BIS Journal №1(8)/2013

1 февраля, 2013

Об отрасли и о себе

Дмитрий СОБОЛЕВ,
директор департамента информационной безопасности «Энвижн Груп»:

«ЭНВИЖН ГРУП» ОБЕСПЕЧИВАЕТ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ БАНКОВ С МОМЕНТА ОБРАЗОВАНИЯ КОМПАНИИ, А ЭТО УЖЕ 12-Й ГОД»

Отрасль товаров и услуг для обеспечения информационной безопасности банков сформировалась достаточно давно, как минимум 10 лет назад. Её «созреванием» можно считать период, когда компании – системные интеграторы организовали специальные направления, пос- вящённые исключительно работе с банками в части ИБ.

Основные особенности информационной безопасности банков – это необходимость соответствовать множеству стандартов и законов и, как следствие, более строгие требования к исполнителю. Немаловажна для банков и поддержка высокой отказоустойчивости решений вместе с быстрой реакцией на инциденты безопасности. Поэтому компании, выходящие на этот рынок, должны отличаться динамичностью, а их ИБ-специалисты – не только профессионализмом, но и высокой ответственностью.

«Энвижн Груп» обеспечивает информационную безопасность банков с момента образования компании, а это уже двенадцатый год.

За это время нам удалось многого достичь: «Энвижн» сотрудничает с крупнейшими российскими и отечественными ИБ-вендорами, имеет соответствующие компетенции и опыт, а также доверие клиентов.

Для успешного бизнеса, на наш взгляд, самое главное – профессиональная команда. На втором месте – умение выстроить доверительные отношения с заказчиком. Успех – следствие.

Мы подбираем сотрудников для департамента ИБ, в первую очередь, оценивая умение мыслить и грамотно излагать свои мысли. Также приветствуется высокая работоспособность: многие ИБ-проекты отличаются масштабностью и долгими сроками реализации, требуя полной отдачи от начала до конца.

Российский рынок информационной безопасности кредитно-финансовых организаций и платёжных систем растёт наиболее динамично. С каждым годом кибермошенников и ИБ-угроз становится всё больше, а значит, спрос на продукты и услуги, способные им противостоять, будет постоянно увеличиваться. Мы видим спрос на «традиционные» решения по ИБ и аудит на соответствие PCI DSS.

 

Виктор СЕРДЮК,
генеральный директор ЗАО «ДиалогНаука»:

«НОРМАТИВНО-ПРАВОВЫЕ ДОКУМЕНТЫ – ДРАЙВЕР РОСТА РЫНКА»

С нашей точки зрения, отрасль товаров и услуг для обеспечения информационной безопасности банков сформировалась одновременно с началом массового использования информационных технологий для автоматизации ключевых бизнес-процессов банков.

Безусловно, обеспечение информационной безопасности кредитно-финансовых организаций имеет свои отраслевые особенности, вот лишь некоторые из них:

• наличие специализированных отраслевых стандартов, таких как СТО БР ИББС, PCI DSS и др.;
• наличие угроз, характерных для кредитно-финансовых организаций. В первую очередь к таким угрозам относится банковский фрод;
• наличие специфических информационных систем, таких как системы ДБО, АБС и др.

Компания, предлагающая услуги и решения по обеспечению информационной безопасности для банковской отрасли, должна удовлетворять следующим обязательным требованиям:

• иметь необходимые лицензии ФСТЭК России и ФСБ России на право выполнения соответствующих работ по защите информации;
• иметь достаточный опыт проведения аналогичных работ для кредитно-финансовых организаций и платёжных систем. При этом опыт должен быть подтвержден отзывами Заказчиков с описанием выполненных работ и полученных результатов;

А иметь достаточное количество квалифицированных специалистов для реализации проекта. Квалификация специалистов, как правило, подтверждается наличием соответствующих сертификатов.

Можно назвать следующие рекомендуемые требования к компаниям, работающим на этом рынке: 4 членство в специализированных ассоциациях по защите информации, например, НП «АБИСС»;

• наличие сертификата на систему менеджмента компании в соответствии с ISO 9001;
• наличие сертификата на систему менеджмента информационной безопасности в соответствии с ISO 27001.

ЗАО «ДиалогНаука» успешно работает с кредитно-финансовыми организациями уже более 10 лет. Наши первые проекты были связаны с поставкой и внедрением антивирусного программного обеспечения. Сейчас «ДиалогНаука» предлагает широкий спектр услуг и решений для обеспечения информационной безопасности банков.

Вот лишь некоторые из них:

• внедрение систем выявления и предотвращения фактов мошенничества в системах ДБО;
• услуги по оценке соответствия и внедрению стандарта СТО БР ИББС; 4 создание для банков ситуационных центров мониторинга событий информационной безопасности;
• услуги по аудиту информационной безопасности банков, включая тестирование на проникновение;
• внедрение средств защиты от утечки конфиденциальной информации и др.

На сегодняшний день наша компания имеет опыт работы как с крупными банками, входящими в десятку ведущих кредитно-финансовых организаций, так и со средними и небольшими.

С нашей точки зрения, рынок товаров и услуг обеспечения информационной безопасности кредитно-финансовых организаций и платёжных систем динамично развивается и постоянно растет. По нашим оценкам, ежегодный рост данного сегмента рынка составляет около 15–20%.

Говорить о сформировавшемся стабильном спросе на услуги и решения в области защиты информации можно. Определенным драйвером роста данного сегмента рынка стал выход нормативно-правовых документов, определяющих требования и рекомендации по защите информации. К таким документам относятся федеральный закон ФЗ-152 «О персональных данных», СТО БР ИББС, PCI DSS и др.

На сегодняшний день в данном секторе рынка информационной безопасности – высокий уровень конкуренции, и вероятность его монополизации крайне низка. Российские компании могут успешно предлагать свои услуги и решения на рынках информационной безопасности стран СНГ. Например, у ЗАО «ДиалогНаука» есть подобный успешный опыт с банками Республики Беларусь и Казахстана. Что касается рынка информационной безопасности США и Европы, то, с нашей точки зрения, российские компании пока не готовы конкурировать со своими западными коллегами.

?

Олег КОНОСОВ,
руководитель направления ОАО «ЭЛВИС-ПЛЮС»:

«ДЕФИЦИТ ОТДЕЛЬНЫХ РЕШЕНИЙ НЕ БЫВАЕТ ДОЛГИМ»

Отечественную банковскую систему условно можно разделить на 2 части: компании, давно осознавшие для себя ценность информации и информационных сервисов, и все остальные. Так как в основной массе компании первого типа – в первых строках рейтингов, именно они инициировали возникновение отрасли услуг и продуктов информационной безопасности в России ещё в конце девяностых – начале двухтысячных годов. Скачкообразно рынок начал расти в 2006–2008 годах в связи с пониманием на государственном уровне важности прав граждан на неприкосновенность личной жизни, что нашло отражение в законе ФЗ-152 «О персональных данных».

Для государственных организаций, включая банки с государственным участием, финансирование выполнения целевых функций и требований законодательства, в том числе к информационной безопасности, достаточно сбалансировано.

Коммерческие компании, напротив, стараются отвлечь от основных бизнес-процессов как можно меньше средств на защиту информации. Так как для них каждый потраченный рубль – недополученная прибыль. Однако с появлением ФЗ-152 «О персональных данных» и ФЗ-161 «О национальной платёжной системе» ситуация несколько изменилась, позиция коммерческих организаций сблизилась с государственным подходом.

Введение закона о НПС, а именно ст. 9, обещает волну мошенничеств, как это было с ФЗ-152, когда случаи мошенничества были зафиксированы неоднократно. Несовершенство законодательства эту ситуацию только усугубит.

В свете законодательного регулирования ситуация с информационной безопасностью местами даже усложнилась, а тренд развития отрасли претерпел заметную реструктуризацию. Причина в том, что небольшие бюджеты на информационную безопасность переориентировались только на соответствующую нормативам, но не всегда оптимальную для бизнеса безопасность.

Если рассматривать безопасность бизнеса в целом, то в общем объёме экономических потерь процент прямых убытков, связанных с IT-риска- ми, кажется незначительным. Однако в абсолютных величинах, да ещё с учетом последствий – перехват клиентов, судебные иски, отвлечение персонала на урегулирование последствий, ухудшение имиджа и т.?д.– эта «малая часть» не так уж и мала.

Любая компания, претендующая на достойное положение на рынке, должна быть ценной для потенциальных заказчиков. Для крупнейших заказчиков – широкими вертикальными и горизонтальными компетенциями, способностью быстро осваивать новые технологии, научно-исследовательским потенциалом, общей стабильностью, практическим опытом реализованных проектов, полным циклом создания систем, постпроектным сопровождением, гарантией качества и т.?д.

Для среднего бизнеса привлекательно, пожалуй, наличие готовых, практически коробочных решений, сроки выполнения работ, разумные цены. В общем, принцип «купил и о проблеме забыл».

На данный момент степень развития, внутренние процессы и объём накопленного за 21 год опыта работы у «ЭЛВИС-ПЛЮС» таковы, что компания способна удовлетворять потребности заказчиков различных отраслей и разных масштабов.

С другой стороны, помня про «двух зайцев», мы сконцентрированы на информационной безопасности и только на ней, не отвлекаясь на другие, пусть даже выгодные в краткосрочной перспективе проекты. С таким бэкграундом без суеты продолжаем осваивать рынок кредитно-финансовых организаций.

Единственным серьёзным барьером для нас в свое время был, пожалуй, разумный консерватизм рынка. Большинство КФО уже имеет опыт работы с поставщиками услуг и в случае, если поставщик в целом отрабатывает удовлетворительно, обоснованно склонны продолжать с ним сотрудничество, даже если конкурентное предложение привлекательнее.

Если учитывать работы с Банком России, вся история нашей компании связана с рынком кредитно-финансовых организаций – и мы успешно реа- лизовывали проекты на этом рынке уже в 1998 году. Рассматривать КФО как отдельный, самостоятельный сегмент рынка мы стали примерно 1,5–2 года назад. Мы и раньше работали с отдельными банками, страховыми компаниями, игроками фондового рынка и т.?д.

С 2010 года этот рынок стал развиваться системно, и сейчас мы оказываем услуги по всем основным направлениям информационной безопасности КФО. За этот период реализовано более 30 проектов для заказчиков, среди которых Банк России, Газпромбанк, Россельхозбанк, а также Росфинмониторинг. Мы особенно гордимся доверием, оказанным нам Банком России, с которым сотрудничаем в области ИБ уже 15 лет.

На протяжении года можно наблюдать сезонные колебания рынка, связанные со спецификой бюджетирования большинства компаний, обязанных реализовать средства в течение года. Пик активности наступает в 3-м квартале и завершается ближе к новогодним праздникам.

Если смотреть по годам, то рынок ИБ в КФО практически коррелирует с рынком ИБ в целом и показывает равномерный рост, корректируемый кризисами и регулятивным воздействием. По некоторым оценкам, ёмкость рынка информационной безопасности в 2013 году составит около 90 млрд. рублей. Если говорить о дефиците, то это дефицит решений для отдельных сегментов и ниш, и, как правило, такой дефицит не бывает долгим.

 

Иван МЕЛЕХИН,
директор департамента консалтинга и аудита,

Евгений АФОНИН,
начальник отдела безопасности банковских систем компании «Информзащита»:

«ГЛАВНЫЙ ЗАЩИЩАЕМЫМ АКТИВ – ПЛАТЁЖНАЯ ИНФОРМАЦИЯ»

Спецификой работы финансово-кредитных организаций является сильное государственное регулирование, стандартизация и зависимость от информационных технологий. Сама банковская деятельность обусловливает спрос на товары и услуги в области информационной безопасности. В России этот спрос появился сразу после формирования банковской системы.

Особенности обеспечения информационной безопасности кредитно-финансовых организаций и платёжных систем обусловлены спецификой защищаемых информационных активов, организацией бизнес-процессов, требованиями законодательства и регуляторов. Основным защищаемым информационным активом кредитно-финансовых организаций и платёжных систем является платёжная информация, что и определяет её критичность и необходимость защиты.

Важно отметить, что финансовый сектор всегда стоит в авангарде развития и применения информационных технологий. Бизнес-процессы в таких организациях имеют высокую степень автоматизации и массовости. Многие сервисы предоставляются банками дистанционно, в том числе путем интеграции различных автоматизированных систем, что, в свою очередь, повышает риски ИБ и определяет необходимость применения адекватных мер защиты.

Наконец, необходимо сказать, что требования законодательства и регуляторов по защите платёжной информации имеют более высокие в сравнении с другими отраслями уровень зрелости и степень определённости. Соответствие этим требованиям для организаций финансового сектора – необходимое условие для осуществления деятельности.

Резюмируя вышесказанное, можно сделать вывод, что банки, решая вопросы ИБ, одними из первых осознали необходимость комплексного подхода, применение которого рассматривается в качестве инвестиций, направленных на снижение операционных рисков. И, как следствие, в большинстве финансовых организаций информационная безопасность становится неотъемлемой частью бизнес-процессов.

Компания «Информзащита», основанная в 1995-м году, предоставляет услуги банкам с самого начала своего существования. За эти 17 лет кредитно- финансовые организации стали составлять значимую часть наших заказчиков. В настоящий момент в компании выделено отдельное подразделение – Отдел безопасности банковских систем. В нём работает самое большое количество (по сравнению с другими компаниями на рынке РФ) сертифицированных аудиторов платёжных систем.

Мы предлагаем широкий спектр услуг, специально адаптированных для кредитно-финансовых организаций, включая обеспечение соответствия требованиям PCI, НПС, СТО БР, по защите персональных данных, инструментальное тестирование защищённости инфраструктуры и приложений, построение процессов управления ИБ и многое другое.

В качестве перспективных направлений бизнеса мы рассматриваем услуги в части приведения к соответствию требованиям НПС, требованиям международных платёжных систем, распространяющихся на мерчан- тов, помощь в выстраивании интегрированной системы риск-менеджмента и внутреннего контроля, обеспечивающей эффективное взаимодействие служб управления рисками, внутреннего контроля и аудита информационной безопасности.

Рассматривая рынок ИБ в целом, необходимо отметить, что достаточно длительный период наблюдается его рост. Иногда медленный, особенно в период кризисов, иногда достаточно бурный,– но рынок растет постоянно. Безусловно, по разным группам услуг наблюдаются различные тренды, например объём запросов на первоначальное обеспечение соответствия стандарту PCI DSS постепенно падает. Но, с другой стороны, объём запросов на соответствие требованиям НПС неуклонно растёт. Таким образом, «старые» темы сменяют «новые», что и обеспечивает плавный рост рынка.

?

Руслан БЯЛЬКИН,
директор по работе с ключевыми клиентами Корпорация «Oracle в СНГ»:

«СОВЕРШЕНСТВОВАТЬ БЕЗОПАСНОСТЬ ДО НЕСОКРУШИМОСТИ»

Особенности обеспечения безопасности в кредитно-финансовых организациях есть, поскольку защищаются данные довольно чувствительные, как для организаций, так и для физических лиц. Кроме того, используется широкий набор средств доступа, как внутренний, так и внешний, что не может не накладывать определённую сложность на защиту таких систем.

Однако обеспечение информационной безопасности настолько многостороняя деятельность, что скорее можно говорить о её ярко выраженных особенностях, чем выделять в отдельное направление. Например, если мы возьмем сферу АСУТП, то большинство систем не открыты внешней среде, но недооценивать системы безопасности для них было бы нелогично. Разве можно сравнивать чисто финансовые потери и ущерб от выхода из строя ядерного реактора?..

При этом все специалисты отрасли отмечают, что преступники в первую очередь стремятся получить финансовую выгоду. Поэтому кредитно-финансовая сфера – одно из самых актуальных и востребованных направлений реализации решений по обеспечению информационной безопасности. Отрасль товаров и услуг в сфере информационной безопасности банков стала активно оформляться в период массового выхода отечественных банков на рынок IT-услуг. Именно тогда банки-первопроходцы столкнулись с первыми информационными угрозами и задумались о том, как их минимизировать и как от них защищаться.

По мере увеличения количества банков, вступавших на рынок «виртуальных» услуг, росла и отрасль. Основное её формирование, на мой взгляд, стало происходить в 2005–2006 годах. Стал всё чаще подниматься вопрос, как и какие информационные системы банков защищать. Именно тогда зарубежные специалисты отмечали взрывной рост банковской отрасли и применяемых технологий в России, и это не могло не сказаться на росте рынка информационной безопасности.

Корпорация Oracle с момента своего основания уделяла в своих продуктах огромное значение безопасности. Именно она в 1994 году стала одной из первых компаний, производивших программное обеспечение, продукты которой удовлетворяли первым независимым требованиям к безопасности, и провела интеграцию со сторонними продуктами по безопасности.

В настоящий момент, безопасности продуктов по уделяется огромное значение на всех уровнях корпорации, и они по достоинству оценены специалистами отрасли. Многие помнят 2002 год, когда Корпорация Oracle объявила о «несокрушимости» своих продуктов в области баз данных.

Небывалый всплеск активности как аналитиков, так и хакерского сообщества, вызванный данным заявлением, помогли компании посмотреть на безопасность продуктов со всех сторон и использовать полученные данные для совершенствования своих продуктов по безопасности.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных