ЗАО «МЕТРОБАНК» является одним из самых передовых высокотехнологичных банков, где широко используются новые продукты и решения, направленные на обеспечение информационной безопасности. Важным шагом по совершенствованию многоуровневой защиты здесь стало внедрение системы eSafe Hellgate, разработанной компанией Aladdin и обеспечивающей защиту от угроз со стороны активного вредоносного интернет-контента. Об этом проекте мы говорим с заместителем директора департамента информационной безопасности МЕТРОБАНКа Андреем Булгаковым.
Intelligent Enterprise: Как в вашем банке регламентируются вопросы информационной безопасности и требования к системам защиты?
Андрей Булгаков: Согласно рекомендациям СТО БР ИББС-2.0—2007 структура нормативных документов банка по обеспечению информационной безопасности разделена на четыре уровня. Политика ИБ верхнего уровня определяет общую стратегию и главные направления деятельности в этой области. Основным документом, содержащим требования к работе пользователей с ресурсами сети Интернет, является одна из частных политик ИБ, а процедуры, имеющие непосредственное отношение к функциональности eSafe Hellgate, описаны в соответствующих инструкциях — документах третьего уровня. Документы четвертого уровня — это прежде всего утвержденные отчеты о работе системы, которые на регулярной основе доводятся до руководства.
Вы предварительно сравнивали затраты на внедрение комплекса и полученные выгоды?
Да, подобные оценки проводились. Были проанализированы информационные риски, при этом бизнес-владельцы ресурсов, которыми у нас являются подразделения банка, определяли их ценность самостоятельно. Затем полученная оценка ресурсов была подтверждена нашими экспертами, что позволило минимизировать возможные ошибки при определении уровня потенциального ущерба.
Используя данные об инцидентах в области информационной безопасности, мы постарались учесть актуальные угрозы и уязвимости информационных активов. В результате проведенного анализа получили перечень оцененных рисков. Риски, связанные с репутацией банка, оценить было очень сложно. Как вы оцените доверие клиентов к банку, их уверенность в том, что информация будет надежно сохранена в автоматизированной банковской системе и не окажется в руках злоумышленников? Но учтено было всё, в том числе и остаточные риски, т. е. уровень угроз, остающихся после проведения мер по их минимизации. Кроме того, мы обращали внимание на вторичные риски, порождаемые в результате мероприятий, снижающих риски исходные.
Поясню на близком к теме нашего разговора примере: как только для защиты банка от угроз, связанных с работой в Интернете, устанавливается дополнительная система, сразу появляется риск её взлома или поломки самогó программно-аппаратного комплекса, что и становится вторичным риском. Для руководства банка мы подготовили экономическое обоснование внедрения, где предоставили расчетное время окупаемости систем. В нашем случае, поскольку в банке уже построена многоуровневая система защиты, расчетное время составило полтора-два года. Срок окупаемости напрямую зависит от состояния информационной безопасности организации: чем хуже обстоят здесь дела, тем быстрее окупится такое внедрение. Наш уровень до внедрения я оцениваю на «хорошо», так что для кого-то подобной срок может составить и несколько месяцев.
Какие требования предъявлялись к продуктам на этапе выбора?
При выборе системы защиты мы в первую очередь учитывали ее совместимость с уже существующим программным и аппаратным обеспечением банка, соответствие действующему законодательству и нашей политике безопасности. Продукт должен был осуществить фильтрацию почтового и Web-трафика, обеспечить защиту от шпионского ПО и контроль сетевой активности приложений, исключить нецелевое использование информационных ресурсов банка, но в то же время не быть сложным в администрировании и не требовать установки клиентских модулей на рабочих местах пользователей. Руководствуясь такой логикой, мы и остановились на eSafe Hellgate.
Помимо этого важна готовность поставщика качественно и своевременно оказывать нам техническую поддержку в случае необходимости. За время эксплуатации у нас не было серьезных претензий в этом отношении. Все наши вопросы и замечания быстро и оперативно решались специалистами компании-интегратора. Кроме того, сейчас и в банке один сотрудник прошел обучение по курсу eSafe.
Как проходил проект внедрения, на какие этапы делился?
Проект внедрения и интеграции eSafe в существующую инфраструктуру начался с этапа планирования, в ходе которого мы определили цели, задачи и схему подключения комплекса. Следующим этапом стало включение системы защиты информации в сеть банка, но в режиме мониторинга. Так как eSafe Hellgate — многофункциональный комплекс, внедрение его модулей проходило последовательно. В основном это связано с тем, что мы стремились максимально избежать технических проблем в работе информационных систем банка.
Порядок подключения модулей в нашем случае был следующий: сначала заработал режим Web-фильтрации, потом антиспам-режим, последним был подключен модуль фильтрации приложений eSafe Application Filter, который блокирует угрозы, исходящие от служб мгновенных сообщений и P2P, позволяет блокировать потоковое аудио и видео, а также запрещать функционирование неразрешенных приложений удаленного управления. При работах по развертыванию продукта возникали проблемы, но связаны они были главным образом с особенностями нашей внутренней сети. Благодаря комплексному, детальному планированию процесса внедрения большая часть возникающих проблем оперативно решалась.
Развертывание системы как-то отразилось на количестве входящего трафика?
Трафик уменьшился незначительно, но нам важно не его количество, а его качество. Если грамотно пользоваться обширными возможностями eSafe Hellgate, то он производит максимальную очистку трафика от всего нежелательного и вредоносного контента. В частности, продукт способен блокировать злонамеренные коды типа Java и ActiveX в Web-страницах, анализировать на лету HTML-трафик и код изображений JPEG на Web-сайтах и в электронной почте, исключая из него вредоносный контент.
Можете ли вы оценить, насколько критичен для вас потенциальный отказ комплекса?
Важным критерием при выборе решения для нас была именно отказоустойчивость. В случае отказа eSafe Hellgate сотрудники продолжат пользоваться сетью под контролем других систем нашей многоуровневой защиты. Например, параллельно со встроенным в комплекс антивирусом и антиспамом в банке ещё работают программы сходной функциональности. Я считаю, что отказ любого уровня защиты не должен привести к ослаблению информационной безопасности банка в целом.
В дальнейшем мы планируем внедрение «горячего» резерва eSafe, что значительно снизит риск его отказа в работе. Кроме того, нами разработаны и протестированы соответствующие инструкции и регламенты по восстановлению работоспособности комплекса в случае сбоев.
При приеме на работу вы ставите людей в известность о фукнционировании в банке системы, контролирующей их активность в сети?
Да, безусловно, все новые сотрудники в обязательном порядке под роспись знакомятся с соответствующими нормативными документами банка. Работа с персоналом включает в себя вводный инструктаж по вопросам информационной безопасности и знакомство с политикой банка в этой сфере. Мы периодически проводим тематические семинары, а раз в полгода все сотрудники проходят электронное тестирование на знание основных положений и требований в этой области. У нас внедрена система постоянного информирования сотрудников о ключевых аспектах безопасности, принятых в банке.
Хотелось бы отметить, что eSafe позволяет настроить соответствующие предупреждения, и пользователей очень впечатляет надпись в окне браузера, говорящая о том, что попыткой доступа к данному ресурсу они нарушили пункт политики ИБ.
Михаил Плахута, ведущий специалист центра информационной безопасности компании Pacifica
Как вы оцениваете заинтересованность банковского сектора в решениях для фильтрации контента и очистки трафика от вредоносного ПО в целом?
Согласно требованиям федерального законодательства и нормативов ЦБ РФ, ФСТЭК и ФСБ операционная сеть банка должна быть физически отделена от сети общего пользования. Однако зачастую выход в Интернет у сотрудников банка есть, а значит, здесь актуален вопрос защиты от небезопасной среды, которую представляет собой глобальная сеть.
Не смотря на скрытность прецедентов в области нарушения политик ИБ и их последствий, случаи фишинга даже в российских банках в последнее время стали обсуждаться на страницах прессы. Но банк не может подвергать свои ресурсы риску, ведь если сотрудник, путешествуя по сайтам или открывая очередное письмо, «посадит» на свой ПК «шпиона», трояна или любой другой тип вредоносного кода, это может повлечь за собой утечку информации, в том числе — персональных данных клиентов.
Важнейшим последствием подобной утечки являются отнюдь не финансовые убытки (хотя они могут исчисляться миллионами). Самое страшное — это потеря репутации, а значит, утрата доверия клиента. Именно поэтому банкам необходим надёжный фильтр почтового и интернет-трафика, блокирующий шпионский и другой активный злонамеренный контент, способный осуществлять URL-фильтрацию, фильтрацию приложений и т. д. При этом важнейшим требованием к решениям такого класса является отказоустойчивость, гибкая масштабируемость и возможность подключения дополнительных функциональных модулей защиты.