.д.). Кроме того, специалисты ОАО ВТБ хотели получить настраиваемое решение, в которое можно добавить новый функционал по поддержке дополнительных форматов файлов и данных. Для этих целей представители Банка проверяли эксплуатационные характеристики решений в специально выделенном тестовом сегменте сети. По результатам проверки руководство ОАО ВТБ остановило свой выбор на следующих продуктах:

• InfoWatch Mail Monitor — программный продукт для предотвращения утечки конфиденциальной информации через корпоративную почтовую систему. В режиме реального времени сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные.
• InfoWatch Storage — программный продукт для создания архива электронной корреспонденции в рамках корпоративной почтовой системы с возможностью дальнейшего анализа. Модуль в режиме реального времени накапливает копии электронных писем, укладывает их в хранилище и позволяет делать аналитические выборки из него для расследования случаев утечки конфиденциальных данных.

Наиболее высокой оценки заказчика удостоилась возможность расширения набора продуктов до комплексного решения InfoWatch Enterprise Solution с покрытием дополнительных коммуникационных каналов. Кроме того, специалисты ОАО ВТБ отдельно отметили высокую производительность мониторов трафика и хранилища электронной почты. В рабочем режиме система InfoWatch Storage, работающая всего на одном выделенном сервере, способна обрабатывать 50 тыс. писем, или 10 Гбайт трафика, в день и поддерживать актуальный архив корреспонденции за период не менее трех лет. Кроме того, модуль полностью удовлетворяет требованиям к гарантированному максимальному времени задержки одного сообщения. Наконец, технические специалисты InfoWatch реализовали в своем фильтре поддержку специфичного для ОАО ВТБ внутреннего формата файлов, а также возможность добавлять в базу контентной фильтрации новые конфиденциальные данные в этом формате. Таким образом, продукты InfoWatch полностью справились с интенсивным информационным потоком организации.

Среди других доводов в пользу выбора решений компании InfoWatch были следующие:

• широкий спектр сопроводительных и консалтинговых услуг: не только внедрение решения «под ключ », но еще и полноценная интеграция системы защиты от утечек и инсайдеров в уже существующую комплексную систему ИТ безопасности компании;
• опыт реализации проектов такого масштаба в крупнейших коммерческих и государственных организациях;
• возможность модернизации комплексного решения под нужды заказчика;
• инновационный характер компании поставщика: архитекторы и разработчики InfoWatch всегда находятся на передовой рынка ИБ.

Они постоянно совершенствуют механизмы защиты от утечек и инсайдеров, модернизируют свои продукты и привносят элемент инноваций в ИТ инфраструктуру заказчика. При этом все новые версии продуктов InfoWatch доступны заказчикам бесплатно в рамках технической поддержки.

Проанализировав преимущества решений компании InfoWatch, специалисты ОАО «Внешторгбанк» остановили свой выбор именно на данном поставщике. Таким образом, лидер российского финансового сектора подтвердил высокие характеристики продуктов InfoWatch.

После внедрения

Проект внедрения InfoWatch Mail Monitor и InfoWatch Storage был реализован в течение трех месяцев в соответствии с поэтапным планом, составленным специалистами заказчика и поставщика совместно. В информационной инфраструктуре заказчика был создан кластер из двух узлов, на которых под управлением Red Hat Linux были установлены модули InfoWatch Mail Monitor. Этот кластер ежедневно фильтрует почтовый трафик от 5 тыс.пользователей центрального офиса ОАО ВТБ. В нем обеспечена балансировка нагрузки и отказоустойчивость. Максимальное время задержки одного почтового сообщения гарантированно не превышает 1 секунды. Централизованный архив InfoWatch Storage вынесен за пределы кластера и размещен на отдельном сервере. В результате заказчик получил эффективную и производительную систему защиты почтовых каналов от инсайдеров и утечек. Все цели проекта были достигнуты.

Эксперты заказчика высоко оценили функциональность и устойчивость к нагрузкам InfoWatch Storage. Этот модуль не только позволяет архивировать корпоративную корреспонденцию, но и обладает мощными возможностями для последующего ретроспективного анализа. В результате в распоряжении лидера российского финансового сектора оказался инструмент для эффективного расследования инцидентов внутренней ИТ безопасности и разрешения многих деловых задач. Кроме того, модуль InfoWatch Storage отлично справился с интенсивным почтовым потоком ОАО «Внешторгбанк », достигающим в среднем 10 Гбайт в сутки.

Итоги

По итогам внедрения InfoWatch Mail Monitor и InfoWatch Storage заказчик получил эффективную и управляемую систему защиты почтового канала от инсайдеров и утечек. На базе продуктов компании InfoWatch заказчик обеспечил частичную совместимость ИТ инфраструктуры с ФЗ «О персональных данных », стандартом Центробанка по ИБ, соглашением Basel II и требованиями секции 404 американского закона SOX.

Отметим, что в результате внедрения продуктов компании InfoWatch заказчик не только решил проблему внутренних угроз, но и значительно сэкономил на реализации своей нормативной стратегии. Банку удалось закрыть часть требований сразу трех нормативных актов с помощью единого решения ИТ безопасности. При этом у ОАО «Внешторгбанк » появилась возможность дополнить внедренный продукт до комплексного решения InfoWatch Enterprise Solution. Такая перспектива позволяет создать максимально эффективную систему защиты от утечек и инсайдеров, а также обеспечить соответствие требованиям всех указанных нормативов в сфере внутренних угроз.

«Мы остались довольны этим внедрением. Теперь в случае необходимости наш банк может достаточно быстро дополнить внедренные продукты до комплексного решения InfoWatch Enterprise Solution и создать тем самым полноценную систему защиты от утечек и инсайдеров. При этом мы уже убедились, что продукты InfoWatch обладают прекрасной производительностью и отказоустойчивостью. Кроме того, технические специалисты InfoWatch реализовали в своем фильтре поддержку наших внутренних форматов файлов, что позволило очень удачно вписать новое решение в нашу ИТ инфраструктуру. Быстро и без потери прозрачности»,— подводит итог Олег Смолий, главный специалист Управления по обеспечению безопасности ОАО ВТБ.

Таким образом, лидер российского финансового рынка может эффективно работать с персональными данными клиентов и корпоративной конфиденциальной информацией, не боясь, что эти сведения «утекут» по электронной почте.

Заказчик: ОАО «Банк Москвы»

«InfoWatch – это не лучшее и не худшее решение. Это то, что реально работает!»
Окулесский Василий Андреевич, начальник отдела защиты информации ОАО «Банк Москвы»

Банк Москвы — один из крупнейших универсальных банков России, предоставляющий диверсифицированный спектр финансовых услуг как для юридических, так и для частных лиц. По роду своей деятельности эта организация владеет значительными объемами информационных активов, большая часть которых относится к разряду конфиденциальных данных.

При этом деятельность Банка Москвы как любого финансового учреждения жестко регулируется различными российскими и западными нормативами и стандартами, как то стандарт Банка России по ИБ, соглашение Basel II, Кодекс корпоративного поведения ФСФР и др.

До внедрения комплексного решения InfoWatch Traffic Monitor в банке уже была развернута и успешно функционировала система защиты от внешних угроз. Однако вопрос защиты от внутренних угроз некоторое время решался недостаточно эффективно.

Среди задач обеспечения безопасности периметра информационной системы Банка перед отделом защиты информации стояло несколько специфических задач, которые необходимо было решить в комплексе с остальными. Среди них:

1. Контроль исходящей почты на предмет возможных утечек сведений ограниченного доступа.
2. Частичный контроль входящей корреспонденции, в том числе антиспамовский контроль.
3. Архивирование электронной почты, в том числе различных служебных сообщений, автоматически генерируемых техническими средствами
4. Теневое копирование (от тотального до выборочного) документов или их частей при их копировании на сменные носители или внешние устройства, подключаемые через разнообразные порты (USB,COM, IrDA и т.д.) для оперативного реагирования и последующего контентного анализа.
5. Контентный он-лайн анализ web-трафика.

Окулесский Василий Андреевич, начальник отдела защиты информации ОАО «Банк Москвы»: «Все вышеперечисленные задачи при тех объемах информации, которыми оперирует наш Банк просто физически невозможно решить вручную силами сотрудников отдела ИБ, а следовательно требуют автоматизации, желательно в едином интерфейсе пользователя – офицера безопасности».

В 2008 году компоненты комплексного решения InfoWatch Traffic Monitor были установлены на серверах и рабочих станциях Банка Москвы. Специалисты отдела внедрения компании InfoWatch совместно с системным интегратором LETA-IT Company помогли произвести развертывание системы и провели консультации сотрудников отдела информационной безопасности банка.

«Мы попробовали различные решения – у всех есть свои преимущества и недостатки в целом же по функционалу они во многом повторяют друг друга. Однако необходимо отметить, что многие решения строятся вдогонку на идеях, давно и с успехом реализованных в программных продуктах InfoWatch. Наша организация методом проб и ошибок нашла свои решения, которые нас устраивают именно нас – они РАБОТАЮТ для нас. Это решения от компании InfoWatch», заключил Василий Андреевич Окулесский.

Заказчик: АКБ «РосЕвроБанк» (ОАО)

Юрий Лысенко: Я знаю банки, где информационная безопасность приносит прямую прибыль

На вопросы CNews Analytics отвечает начальник управления информационной безопасности «РосЕвроБанк» Юрий Лысенко.

CNews: По вашему мнению, насколько бизнес банка зависит от ИТ и средств обеспечения информационной безопасности?

Юрий Лысенко: Любой, даже самый небольшой банк, очень сильно зависит от информационных систем и технологий, используемых в нем. В первую очередь ИТ влияют на весь процесс ведения бизнеса, на скорость предоставления банком услуг своим клиентам. Так, по оценке экспертов РБК, колл-центр нашего банка вошел в пятерку лучших среди российских банков! Это говорит о том, что наш колл-центр имеет не только грамотный персонал, но и отлично развитую техническую базу. Это помогает очень быстро найти интересующую клиента информацию. Без применения ИТ-технологий такого результата достичь было бы в принципе невозможно!

Кроме того, по результатам исследования "Индекс впечатления клиента-2008: кто лидирует в розничном банковском бизнесе в России?», проведенного аудиторской компанией «PricewaterhouseCoopers» и маркетинговой компанией Senteo, «РосЕвроБанк» вошел в ТОП-20 самых клиентоориентированных банков России. Естественно, без налаженных ИТ технологий мы бы не получили столь лестные отзывы по обслуживанию от наших клиентов.

Что касается средств по обеспечению информационной безопасности, они должны присутствовать в любом банке. И главное их предназначение - управление рисками потери информации, для снижения вероятных временных простоев, связанных со сбоем оборудования в результате возникновения инцидентов в области ИБ. Ну, и, конечно же, продукты информационной безопасности нужны для защиты конфиденциальных данных наших клиентов от утечки, используемых, в том числе, и недобросовестными конкурентами банка. Охраняют они также банковскую тайну и персональные данные сотрудников самого банка.

CNews: Не преувеличивается ли роль и значение ИБ финансовыми регуляторами, на ваш взгляд?

Юрий Лысенко: На мой взгляд, не только не преувеличивается, но даже, можно сказать, недооценивается. Ведь банки владеют наиболее массивным объемом конфиденциальной информации, утечка которой грозит самыми серьезными последствиями, как для самого банка, так и для его клиентов.

Речь идет не только о необходимости защиты персональных данных клиентов, но и о перечне информации, составляющей банковскую тайну (платежи, проводки, движение средств по счету). Соответственно для банка такой инцидент чреват потерей репутации, оттоком клиентом и финансовыми потерями для банка.

CNews: Можно ли говорить, что ИБ в банке скорее затратная часть, нежели приносящая прибыль деятельность?

Юрий Лысенко: В каждом банке по-разному. Я знаю банки, где информационная безопасность приносит прямую прибыль, но это связано с тем, что некоторые аспекты работы с клиентами возложены на подразделения ИБ. Например, это генерация ключей для клиентов систем «клиент-банк».

Эта услуга платная, за нее платят деньги. Соответственно, когда этой операцией занимается служба информационной безопасности, она приносит прямую прибыль. В других же случаях это, как правило, считается затратной частью. Но это лишь отчасти так.

На самом деле затраты на обеспечение ИБ ведут к снижению рисков потери конфиденциальной информации и финансовых рисков, и как следствие снижают убытки банка, связанные с возможными инцидентами в области ИБ.

CNews: Какие наиболее актуальные проблемы приходится решать службам безопасности в финансовых институтах?

Юрий Лысенко: Наиболее актуальная проблема – защита конфиденциальных данных клиента. Это наиболее уязвимое место банков, которое выливается в наибольшие финансовые потери.

