Одна из таких компаний — екатеринбургский «Банк24. ру». Он входит в число самых высокотехнологичных финансовых учреждений не только в Уральском регионе, но и во всей России. Интернет-банк «Банк24. ру» признан лучшим в России — он стал победителем рейтинга «Интернет-банки России глазами экспертов — 2009».
Так, например, именно «Банк24. ру» еще в 2008г. одним из первых для защиты платежей в интернет-банке для юридических лиц внедрил токены (микрокомпьютеры для защиты секретных ключей ЭЦП у клиентов). И еще раньше, в 2006г., в этом банке приступили к прохождению процедуры сертификации на соответствие стандарту ISO/IEC 27001.
Известно, что криминал весьма активно эксплуатирует все уязвимые места в финансовых потоках. Так, по данным, озвученным в 2008г. во время одного из парламентских слушаний в Госдуме, только зарегистрированные кражи финансовых средств со счетов граждан, индивидуальных предпринимателей, предприятий, учреждений и организаций составили около 30 млрд руб. Учитывая высокую латентность подобных преступлений, эту цифру можно смело увеличить в 10 раз. И каждый такой инцидент, хоть и не несет прямого ущерба банку, сказывается на его репутации.
Руководство банка посчитало, что соответствие нормам данного стандарта будет важным конкурентным преимуществом и позволит клиентам банка спать спокойно. К тому же ISO 27001 — не технологический, а организационный стандарт. Это позволяет выявлять и предотвращать эксплуатацию многих средств социальной инженерии. И внедрение комплекса мер, направленного на снижение количества посягательств на клиентов, будет повышать доверие к банку. Кроме того, что важно в условиях кризиса и его последствий, в частности ограниченности бюджетов, система управления информационной безопасностью (СУИБ), выстроенная в соответствии с требованиями ISO/IEC 27001, который построен на принципах управления рисками, позволяет сосредотачивать ресурсы на наиболее опасных направлениях. И эти самые опасные направления своевременно изменяются в соответствии с текущей обстановкой, например, с появлением новых уязвимостей, которые реально эксплуатируют злоумышленники. Важно также, что данный стандарт охватывает всю деятельность компании, а не только то, что относится к компетенции службы информационной безопасности.
Работы по проекту внедрения норм стандарта ISO/IEC 27001 были начаты в 2006г. Они продолжались два года и велись по большей части собственными силами. Команда проекта состояла из 23 человек, а всего в процессе внедрения и сертификации СУИБ было задействовано 118 человек.
Проект был весьма сложен, что усугублялось отсутствием опыта внедрений в то время. Так, в 2006г. много времени ушло, чтобы осознать: невозможно охватить все активы (счет уязвимостей всех активов шел на многие тысячи) и выработку решений по их защите.
Пришлось сужать перечень активов. Все они были сведены в таблицу, и каждому поставлен в соответствие уровень их критичности для бизнеса. И те активы, чей уровень значимости оказался ниже определенного уровня, просто исключались из рассмотрения. В списке остались только активы, реально оказывавшие влияние на бизнес. Только после этого, как отметил Андрей Ерин, практическая работа пошла.
Следующим этапом стала идентификация рисков. Этот процесс шел совместными усилиями владельцев активов и службы информационной безопасности.
Что касается работы с персоналом, то задачу упростило заблаговременное внедрение системы менеджмента качества по стандарту ISO 9001. Система контроля, когда фиксируются те или иные инциденты или возможность их возникновения, была распространена и на события, связанные с информационной безопасностью. Для фиксации данных событий в банке было использовано уже имеющееся ПО собственной разработки, предназначенное изначально для нужд системы менеджмента качества (СМК) согласно ISO 9001. При этом действует система материального стимулирования, и за каждый описанный критичный инцидент сотрудник получает определенную сумму, от 1500 до 3000руб. В результате сотрудники банка активно участвуют в выявлении таких узких мест.
Далее эти риски выносятся на группу координации информационной безопасности, куда входит руководство банка. Они обсуждают, какие временные, людские и финансовые ресурсы необходимо выделить на решение тех или иных проблем.
Риски делятся на три категории:
- «зеленую» — те риски, которыми можно пренебречь в данный момент;
- «желтую» — которые можно смягчать, но можно и не смягчать;
- «красную» — те риски, которые необходимо смягчать обязательно.
Затем определяется план мероприятий, ответственные за его проведение сотрудники, сроки исполнения, и формируется бюджет. Впоследствии этот план утверждается у руководства. Для контроля исполнения плана также используются средства СМК. Эффективность мер измеряется по интегральному показателю, который в шутку был назван «попугаями». Но, как отметил Андрей Ерин, этот показатель, измеряемый в «попугаях», живой, он не надуман и отражает неприкрашенную действительность.
На момент начала работ его значение составило 48, к концу 2009г. — 84, а в настоящее время около 70. На значение этого показателя влияет много факторов: внедрение новых автоматизированных систем, сервисов для клиентов, ситуация на рынке. Так, наблюдалось заметное проседание показателя осенью 2008г., в самый разгар банковского кризиса, а снижение показателя эффективности в начале 2010г. вызвано переходом на новую АБС и внедрением еще одного интернет-банка.
На тот момент, когда «Банк24. ру» вышел на процедуру сертификации, в России еще не было органа, который был бы уполномочен проводить соответствующую аттестацию. Пришлось воспользоваться услугами международной компании «Bureau Veritas Certification». Аудитор из Израиля в течение месяца оценивал функционирование системы менеджмента информационной безопасности и полноту интеграции системы во внутренние бизнес-процессы на основании предоставленной нами документации. Затем он прилетел в Екатеринбург и лично проверял, как выполняются в жизни процедуры, описанные в документах. Была осуществлена проверка в 18 подразделениях на предмет соответствия деятельности по управлению информационной безопасностью каждого отдела требованиям стандарта ISO/IEC 27001. Андрей Ерин вспоминает, как это проходило: «Эти четыре дня продолжался показательный мастер-класс для российского аудитора. Все, что относится к информационной безопасности, было вывернуто наизнанку и проверено». По итогам данной проверки составили Перечень несоответствий, которые затем были устранены. Однако эти несоответствия относились к числу некритичных, и в результате сертификат был получен.
В 2009г. надзорный аудит подтвердил соответствие требованиям стандарта. Более того, были подтверждены улучшения в системе. Это Андрей Ерин прокомментировал так: «Те два года, которые продолжались работы по проекту внедрения стандарта ISO/IEC 27001, я тихо ненавидел сам текст стандарта. В нем много тонкостей и сложностей. Но со временем отношение к нему изменилось на прямо противоположное. На практике стандарт реально помогает построить живую, развивающуюся систему защиты». Затраты на данный проект составили несколько сот тысяч рублей. Но они многократно окупились. Так, например, именно благодаря внедрению норм ISO/IEC 27001 удалось предотвратить целый ряд хищений со счетов предприятий.