Дмитрий Зарахович: наша задача – помочь банкам привить стандарты менеджмента
Информация в современном мире давно стала своеобразным обоюдоострым оружием, несущим риски и тем, кто на нее покушается, и тем, кто ею обладает. Особенно рельефно это проявляется в финансовом секторе, где сведения могут и обогатить, и разорить. Как защититься от таких вызовов? Об этом «Банкиру» рассказывает генеральный директор ООО «Центр системных интеграций» (TM SICenter – http://sicenter.net/) Дмитрий ЗАРАХОВИЧ. Возглавляемая им компания стала лауреатом I Международного конкурса «Банковская безопасность – 2013» в номинации «Лидер по построению систем управления информационной безопасностью (СУИБ) для украинских банков».
- Дмитрий Анатольевич, с какими трудностями приходится сталкиваться чаще всего при построении системы управления информационной безопасностью в банке?
- К сожалению, почти во всех банках одни и те же проблемы. Отсутствует документирование изменений во внутрибанковских системах автоматизации, нет адекватного описания бизнеспроцессов, отсутствует или необъективна инвентаризация имеющихся ресурсов. Поэтому, когда мы предлагаем внедрение систем менеджмента, управления ИТ и информационной безопасностью, оценки уровня предоставления бизнессервисов, а также сопутствующих рисков, возникает много вопросов. Суть их в том, что в банках зачастую не систематизирована информация, а изменения происходят настолько быстро, что при этом иногда никак не фиксируются. Здесь, в том числе, возникает два нюанса, связанных с автоматизированной банковской системой. Вопервых, у принимающих решения лиц могут возникать сомнения в достоверности информации, выдаваемой системой. Это может быть вызвано некоррект
ностью первичных данных, которые попадают в основную систему из интегрированных с ней приложений. Вовторых, в любом ПО, дефакто, есть ошибки а также закладки, в том числе те, при помощи которых в процессе отладки системы разработчики проводят проверку ее работы. Учитывая человеческий фактор, есть риск, что при определенных условиях заинтересованные лица могут воспользоваться такими закладками в личных корыстных целях. Для банка, где автоматизация пронизывает все критические бизнеспроцессы, это может обернуться финансовыми потерями. У нас есть разработки, позволяющие оценить первичный код, найти закладки и места уязвимости, проверить незадокументированный функционал системы. Причем язык программирования значения не имеет – решение может работать практически со всеми языками.
- Информационные технологии сейчас совершенствуются буквально каждую минуту, в том числе и в сфере несанкционированного доступа к базам данных. Насколько предлагаемые Вами решения готовы к новым вызовам?
- Безусловно, готовы. Здесь есть два направления. Одно связано с системами динамического контроля внутри банка: безусловно, специалисты в области защиты информации знакомы с классом решений обеспечения безопасности баз данных. Но есть отдельных блок вопросов, связанных с несанкционированным использованием информации, полученной легальным путем из базы данных. В таких случаях мы предлагаем решения, которые обеспечивают контроль режима секретности электронной информации, в том числе с интеграцией в автоматизированные системы и СУБД.
Второе направление связано с контролем статических данных: в этом случае применяется класс решений по компьютеротехнической экспертизе, с помощью которых можно проводить фактически следственные действия и определять какая информация где хранится, управлять удаленным уничтожением «лишней» информации и собирать доказательную базу при выявлении несанкционированной работы с данными.
- Крупным финансовым институтам приходится оперировать огромными массивами информации, которая постепенно накапливается. Предусматривают ли Ваши решения создание отдельных архивов с базами данных?
- Эти вопросы регулируются двумя Постановлениями НБУ: № 265 «Об утверждении положения по обеспечению непрерывного функционирования информационных систем Национального банка Украины и банков Украины» и № 357 «Об утверждении положения формирования, хранения и уничтожения электронных архивов в Национальном банке Украины и банках Украины». Кстати, НБУ сейчас очень активно проверяет выполнение всех нормативных документов в рамках инспекционных проверок СУИБ. SICenter как раз находится в процессе реализации таких проектов для нескольких банков.
- Какие задачи поставлены перед Вашей компанией на ближайшую перспективу?
- Мы стремимся быть евангелистами стандартизации и применения систем менеджмента для оптимизации банковских бизнеспроцессов и, соответственно, снижения транзакционных расходов, а также повышения уровня управляемости организации и скорости принятия ключевых бизнес решений. В настоящее время также сформирован пул высокотехнологичных решений, которые мы готовы предложить банкам с заведомо просчитанным результатом от внедрения. То есть задача, проще говоря, – «быть полезными»!
Беседовал Сергей Соколовский
- Видео Online
- «БАНКИРЪ» online
- Бизнес-уроки
- Конференции
- Персоны
- Пресс-релизы
- Новости МФ Клуба «Банкиръ»
- Искусство
- Имидж
- Стиль жизни
- Конкурсы
- Обучение
- Право
- Страхование
- Инвестиции
- Содружество
- Регионы
- Аналитика
- Точка зрения
- Технологии
- Безопасность
- Оборудование
- Платежные системы
- Финансовый рынок
- Информстраница
- Выставки и форумы
- Зарубежный опыт
- Банковский сектор
- Эксклюзив
- VIP-интервью
.png)
.jpg)
.jpg)
.png){kind=logo}