|
|
Обзор подготовлен
В 2010 году рынок услуг информационной безопасности не только вернулся на прежние показатели, но и значительно превысил их. Требования регуляторов, стремительное развитие мобильных технологий, введение новых сервисов напрямую повлияло на потребность банков в качественных и специализированных услугах. В 2011 году, несомненно, стоит ожидать продолжение роста рынка услуг, пусть и менее стремительного, а также спроса на новые виды услуг, связанных с безопасностью виртуальной среды, облачных вычислений и мобильных платформ.
2010 год ознаменовался бурным ростом спроса банков на услуги в области информационной безопасности. При этом количество оказанных услуг превысило не только показатели 2009 года, когда под влиянием мирового кризисаорганизации старались экономить на всех поддерживающих бизнес процессах, но и сравнительно стабильных 2007-2008 годов. Данная тенденция объяснима прежде всего желанием наверстать «потерю» одного года и возобновить процессы, замороженные во время кризиса. Также существенными катализаторами спроса выступили требования регуляторов, как российских — с требованиями к защите персональных данных, так и международных — в лице платежных систем.
Изданный в 2006 году федеральный закон N 152-ФЗ «О персональных данных» к 2010 году подвергся значительным изменениям в части поддерживающих положений. Самым значительным стал выпуск ФСТЭК новой версии требований по защите персональных данных, заменяющей ранее действующий комплекс документов с требованиями по защите, крайне сложных для выполнения рядовым организациям.
Вторым значительным событием стало обновление комплекса стандартов БР ИББС и выпуск информационного письма, подписанного представителями регуляторов, ассоциаций банков и Банка России. Согласно заявлению письма у организаций банковской сферы появился альтернативный вариант выполнения требований законодательства в области персональных данных, через принятие и выполнение комплекса стандартов от Банка России.
Существенные изменения, упростившие банкам выполнение требований 152-ФЗ, благоприятным образом повлияли на запуск работ по приведению процессов и информационных систем банков в соответствие с нормами регуляторов. Если предыдущие годы вопрос ставился о том делать какие-то шаги в сторону исполнения закона «О персональных данных» или нет, то в 2010 году выбор был уже между способами приведения в соответствие. Дополнительный стимул заключался в сроке приведения систем персональных данных в соответствии с законом. До самого конца года срок был ограничен 1 января 2011, и лишь в канун нового года, приказом президентаувеличен еще на полгода.
При выборе пути выполнения 152-ФЗ мнения российских банков разделились. Кто-то продолжил процесс выполнения «классического» подхода к защите персональных данных, большинство же банков, только приступивших к реализации требований во второй половине года, предпочли принятие и выполнение требований СТО БР ИББС, как более комплексный подход, направленный на обеспечение информационной безопасности в общем, а не только конкретной части организации.
Стандарты Банка России в области информационной безопасности организаций банковской сферы к 2010 году претерпели свое четвертое изменение, коснувшееся вопросов обработки и защиты персональных данных. Количество банков, принявших обязательным к выполнению комплекс ИББС, возросло в десятки раз. Если в предыдущие годы можно было говорить о нескольких десятках, то к началу 2011 года их число оценивалась сотнями.
Вслед этой активности увеличился спрос на услуги по проведению предварительной оценки и составлению плана работ по устранению выявленных несоответствий, услуги по разработке, внедрению и документированию процессов обеспечения информационной безопасности, проведение оценки выполнения СТО.
Исходя из того, что главной причиной принятия комплекса ИББС стал «альтернативный» путь к выполнению требований законодательства, основным спросом пользовались работы по первоочередному приведению в соответствие именно тех пунктов стандарта, которые затрагивают процессы обработки и защиты персональных данных. При этом стандарты Банка России охватывают достаточно обширный сектор процессов обеспечения и поддержания уровня информационной безопасности, что позволяет говорить о еще предстоящей кропотливой работе по внедрению всех требований и рекомендаций комплекса ИББС.
Стандарт безопасности данных индустрии платежных карт PCIDSS к 2010 году перестал быть для банков чем-то новым, непонятным и совершенно невыполнимым. Требования международных платежных систем Visa и MasterCard способствовали спросу не просто на ежегодное прохождение сертификационного аудита, а на полный комплекс услуг в рамках приведения организаций к соответствию всем требованиям стандарта (начиная от консультационных услуг, разработки нормативной документации и внедрения технических средств, и заканчивая услугами по проведению инструментального сканирования и тестов на проникновение).
Прогрессу в реализации требований стандарта способствовал не только возросший уровень процессов обеспечения безопасности и осознания важности этих процессовтоп-менеджментом банков, но и резко возросшее количество PA-DSS сертифицированных приложений, помогающих, и что самое главное не мешающих организации в выполнении PCIDSS. Применение сертифицированных версий приложения позволило банкам уменьшить количество компенсационных мер, покрывающих пункты, невозможные для выполнения при использовании предыдущих, не сертифицированных версий обеспечения, и, как следствие, позволило выполнить требования стандарта с помощью простых, надежных решений.
Стоит отметить рост в 2010 году успешных сертификаций банков и сервис провайдеров, оказывающих услуги, связанные с платежными картами, а так же успешные повторные аудиты, говорящие о правильно выстроенных и работающих процессах поддержания уровня информационной безопасности и реализации требований стандарта.
Требования регуляторов, без сомнения, являются одной из главных движущих сил при планировании развития информационной безопасности в организации. Однако первоочередное влияние на бизнес оказывают инциденты информационной безопасности, несущие для банка прямые финансовые потери.
Современное развитие мобильных технологий привело к стремительному росту сферы предоставления дистанционных услуг, реализуемых средствами, которые не всегда надежно защищены от современных угроз информационной безопасности. Как следствие возросло количество инцидентов связанных с компрометацией систем дистанционного банковского обслуживания, интернет- и мобильного-банкинга. Если в предыдущие годы можно было говорить о разовых, случайных инцидентах, то в 2010 году уже отчетливо прослеживается системный подходи нацеленность атак на системы дистанционного обслуживания.
К сожалению, большинство организаций, не принявших превентивных мер, выявили обеспокоенность только после удачных реализаций атак злоумышленников на системы, сопровождаемых большими финансовыми и репутационными потерями. Тем не менее, рынок услуг по анализу безопасности приложений показал значительный рост. Стоит заметить, что параллельно с анализом защищенности классического программного обеспечения, большой интерес был вызван услугами по анализу приложений для мобильных платформ популярных производителей, что объясняется возросшим потребительским спросом на мобильный интернет-банкинг и повсеместное распространение высокопроизводительных мобильных устройств.
Одним из показателей активации спроса на услуги информационной безопасности можно назвать запросы на работы, направленные на превентивное закрытие информационных рисков.
В 2010 году к таким работам можно отнести создание и контроль безопасности беспроводной инфраструктуры. Проблема «размытого периметра» при использовании wi-fi всегда была зоной риска и головной болью ответственных за обеспечение информационной безопасности. Бурный рост количества мобильных устройств, IP-телефонии, портативных и планшетных компьютеров привел к требованиям бизнеса обеспечить соответствующий сервис, в том числе и беспроводной доступ к ресурсам организации. Как следствие востребованными оказались услуги по построению защищенной инфраструктуры беспроводного доступа и оценке защищенности уже созданной, работающей сети. Также интересом пользовались решения по контролю за беспроводной инфраструктурой и блокированию нелегитимных точек доступа и беспроводных клиентов.
Оценка безопасности внешнего периметра компании и проведение тестов на проникновение в большей мере проводятся исходя из требований регуляторов. Между тем, часть банков в 2010 году провели данные работы для всей инфраструктуры, что является скорее исключением и говорит о грамотной организации процессов управления информационной безопасности в отдельно взятой организации, а не об общем развитии спроса на данные услуги.
Примечательным фактом является переход многих банков от множества небольших систем — часто собственной разработки — к надежным масштабируемым решениям мониторинга событий информационной безопасности, контроля доступа, двухфакторной аутентификации, контроля целостности, контроля и предотвращения утечек, анализа защищенности.
Спрос на узкоспециализированные услуги по расследованию инцидентов информационной безопасности в 2010 году постепенно начал набирать обороты в основном за счет инцидентов, связанных с системами дистанционного банковского обслуживания, но до сих пор существенно ниже, по сравнению с западной статистикой.
Алексей Бабенко, старший аудитор компании «Информзащита»
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP