Совместный проект При поддержке
 Ассоциация Российских Банков Журнал "Банки и технологии"


Информационная безопасность в банках: взгляд изнутри и со стороны

В апреле 2002 года CNews.ru провело небольшое исследование на тему "Информационная безопасность в банковской сфере". Мы хотели узнать как оценивают защищенность банковских IT-систем поставщики решений и сами банки. Некоторые результаты оказались нетривиальны.

 

 

 

 

 

 

 

 

 

Компании, любезно согласившиеся ответить на наши вопросы в рамках исследования "Информационная безопасность в банковской и финансовой сфере".

АНД Проджект
Биолинк
Весть-МетаТехнология
Банк "Викинг"
ИНФОРМЗАЩИТА
Инфосистемы Джет
Краснодарский СБ РФ
ОТР
Сбербанк
Среднерусский банк СБ РФ
Aladdin Software Security R.D
IIG
Rainbow Technologies
Ramax International
Symantec

Мнения участников рынка

Владимир Гайкович: У банковских подразделений информационной безопасности пока слишком короткие руки

Несмотря на то, что информационное сопровождение IT-бизнеса в России с каждым годом становится все более полным и насыщенным, на рынке существует целый ряд сегментов, данные по которым, к сожалению, пока не собраны и не обработаны исследователями. Одним из таких традиционно закрытых сегментов является сфера информационной безопасности. За экспертными оценками рыночных показателей отрасли CNews.ru обратился к Владимиру Гайковичу, генеральному директору НИП "ИНФОРМЗАЩИТА". На свои вопросы мы получили исчерпывающие ответы.

CNews.ru: В России так сложилось исторически, что многие банковские и финансовые структуры изначально имели собственные службы, контролирующие вопросы безопасности (в том числе и информационной). Насколько активно эти структуры сегодня готовы к аутсорсингу данного вида работ?

Владимир Гайкович: Практически в каждом банке существует собственная служба безопасности. Эта служба, как правило, обеспечивает любую безопасность, за исключением информационной, - защиту помещений, хранилищ наличных денег, организацию пропускного режима, инкассацию, возврат кредитов и т.д. С информационной безопасностью (ИБ) все несколько сложнее. Отдельная служба по обеспечению ИБ есть далеко не у каждого банка или инвестиционной компании. Хотя в течение последних полутора лет мы наблюдаем отрадную тенденцию. Все больше и больше банков создают в своей структуре подразделение, отвечающее за обеспечение именно информационной безопасности (ИБ). Но, как любой новорожденный, такое подразделение имеет большую голову и короткие руки. То есть они могут думать об организации ИБ все что угодно, но своего бюджета на обеспечение ИБ у них, как правило, нет и ничего самостоятельно они сделать не могут. В большинстве случаев, им отводится роль исполнителей чужих распоряжений.

Насчет аутсорсинга. Сейчас уже очевидно, что создать квалифицированную службу информационной безопасности в любой структуре достаточно тяжело. И банки здесь не исключение. Поэтому банки стоят перед нелегким выбором - либо делать все самим, либо какую-то часть работ отдавать сторонним организациям. Здесь все зависит от целеполагания. Если интересует экономия средств - первый вариант имеет явные преимущества. Если же важнее сроки и результат - то второй вариант предпочтительнее.

В аутсорсинге явно прослеживаются две основные тенденции. Постепенно увеличивается спрос банков на консалтинговые услуги, особенно в части анализа состояния безопасности технологических процессов. Оно и понятно - слишком велика цена ошибки при построении системы информационной безопасности. Спрос же на удаленное управление средствами защиты, то, что на Западе именуется "Managed Security Services", пока незначителен. Банки пока не готовы отдать собственные средства защиты в руки представителей сторонних организаций.

CNews.ru: Какие решения в сфере ИБ пользуются наибольших спросом в банковских и финансовых компаниях? Как изменяются запросы этого сектора в течение последних нескольких лет?

Владимир Гайкович: Наибольшим и устойчивым спросом на протяжении последних лет пользуются решения в области ЭЦП (электронная цифровая подпись, Прим. ред.). В основном по причине широкого использования системы "Банк-Клиент" и ускорения оборота платежных документов. Пока еще потребность банков в оказании им услуг по ЭЦП полностью не удовлетворена и, скорее всего, в течение следующих нескольких лет эти решения будут наиболее популярны в банковском секторе.

Катализатором роста спроса на решения в области ЭЦП вполне может стать "Закон об ЭЦП". Во всяком случае, количество обращений к нам по поводу организации удостоверяющих центров возросло в разы, если не на порядок. Если эти обращения перерастут в реальные контракты - тогда можно будет говорить о явной тенденции.

Вполне устойчив спрос на решения по защите телекоммуникационной инфраструктуры - межсетевые экраны, средства организации VPN, системы обнаружения атак. Причинами этого являются появление услуг, предлагаемых банками через Internet, и расширение филиальной сети банков. Скорее всего, эта тенденция не изменится еще несколько лет.

Как я отмечал ранее, средним устойчивым спросом последние два года пользуются консалтинговые услуги, особенно в части проектирования подсистем информационной безопасности.

В фазе формирования находится спрос на решения по интегрированному управлению средствами защиты. Мы предполагаем его рост в следующие несколько лет.

Полный текст интервью

Информационная безопасность бизнеса: основные проблемы

Сегодня уже практически нет необходимости убеждать компании, активно использующие для ведения своего бизнеса современные информационные технологии, в необходимости обеспечения безопасности своих информационных систем. Проблема защиты конфиденциальной информации компании, обеспечения бесперебойной работы корпоративной информационной системы, контроля целостности платежных документов, финансовой и другой критичной для бизнеса информации становится все более актуальной с ростом использования Internet для осуществления коммерческих операций.

О компании
"Информзащита"

Научно-инженерное предприятие "ИНФОРМЗАЩИТА" основано в 1995 году и в настоящее время является одной из ведущих компаний России, специализирующейся на оказании услуг в области проектирования, разработки и внедрения решений по обеспечению информационной безопасности современных автоматизированных систем различного назначения и уровня сложности. Компания обладает большим практическим опытом и передовыми методиками проведения проектных работ по информационной безопасности, основанных как на российских, так и на зарубежных стандартах и методических материалах.


Владимир Елисеев: "Коробочные" решения уже никого не устраивают

Владимир ЕлисеевНа вопросы CNews.ru отвечают представители компании "Инфосистемы Джет": генеральный директор Владимир Елисеев, начальник отдела по работе с банковскими и финансовыми структурами Константин Казаков, начальник отдела средств и методов защиты информации Илья Трифаленков.

CNews.ru: Прежде чем говорить о защите информации в банковской сфере хотелось бы дать оценку общему уровню защиты банковских IT-систем в России.

Илья Трифаленков: Я бы оценил уровень защиты как адекватный уровню развития самих информационных технологий. По мере того, как развиваются информационные технологии в банке, нарастает понимание, что ресурсы этой банковской системы надо защищать и значит, какая-то часть финансовых средств должна быть направлена на построение защиты.

CNews.ru: Какова динамика спроса на IT-решения среди финансовых структур? Готовы ли банки доверить решение вопросов контроля безопасности третьим лицам или же более активно развивают собственные службы безопасности?

Константин Казаков: Можно сказать, что рост значителен. В 1997-98 гг. были в основном традиционные отделы по "физической" безопасности, а об информационной безопасности заботились в последнюю очередь (ввиду бюджетных вопросов). Сейчас положение несколько изменилось. Я думаю, в среднем банк тратит на информационную защиту порядка 20-30% от общего бюджета, выделяемого на безопасность.

Что касается второй части вашего вопроса. Нет, на мой взгляд, банки не готовы доверять. У каждого банка есть своя собственная служба безопасности, и в некоторых банках даже главенствующая над департаментом ИТ. Это общая практика, которая, скорее всего, сохранится и дальше.

Владимир Елисеев: Если говорить о динамике рынка, то одна из основных тенденций, на мой взгляд, это уход от "коробок": простые "коробочные решения" не только в области информационной безопасности, но и в других областях сами по себе перестают работать. Можно легко собрать систему, которая неработоспособна, при всей внешней привлекательности. Чтобы этого не произошло, необходимы достаточно четкие меры, принимаемые организацией, которая занимается проектом. Многие системы, которые сейчас строятся, требуют детальной проработки. Кроме того, важны вопросы организации работы. Если отсутствует жесткая система управления проектом, то в больших структурах внедрение растягивается не на недели, а на годы.

У нашей компании есть ряд технических решений, которые выведены на уровень типовых и не требуют длительной проработки. Они адаптируются под конкретного заказчика и далее идет накатанная система исполнения. Другая категория - относительно новые решения, которые не могут быть заранее "на глазок" просчитаны. Их надо проектировать, не говоря о том, что сам заказчик до конца не знает, что именно ему нужно. Он хочет решить задачу, но не понимает, как ее решить. Мы рисуем первый эскиз - как это можно сделать, предоставляем информацию о том, какие характеристики системы сколько реально стоят. После этого заказчик начинает изменять свои оценки, требования. В результате меняется решение. Каждое изменение оформляется в реальных документах. Без проектов это просто не делается.

Полный текст интервью

Вернуться на главную страницу обзора

Содержание обзора:

  • Управленческие IT-решения в банковском секторе
  • Интернет-банкинг: медленно, но верно
  • Интернет-трейдинг: в томительном ожидании бума
  • Платежные системы: мировой рынок
  • Информационная безопасность в банковской сфере
  • Телекоммуникационные решения в банковской сфере
  • Динамика цен на акции компаний, предлагающих высокотехнологичные услуги в банковской сферах
  • Версия для печати

    Опубликовано в 2002 г.

    Toolbar | КПК-версия | Подписка на новости  | RSS