Информация в современном мире давно стала своеобразным обоюдоострым оружием, несущим риски и тем, кто на нее покушается, и тем, кто ею обладает. Особенно рельефно это проявляется в финансовом секторе, где сведения могут и обогатить, и разорить. Как защититься от таких вызовов? Об этом «Банкиру» рассказывает генеральный директор ООО «Центр системных интеграций» (TM SICenter – http://sicenter.net/) Дмитрий ЗАРАХОВИЧ. Возглавляемая им компания стала лауреатом I Международного конкурса «Банковская безопасность – 2013» в номинации «Лидер по построению систем управления информационной безопасностью (СУИБ) для украинских банков».

- Дмитрий Анатольевич, с какими трудностями приходится сталкиваться чаще всего при построении системы управления информационной безопасностью в банке?

- К сожалению, почти во всех банках одни и те же проб­лемы. Отсутствует документирование изменений во внут­рибанковских системах автоматизации, нет адекватного описания бизнес­процессов, отсутствует или необъективна инвентаризация имеющихся ресурсов. Поэтому, когда мы предлагаем внедрение систем менеджмента, управления ИТ и информационной безопасностью, оценки уровня предоставления бизнес­сервисов, а также сопутствующих рисков, возникает много вопросов. Суть их в том, что в банках зачастую не систематизирована информация, а изменения происходят настолько быстро, что при этом иногда никак не фиксируются. Здесь, в том числе, возникает два нюанса, связанных с автоматизированной банковской системой. Во­первых, у принимающих решения лиц могут возникать сомнения в достоверности информации, выдаваемой системой. Это может быть вызвано некоррект­
ностью первичных данных, которые попадают в основную систему из интегрированных с ней приложений. Во­вторых, в любом ПО, де­факто, есть ошибки а также закладки, в том числе те, при помощи которых в процессе отладки системы разработчики проводят проверку ее работы. Учитывая человеческий фактор, есть риск, что при определенных условиях заинтересованные лица могут воспользоваться такими закладками в личных корыстных целях. Для банка, где автоматизация пронизывает все критические бизнес­процессы, это может обернуться финансовыми потерями. У нас есть разработки, позволяющие оценить первичный код, найти закладки и места уязвимости, проверить незадокументированный функционал системы. Причем язык программирования значения не имеет – решение может работать практически со всеми языками.

- Информационные технологии сейчас совершенствуются буквально каждую минуту, в том числе и в сфере несанкционированного доступа к базам данных. Насколько предлагаемые Вами решения готовы к новым вызовам?

- Безусловно, готовы. Здесь есть два направления. Одно связано с системами динамического контроля внутри банка: безусловно, специалисты в области защиты информации знакомы с классом решений обеспечения безопасности баз данных. Но есть отдельных блок вопросов, связанных с несанкционированным использованием информации, полученной легальным путем из базы данных. В таких случаях мы предлагаем решения, которые обеспечивают контроль режима секретности электронной информации, в том числе с интеграцией в автоматизированные системы и СУБД.

Второе направление связано с контролем статических данных: в этом случае применяется класс решений по компьютеро­технической экспертизе, с помощью которых можно проводить фактически следственные действия и определять какая информация где хранится, управлять удаленным уничтожением «лишней» информации и собирать доказательную базу при выявлении несанкционированной работы с данными.

- Крупным финансовым институтам приходится оперировать огромными массивами информации, которая постепенно накапливается. Предусматривают ли Ваши решения создание отдельных архивов с базами данных?

- Эти вопросы регулируются двумя Постановлениями НБУ: № 265 «Об утверждении положения по обеспечению непрерывного функционирования информационных систем Национального банка Украины и банков Украины» и № 357 «Об утверждении положения формирования, хранения и уничтожения электронных архивов в Национальном банке Украины и банках Украины». Кстати, НБУ сейчас очень активно проверяет выполнение всех нормативных документов в рамках инспекционных проверок СУИБ. SICenter как раз находится в процессе реализации таких проектов для нескольких банков.

- Какие задачи поставлены перед Вашей компанией на ближайшую перспективу?

- Мы стремимся быть евангелистами стандартизации и применения систем менеджмента для оптимизации банковских бизнес­процессов и, соответственно, снижения транзакционных расходов, а также повышения уровня управляемости организации и скорости принятия ключевых бизнес решений. В настоящее время также сформирован пул высокотехнологичных решений, которые мы готовы предложить банкам с заведомо просчитанным результатом от внедрения. То есть задача, проще говоря, – «быть полезными»!

Беседовал Сергей Соколовский