Обзор "ИТ в банках" подготовлен При поддержке
CNewsAnalytics Race

Почему и как банки тратятся на защиту ИТ?

Информационная безопасность в банкахИнформационной безопасности в банковской сфере, по идее, должно уделяться максимум внимания, а значит, и средств. Но ситуация, сложившаяся в России, вызывает удивление. На поддержку и развитие ИТ банки выделяют недостаточно средств, а борьба с основным источником информационных потерь - инсайдерами - практически не ведется. Ситуация стала меняться лишь в последние 2-3 года. Но - коренным образом.

Защита информации остается для банков самой критичной проблемой — любая утечка данных может привести как к прямым материальным потерям, так и к ухудшению репутации на долгосрочную перспективу. В этой связи банковский сектор считается главным потребителем систем информационной безопасности, а бюджет, выделяемый на них в кредитных организациях, значительно превышает ИБ-бюджеты компаний нефинансового сектора.

Сетевой акцент

Стремительное проникновение сетевых технологий во все сферы экономики заметно отразилось на востребованности различных средств защиты информации. В настоящее время все филиалы банков объединены единой сетью, широко используется удаленное управление счетом через интернет, и банк не может допустить беззащитного соединения с сетями общего пользования. Соответственно, по сравнению с 2002 годом значительно вырос спрос на решения в области защиты от сетевых угроз.

Так, по итогам опроса 2004 года 100% респондентов назвали антивирусную защиту наиболее востребованным средством ИБ, тогда как в 2002 г. их число составляло только 24%. Процент специалистов, подчеркнувших потребность в VPN и межсетевых экранах, вырос более чем втрое.

Наиболее востребованные российскими банками средства защиты информации, %

Наиболее востребованные российскими банками средства защиты информации, %

Источник: CNews Analytics, 2005

Отдельно следует отметить растущий спрос на системы предотвращения атак. В 2002 году эти продукты, в силу малого распространения на отечественном рынке, не были включены в опрос. Однако сегодня, по оценкам «Информзащиты», системы IDP находятся на гребне популярности и активно внедряются в российских банках. По тем же данным, банками востребованы технологии, снижающие издержки на обслуживание сетей и, как следствие, решения, связанные с их безопасностью.

В целом банки в той или иной степени используют сегодня практически все существующие технологии защиты. Однако, по оценкам экспертов «Борлас», наибольший спрос отмечается на те, что сводят к минимуму риск потери информации — т.е. межсетевые экраны, системы аутентификации и антивирусные средства.

Уровень защиты растет

Опрос, проведенный CNews Analytics, выявил качественное изменение подхода российских банков к построению систем защиты информации. Если в 2002 году специалисты по ИБ выделяли несколько основных критериев защиты, то сегодня подход к построению систем безопасности стал более зрелым — отмечается необходимость комплексных интегрированных решений, охватывающих как информационные, так и физические ресурсы.

Косвенно это подтверждается оценкой уровня развития систем ИБ в российских банках: 58% экспертов охарактеризовали его как адекватный текущему состоянию банковских ИС (против 40%, давших подобный ответ в 2002 г.).

Самоценка уровня развития систем ИБ в российских банках

Наиболее востребованные российскими банками средства защиты информации, %

Источник: CNews Analytics, 2005

Однако, несмотря на повышение уровня развития систем ИБ в российских банках, специалисты в этой области отмечают, что руководители по-прежнему усиливают свое внимание к вопросам безопасности только после реализации угрозы. Постоянно растущие угрозы практически никак не сказываются на финансировании служб ИБ.

В среднем по миру, доля ИБ бюджета от общего ИТ-бюджета банка почти вдвое выше, чем у организаций нефинансового сектора, но все равно составляет не более 8%. Причем, по данным IDC, некоторые компании собираются даже сократить финансирование своих служб ИБ. Данные, полученные в ходе исследования CNews Analytics, также подтверждают, что на финансирование служб ИБ в российских кредитных организациях выделяется, как правило, не более 10% от общего ИТ-бюджета.

Аутсорсинг-готовность

Исследование CNews Analytics выявило некоторые изменения в отношении российских банков к интеграторам решений в области ИБ. Опыт показывает, что долгосрочное сотрудничество с системными интеграторами позволяет сократить издержки компании, поэтому лояльность банков к подобному взаимодействию казалась бы логичной. Тем не менее, по результатам опроса, банки привлекают интеграторов преимущественно для решения ограниченного круга вопросов, активно развивая при этом собственную службу ИБ.

Ориентированы ли банки на долгосрочное сотрудничество с системным интегратором решения?

Ориентированы ли банки на долгосрочное сотрудничество с системным интегратором решения?

Источник: CNews Analytics, 2005

С другой стороны, подобная осторожность по отношению к внешним партнерам свидетельствует о серьезном отношении банков к политике своей безопасности. В силу особой ценности хранимой информации, кредитные организации стараются как можно меньше зависеть от сторонних компаний — поставщиков ИТ-продуктов и услуг, независимо от их компетенции, поскольку чем меньше людей посвящено в устройство и работу систем защиты, тем меньше вероятность утечки информации.

Какова готовность банка отдать решение вопросов обеспечения ИБ на аутсорсинг?

Какова готовность банка отдать решение вопросов обеспечения ИБ на аутсорсинг?

Источник: CNews Analytics, 2005

Мировая практика показывает, что кредитные и страховые компании стараются самостоятельно внедрять у себя системы ИБ. Можно ожидать, что и российские банки продолжат развивать собственные службы ИБ, избегая аутсорсинговой поддержки.

Политика безопасности в банках

Специалисты признают невозможность создания абсолютно надежной системы информационной безопасности. Тот факт, что в открытых источниках практически отсутствует информация о взломах банковских систем, не означает, что подобных инцидентов не бывает. Кредитные организации, очевидно, не заинтересованы в их огласке.

Специалисты считают, что для успешной защиты информации в подобных структурах, прежде всего, необходимо организовать грамотную политику безопасности. Анализ степени уязвимости банка к различным угрозам и расстановка приоритетов защиты являются базисом для построения систем защиты. Важность подобных мероприятий подтверждает факт создания стандарта Сбербанка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

Надо отметить, что основным элементом политики безопасности эксперты выделяют организационно-правовые мероприятия. Статистка показывает, что большая часть прецедентов в сфере ИБ связана с неграмотными или халатными действиями персонала. Системы безопасности управляются человеком, который может ошибиться или намеренно некорректно на нее воздействовать. Не более 30% от утечек информации из банков связаны с внешними атаками. Большая часть преступлений совершается внутри организации самими сотрудниками, либо при их содействии. Поэтому особенно важным является правило двойного контроля, когда один служащий не имеет всех полномочий, необходимых для совершения той или иной операции, а так же принцип «знай только то, что необходимо для работы».

Проведенный опрос российских экспертов в сфере ИБ показал, что уровень развития систем защиты информации в отечественных банках пока довольно сильно отстает от западного. Однако, эволюция систем, а главное — качественное изменение подхода к построению защиты демонстрируют положительную динамику развития. Будущее банковских систем ИБ специалисты видят в интегрированных решениях, которые объединят в себе как средства информационной, так и физической защиты.

Илья Разумов / CNews Analytics

Материал подготовлен при поддержке экспертов компаний «Информзащита», «Борлас», «Ланит», Symantec.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS