Обеспечение информационной безопасности малого банка в условиях дефицита финансовых средств

Юшков Д.Ю.
выпускник группы CISO-01
Школы IT менеджмента
РАНХиГС при Президенте РФ

Введение

В настоящее время большое количество малых и даже средних банков не в состоянии по экономическим причинам удовлетворить всем требованиям по информационной безопасности (ИБ) со стороны регуляторов.

Поскольку  требования к ИБ  Банков становятся всё  более регламентированными, то у банков остаётся всё меньше свободы в принятии собственных решений (полноты данных решений и самостоятельной оценки достаточности принятых мер).

Если до появления закона о национальной платёжной системе ФЗ 161 регулирование в области информационной безопасности Банков осуществлялось с  помощью добровольно-принудительного стандарта безопасности СТО БР ИББС- 1.0-2010, то с принятием ФЗ 161 и на его основе  382-П Требования к защите информации при денежных переводах  ситуация в корне изменилась.

Банкам в принудительном порядке (пока только в области платёжной системы) вменяется обязательная периодическая отчётность, а также необходимость выполнения ряда других требований в области защиты информации.

Особенно важно, что регулирование вопросов защиты информации при переводе денежных средств теперь, в соответствии со ст. 27 ФЗ-161, осуществляется в рамках надзора за операторами платёжных систем. Таким образом, с 1 июля 2012 года Банк России получил полномочия нормативного регулирования этой деятельности.

Перед небольшими банками встаёт серьёзная задача - какими способами удовлетворить по возможности требования регуляторов при тех средствах, которые они могут себе позволить потратить на решение этой задачи.

Бизнес задача

Целью настоящей работы было проанализировать текущее состояние банка и исправление ошибок,  допущенных предыдущем менеджментом Банка.

Собственниками Банка была поставлена задача - максимально малыми финансовыми средствами  решить задачу обеспечения информационной безопасности банка в широком понимании данной проблемы:

• Максимальное удовлетворение требований регуляторов (ЦБ РФ, РОСКОМНАДЗОР, ФСТЭК, ФСБ) в области информационной безопасности.
• Обеспечение ИБ организационно-техническими средствами при максимально малых затрат денежных средств.

В соответствии с действующим законодательством для решения поставленной задачи выбирались компенсирующие меры, позволяющие сократить финансовые затраты.

Результаты

В рамках проводимых работ был проведён аудит всех банковских систем по экспертной методике вследствие которого были выстроены направления дальнейшей деятельности:

1. Создание перечня информационных активов Банка с целью определения обьектов защиты.

1. Особое внимание было уделено  Дистанционному Банковскому обслуживанию, поскольку риски с вязанные с прямым хищением средств в настоящее время очень велики. Разработан пакет документов и мер для получения лицензии ФСБ. На основе разработанных документов была успешно получена лицензия ФСБ.
2. Создана система обработки инцидентов информационной безопасности.
3. Приведено информационное и функциональное содержание сайта Банка в соответствии с требованием ЦБ РФ.
4. Внедрена централизованная система управления Антивирусной защиты.
5. Приведены в соответствие используемые программные продукты и лицензий к ним.
6. Пройдена процедура регистрации в РОСКОМНАДЗОРе, Банк был заявлен как оператор по обработке персональных данных.
7. В соответствии с рекомендациями АРБ и требованиями Центрального Банка по осуществлению непрерывности бизнеса проведена модернизация системы резервного копирования ( положением Банка России от 21.02.2013 N 397-П "О порядке создания, ведения и хранения баз данных на электронных носителях").
8. Заменена  система охлаждения в серверной с созданием резервной системы  с распределением нагрузки.
9. Создана база регламентирующих документов в области информационной безопасности.
10. Даны рекомендации по перестроению и модернизации компьютерной сети Банка.

Заключение

Поставленная задача собственниками банка была в целом выполнена. Данная работа может служить другим банкам базовой моделью для выполнения требований регуляторов. Разработанные документы, которые указаны в приложении, могут быть с небольшими доработками использованы методистами других Банков для обеспечения их документарной базы в области информационной безопасности.