Вторая проблема – поддержание работоспособности технических систем банка с тем, чтобы вся ИТ инфраструктура работала без сбоев и не тормозила бизнес-процессы.

CNews: Считаете ли вы оправданным в российских условиях введение системы обязательного раскрытия фактов информационных утечек?

Юрий Лысенко: В российских условиях введение такой практики я считаю несколько преждевременным, если судить по уровню зрелости российского бизнеса. На сегодняшний день процесс развития последнего в нашей стране пока не достиг той стадии, когда обязательное раскрытие информационных утечек несло бы благо как самим компаниям, так и их клиентам.

Здесь скорее России можно позаимствовать у Запада практику уведомления клиентов банка о факте утечки их конфиденциальной информации. Клиент имеет право знать о том, что его конфиденциальная информация может быть под угрозой, и она нуждается в защите.

И ведь информирование клиентов об инциденте далеко не всегда угрожает имиджу банка – даже наоборот, факт уведомления при правильном подходе может быть демонстрацией клиентоориентированности банка. А также свидетельствовать о том, что банк предпринимает максимум усилий к защите скомпрометированной информации. Клиент понимает, что о нем думают и заботятся!

CNews: Ощущаете ли вы изменения в характере и количестве информационных угроз?

Юрий Лысенко: Изменения в характере не столь велики, а количество угроз продолжает расти год от года, с развитием новых ИТ-технологий. На первое место за последние пару лет вышли внутренние утечки конфиденциальной информации. Они основательно обогнали внешние угрозы (хакерские атаки, вирусные, спам-атаки).

Именно утечки информации, инициированные инсайдерами, приносят финансовым организациям наибольшие потери. И в этой связи меня искренне удивляет, что российские страховые компании до сих пор всерьез не озадачились проблемой внутренних угроз ИБ, хотя для них внутренние угрозы чреваты прямыми денежными убытками.

Недобросовестные конкуренты с помощью добытой конфиденциальной информации могут легко увести клиентов страховой компании или банка, предложив более выгодные условия страхования или кредитования. Российские банки в этом вопросе более продвинуты.

CNews: Какими критериями руководствовалась службы ИБ при выборе новых решений? Используются ли при этом элементы риск – менеджмента?

Юрий Лысенко: Если мы говорим о внутренних угрозах информационной безопасности, то при выборе средств защиты основным условием был поиск комплексного решения. Оно должно позволять контролировать все возможные каналы утечки – интернет, электронную почту, съемные носители, печатные устройства – т.е. все те участки, где информация может покинуть пределы информационного периметра компании.

Кроме всего прочего это еще и экономически выгодно, т.к. самая затратная часть - первичные затраты по установке и внедрению, дальнейшие же вложения уже не так велики. Именно по этим критериям для внедрения в нашем банке было выбрано одно из решений для защиты от внутренних угроз ИБ компании InfoWatch.

При этом нужно было охватить все подразделения, т.к. утечка может произойти с любого участка корпоративной сети. Цели внедрения были в целом достигнуты, однако в процессе реализации проекта была выявлена и несовместимость решения InfoWatch с программными и аппаратными системами, ранее установленными в нашем банке. Поэтому продукт прошел доработку под наше предприятие.

Конечно же, в какой-то степени в этом процессе использовались и элементы риск-менеджмента. Вообще обоснованием внедрения того или иного решения в области ИБ является «презентация» реальных примеров утечек и моделирование реально произошедших инцидентов на рынке на примере своего банка. А также моделирование последствий утечки (с просчетом, сколько банк в денежном выражении может на этом потерять).

CNews: Как бы вы оценили соотношение технических и организационных затрат на ИБ?

Юрий Лысенко: Организационные затраты очень важны, ведь необходимым моментом является обучение пользователей. В финансовой организации должна поддерживаться общая атмосфера информационной безопасности с тем, чтобы сотрудники владели основами ИБ: начиная с таких банальных вещей, как блокировка компьютера перед покиданием рабочего места.

Вот, например, выходя из дома, мы же закрываем входную дверь квартиры? При этом почему-то большая часть персонала офисов считает нормой, покидая рабочее место, оставлять компьютер незаблокированным. А ведь ущерб банку в таком случае может в десятки раз превышать ущерб хозяину квартиры от незакрытой входной двери. Мы с этим активно боремся!

Есть и другой ряд организационных мер, которые могут применяться в финансовых учреждениях. Так наш банк недавно провел конкурс среди сотрудников «РосЕвроБанка» на лучший слоган по информационной безопасности. Было прислано 132 варианта. В результате внутрибанковского голосования были выбраны и награждены победители.

Конкурс был проведен для того, чтобы сотрудники почувствовали важность и необходимость обеспечения ИБ в банке, чтобы прониклись чувством ответственности за конфиденциальную информацию, с которой они работают.

Сейчас готовятся информационные плакаты с 10-ю лучшими слоганами, будут сделаны скрин-серверы. Все это делается для того, чтобы сотрудники помнили: на них лежит большая ответственность, и нельзя нарушать требования ИБ.

При этом соотношение технических и организационных мер в финансовых учреждениях должно быть равнозначным. Конечно, мы доверяем своим сотрудникам, но при этом задача службы ИБ – контроль соблюдения ими требований ИБ!

CNews: Удовлетворены ли вы качеством работы применяемых решений? Планируется ли дальнейшая модернизация ИТ и ИБ систем?

Юрий Лысенко: Как я уже говорил, один из основных рисков организаций банковской отрасли – риск утечки конфиденциальных данных – информации, составляющей банковскую тайну и персональных данных клиентов банка.

Для защиты от этого вида угроз ИБ на данный момент в процессе внедрения в нашем банке находится решение российской компании InfoWatch. Это один из лидеров отечественного рынка средств защиты от внутренних угроз, поставляющий комплексные решения по информационной безопасности.

Уже внедрен один из модулей контроля передачи информации. На стадии внедрения находятся модуль контроля движения информации в сеть интернет, в том числе веб-почты, форумов и чатов, а также модуль контроля работы пользователей со съемными устройствами хранения информации и данными, выводимыми на печать.

Параллельно идет процесс обновления и усовершенствования внедренных решений InfoWatch, поскольку сама компания постоянно работает над развитием своих систем защиты, учитывая пожелания клиентов.

Наше плодотворное сотрудничество началось в 2006г. Решения данной компании нас полностью удовлетворяют, позволяя «РосЕвроБанку» перекрыть все возможные каналы утечки информации. А решающими факторами при выборе новых программных продуктов InfoWatch стали комплексность защиты и великолепная поддержка клиентов. Но, естественно, мы работаем и с иными вендорами в других сегментах безопасности.

CNews: Как у вас в банке поставлен процесс обучения соответствующего персонала?

Юрий Лысенко: Во-первых, каждый новый сотрудник, приходящий в «РосЕвроБанк» на работу, проходит инструктаж у специалиста Управления по информационной безопасности. Новичку рассказывают о существующих в банке правилах в области соблюдения ИБ (правила работы за компьютером, с электронной почтой, в сети интернет). А так о том, какая информация составляет коммерческую и банковскую тайну – это составляет как минимум часовой курс обучения основам ИБ.

В случае возникновения какой-либо выявленной внешней или внутренней угрозы ИБ, управление информационной безопасности рассылает информационные письма. Также проводится периодический аудит системы безопасности, в том числе контрольные проверки сотрудников с использованием методов социальной инженерии. После чего до всех сотрудников доводятся результаты данной проверки. В итоге можно сказать, что мы активно практикуем систему дистанционного обучения основам и специфике ИБ на предприятиях банковского сектора.

CNews: Спасибо.

Источник

Отрасль: Энергетика

Заказчик: ОАО УК «ГидроОГК»

Ситуация: Необходимо обеспечить эффективный внутренний контроль в соответствии с положениями британского Кодекса (Руководство Тёрнбулла) и американского закона SOX (параграф 404).

Решение: Внедрение комплексного решения IWES позволило реализовать требуемые механизмы внутреннего контроля, обеспечить автоматизацию и доступность для внутреннего и внешнего аудита значимых информационных процессов, а также дало руководству возможность гарантировать высокий уровень эффективности внутрикорпоративного контроля. Все цели проекта были достигнуты.

Преимущества решения: Заказчик получил комплексную систему управления нормативными рисками, соответствующую его специфическим деловым целям.

Единая универсальная платформа позволила заказчику помимо совместимости с Кодексом удовлетворить требованиям стандарта ISO 17799 и построить эффективную систему управления ИТ-безопасностью, соответствующую четвертому уровню развития стандарта COBIT.

«ГидроОГК » защищается от утечек

ОАО «ГидроОГК » является одной из крупнейших по установленной мощности гидрогенерирующих компаний в мире. К моменту завершения формирования компания будет объединять около 50 ГЭС с общей установленной мощностью 23,3 ГВт. Таким образом, значение деятельности компании для экономики России сложно переоценить.

Между тем это одна из наиболее сложных информационных систем с точки зрения топологии и гетерогенного характера. ИТ инфраструктура ОАО «ГидроОГК» охватывает локальную сеть центрального офиса (около 800 рабочих станций и 45 серверов) и распределенные сети порядка 50 гидроэлектростанций (около 200 рабочих станций и 7 серверов на каждой). Другими словами, компьютерная сеть федеральной генерирующей компании насчитывает около 10,5 тыс.рабочих станций и 350 серверов.

Кроме того, если рабочие станции и файловые серверы работают под управлением Microsoft Windows, то почтовые серверы используют как Microsoft Exchange, так и Linux Sendmail. Таким образом, ИТ инфраструктура ОАО «ГидроОГК » является в высшей мере разветвленной и гетерогенной.

Сегодня информационные системы играют критически важную роль в деятельности компании. Конфиденциальность и целостность классифицированных данных, доступность ИТ ресурсов, непрерывность бизнес процессов — от всех этих факторов зависит успешность бизнеса энергетического гиганта.

До внедрения

Развитие рынка энергоресурсов и постоянный рост ОАО «ГидроОГК» выдвинули на первый план вопросы ИТ безопасности. До внедрения комплексного решения InfoWatch Enterprise Solution в компании уже существовала система защиты от внешних угроз. Однако проблема инсайдеров и утечек оставалось нерешенной.

Между тем характеристики внутренней среды организации свидетельствовали о том, что она критически уязвима для внутренних атак. Более 10 тыс. компьютеризированных рабочих мест, сотни серверов и различных каналов связи — все эти ресурсы находились в распоряжении инсайдеров и в любой момент могли быть использованы для кражи конфиденциальной информации. Таким образом, ОАО «ГидроОГК» провела конкурс на разработку и внедрение системы защиты от инсайдеров и утечек, которая должна удовлетворять следующим требованиям:

• создаваемая система ИБ должна эффективно защищать от внутренних угроз (утечка, искажение, уничтожение конфиденциальной информации, нарушение непрерывности бизнес процессов со стороны инсайдеров) и включать в себя механизмы внутреннего контроля в соответствии с требованиями секции 404 закона SOX;
• внедряемое решение для защиты от внутренних угроз должно иметь комплексный характер и покрывать все пути утечки конфиденциальной информации из организации (электронную почту и Интернет, принтеры и сменные накопители на рабочих станциях, беспроводные сети и мобильные устройства);
• система внутренней ИБ должна быть максимально прозрачной, то есть не затруднять доступ к информации и не тормозить бизнес процессы заказчика в тех случаях, когда действия инсайдеров соответствуют политике безопасности;
• решение для защиты от инсайдеров и утечек должно быть полностью управляемым и иметь возможность интеграции в комплексную корпоративную систему ИБ;
• корпоративный процесс управления ИБ должен соответствовать европейскому стандарту ISO 17799.

«Энергетика — это очень серьезно. Свет не должен гаснуть, поэтому для нашей компании крайне важно иметь полностью управляемую и эффективную систему ИТ безопасности, которая защищает как от внешних, так и от внутренних угроз а также соответствует международным стандартам (ISO 17799) и законодательным актам (SOX).Одним из наиболее сложных требований, которые мы предъявляли к системе защиты от утечек и инсайдеров, была комплексность. Очевидно, что для эффективной защиты от внутренних угроз необходимо закрыть все возможные каналы утечки и взять под контроль все узлы, где обрабатывается классифицированная информация. Между тем на этапе постановки задачи мы даже не были уверены, что на рынке существуют достаточно эффективные и комплексные решения. Однако, как выяснилось далее, такие решения уже представлены на российском рынке»,— комментирует Гаральд Бандурин, директор по информационным технологиям ОАО «ГидроОГК».

Выбор системы

Специалисты ОАО «ГидроОГК » в течение нескольких месяцев тщательнейшим образом изучали и анализировали рынок систем защиты от инсайдеров и утечек. Эксперты рассматривали не только техническую функциональность продуктов и степень их зрелости для использования в компании такого масштаба, как ОАО «ГидроОГК»,но еще и спектр сопроводительных услуг, оказываемых различными поставщиками. После детального анализа различных вариантов выбор был сделан в пользу комплексного решения InfoWatch Enterprise Solution, поставляемого российской компанией InfoWatch.

Выбранное решение адресует весь спектр внутренних угроз (утечка, искажение, уничтожение, саботаж и т.д.) и покрывает все используемые в компании коммуникационные каналы. Наиболее важными аргументами в пользу InfoWatch Enterprise Solution были следующие:

• компания InfoWatch специализируется именно на защите от утечек и инсайдеров, а также имеет опыт реализации проектов в крупнейших корпорациях и госструктурах;
• решение InfoWatch Enterprise Solution единственное на российском рынке обладает достаточной степенью комплексности: покрывает каналы электронной почты и Интернета, всевозможные порты рабочих станций (USB, COM, LPT, FireWire, IrDA, Bluetooth и т.д.), защищает от утечки через принтеры и т.д.;
• кроме того, в состав комплексного решения входит модуль InfoWatch Storage, собирающий и архивирующий абсолютно всю корпоративную корреспонденцию и весь сетевой трафик. Отличительной особенностью этого продукта также является возможность произвести мощный ретроспективный анализ. Данный модуль интегрирован в систему защиты от утечек и не имеет конкурентных аналогов.

Компоненты InfoWatch Enterprise Solution обладают достаточно высокой производительностью, чтобы обеспечить эффективный контроль над гигантскими объемами трафика в ИТ инфраструктуре заказчика. Модули решения устойчивы к нагрузкам и позволяют в режиме реального времени проверять трафик и блокировать утечки, а также складывать корреспонденцию и веб данные в централизованный архив.

Помимо активной функциональности, продукт обладает широкими пассивными возможностями: абсолютно все операции служащих с конфиденциальной информацией протоколируются и складываются вначале в журнал событий, а потом в базу данных. Таким образом, возможен детальный ретроспективный анализ произведенных действий.

Используемое в решении InfoWatch разделение ролей позволяет избежать проблемы суперпользователя и обеспечить «контроль над контролером». Таким образом, минимизируется проблема человеческого фактора и злонамеренных действий инсайдеров, облеченных властью.

Комплексное решение InfoWatch Enterprise Solution является полностью централизованным и управляемым. С единой консоли уполномоченные лица могут задавать настройки различных компонентов решения, это значительно снижает затраты на администрирование решения.

Компания InfoWatch поставляет широкий спектр сопроводительных и консалтинговых услуг как в сфере обеспечения соответствия нормативным актам, так и в области построения эффективной системы защиты от инсайдеров и утечек. Эксперты InfoWatch внедряют решение «под ключ» и обеспечивают заказчика расширенной технической поддержкой в лице персонального менеджера.

Просуммировав все эти факторы, руководство ОАО «ГидроОГК» посчитало, что комплексное решение InfoWatch Enterprise Solution не имеет аналогов на российском рынке и полностью удовлетворяет предъявленным требованиям. Таким образом, выбор поставщика был сделан однозначно.

Предпроект

Перед компанией InfoWatch стояла задача разработки и внедрения системы информационной безопасности ОАО «ГидроОГК» — крупной территориально распределенной компании с большим набором разнообразных информационных систем, в том числе производственных.

На момент начала работ процессы управления ИБ заказчика находились на начальном уровне модели зрелости в соответствии со стандартом COBIT, то есть в компании уже имелись документально зафиксированные свидетельства осознания организацией того, что в ней существуют проблемы обеспечения ИБ. Однако используемые процессы управления не были стандартизованы, применялись эпизодически и бессистемно. Общий подход к управлению информационной безопасностью выработан не был.

Проведя детальный анализ ИБ в ОАО «ГидроОГК, специалисты InfoWatch составили график выполнения работ в соответствии с требованиями и пожеланиями заказчика, который представлен в табл. 30.1.

Таблица 30.1. План работ компании InfoWatch по созданию в ОАО «ГидроОГК» системы защиты конфиденциальной информации от утечек и инсайдеров.

№	Описание этапа	Сроки выполнения
1	Производится аудит ИТ – систем заказчика на соответствие стандарту по управлению ИТ – безопасностью ISO 17799. В результате аудита эксперты InfoWatch получают общую картину состояния ИТ-систем, степень влияния их на бизнес–процессы организации, состоянии процессов управления ИТ-безопасностью.	1,5–2 месяца
2	Выработка общих принципов и подходов к обеспечению ИТ–безопасности и закрепление их в специальном документе «Политика ИТ-безопасности». Созданная Политика должна учитывать производственную специфику заказчика и результаты аудита. Жизненный цикл Политики должен включать в себя механизмы принятия решений и постоянной актуализации положений документа. Кроме того, Политика должна охватывать все без исключения подразделения заказчика.	3–4 месяца
3	Разработка Плана защиты — документа, необходимого для внедрения Политики ИТ-безопасности. В Плане зашиты поэтапно, придерживаясь принципа «сверху— вниз», должны быть описаны шаги по интеграции Политики в управленческие и бизнес – процессы заказчика. Придерживаясь Плана защиты и в тесной кооперации с соответствующими службами заказчика, разработать такие документы, как Положение о конфиденциальности информации, Политика реагирования на инциденты ИТ-безопасности, Политика работы с мобильными компьютерами, и еще более 10 документов	4–5 месяцев
4	При необходимости приобретение нескольких новых программных продуктов, отвечающих отраслевым требованиям заказчика и необходимых для внедрения	4–5 месяцев

В результате реализации плана работ должна быть построена система защиты от внутренних угроз и система управления ИТ-безопасности, удовлетворяющая требованиям нормативных актов.

После внедрения

Проект стартовал в 2005 году и уже в 2006-м был завершен. Все цели проекта были достигнуты. Так полученные результаты комментирует Геральд Бандурин, директор по информационным технологиям ОАО «ГидроОГК»:

«Мы высоко оценили качество и точность выполнения работ компанией InfoWatch. Все работы были проведены в соответствии с намеченным планом, а полученная система защиты от инсайдеров и утечек удовлетворила всем предъявляемым требованиям».

Построенная система управления ИБ (рис.30.1) была оценена как система «четвертого уровня зрелости» (в соответствии со стандартом COBIT). Другими словами, у заказчика обеспечиваются мониторинг и оценка соответствия используемых в организации процессов; при выявлении низкой эффективности реализуемых процессов управления ИБ обеспечивается их оптимизация; процессы управления находятся в стадии непрерывного совершенствования, используются средства автоматизации управления ИБ.

Построенная система защиты от инсайдеров и утечек в полной мере учитывает специфику деятельности ОАО «ГидроОГК». Эксплуатация различных компонентов InfoWatch Enterprise Solution в ИТ инфраструктуре заказчика еще на этапе внедрения позволила выявить целый ряд неправомерных действий инсайдеров, нарушающих политику ИТ безопасности. Все эти операции были блокированы в режиме реального времени, а соответствующее уведомление тут же доставлено офицеру ИТ безопасности. Хотя все выявленные и заблокированные действия инсайдеров были совершены не по злому умыслу, а по небрежности, результат мог оказаться столь же плачевным. Таким образом, использование комплексного решения InfoWatch позволило минимизировать самый опасный риск — нарушение конфиденциальности информации.

Итоги

По результатам проекта руководство ОАО «ГидроОГК» приняло решение о стратегическом сотрудничестве с компаний InfoWatch.

«Мы заинтересованы в дальнейшем развитии собственной системы ИТ безопасности в целом. Кроме того, для нашей компании очень важно постоянно наращивать эффективность системы защиты от внутренних угроз. Хотя все поставленные в данном проекте цели были достигнуты, мы все равно приняли решение об установлении стратегических партнерских отношений с InfoWatch. Это позволит нам заказывать модификацию отдельных компонентов решения и дополнительных модулей в соответствии со своими специфическими требованиями, а также проводить эффективное расследование инцидентов внутренней ИТ безопасности»,— комментирует Гаральд Бандурин, директор по информационным технологиям ОАО «ГидроОГК».

Таким образом, одна из крупнейших гидрогенерирующих компаний в мире уже сегодня построила эффективную, надежную и полностью управляемую систему ИТ безопасности. В отличие от многих подобных проектов внедренное решение не только соответствует ISO 17799,секции 404 закона SOX и требованиям к системе «четвертого уровня зрелости» стандарта COBIT, но и адресует одну из самых опасных групп рисков ИТ безопасности: утечку конфиденциальной информации, искажение финансовой отчетности, саботаж и другие инсайдерские угрозы.