ЦБ рекомендовал банкам следить за сотрудниками

В будущем борьба с утечками информации изнутри банков может стать обязательной

С 1 мая этого года для российских банков начинают действовать рекомендации Банка России по борьбе с внутренними нарушителями. Именно они, обладающие легальным доступом к информации, и имеют наибольшие возможности для нанесения ущерба банку, говорится в документе, разработанном Банком России.

Сейчас эти меры носят рекомендательный характер и входят в состав комплекса требований ЦБ по информационной безопасности для банков (комплекс документов называется СТО БР ИББС). Пока что они также не обязательны для банков, но на прошедшем в феврале VIII Уральском форуме по банковской безопасности заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев рассказывал о планах регулятора сделать этот стандарт обязательным.

Новый документ ЦБ объясняет, как следить за информационными потоками, чтобы снизить риски от действий внутренних нарушителей, говорится в документе ЦБ. Он перечисляет несколько способов борьбы.

Во-первых, ЦБ рекомендует банкам следить за передачей информации по электронной почте, если она отсылается на внешние адреса. Также банк должен наблюдать за использованием личных средств связи (под которыми понимаются телефоны, смартфоны и планшеты) и копированием информации на внешние носители. Кроме того, на тех компьютерах, где обрабатывается конфиденциальная информация, банк должен заблокировать мессенджеры ICQ, WhatsUp, Viber, Skype. Плюс банк должен контролировать использование публичных облачных сервисов.

Но перед этим банку предстоит проделать аналитическую работу.

Во-первых, банк должен идентифицировать конфиденциальную информацию и разбить ее на категории. ЦБ рекомендует выделить как минимум две категории — открытой и конфиденциальной информации, в которую может войти банковская тайна, инсайдерская информация, данные кредитных историй. Дальше банк должен выяснить, где хранятся и обрабатываются закрытые данные. Согласно документу ЦБ, это могут быть базы данных, сетевые ресурсы, электронная почта.

Также банк должен задуматься над тем, кто может стать нарушителем. Документ выделяет четыре возможные категории и описывает, как через каждую из них может утекать информация.

Первая категория нарушителей — те, кто имеет доступ непосредственно к закрытым данным. Следом идет персонал, который обслуживает IT-системы, где обрабатывается информация. Также это технический персонал (у них есть не право доступа к информации, а право прохода в помещения, где она обрабатывается). И в последнюю очередь это внешние нарушители, которые так или иначе имеют доступ к информации (аудиторы, партнеры и подрядчики).

Крупные российские банки в большинстве своем уже выстроили свои системы защиты, но новый документ ЦБ будет полезен и для них, поскольку он системно подходит к внутренним нарушителям и не даст забыть о каком-то незначительном на взгляд банка, но все же потенциально опасном с точки зрения ЦБ канале утечки информации, говорит аналитик компании Solar Security (выпускает системы управления информационной безопасностью) Андрей Прозоров. А небольшие банки смогут создать систему защиты от внутренних нарушителей, полностью отталкиваясь от документа, рассуждает он.

По данным компании Infowatch (разрабатывает системы контроля утечек), в 2015 г. во всем мире случилось 1505 утечек, что на 7,8% больше показателя 2014 г. На внутренних нарушителей пришлось 65,4% утечек, говорится в исследовании компании.

notes
14:49 25.04.2016
"Крупные российские банки в большинстве своем уже выстроили свои системы защиты" К сожалению, суровая правда жизни такова, что эти системы не работают так, как заявляли их разработчики. Сейчас подобные системы контролируют данные. Например номер кредитной карты у них ассоциируется с последовательность цифр в формате ХХХХ-ХХХХ-ХХХХ-ХХХХ. При любых операциях с данными система будет проверять совпадение информации с шаблонами, и если найду совпадение, то уведомит СБ. Но если инсайдер в банке поменяет, например, номер кредитной карты на AXXXX BXXXX CXXXX DXXXX, то система DLP ничего не заметит и данные благополучно утекут. Правильный подход - контролировать не данных, а тех, кто с этими данными работает - сотрудников. И делать это с помощью систем, которые умеют фактически "заглянуть в монитор" к каждому сотруднику и определить какие действия он выполнял и выполняет. Например, с помощью такой системы как Kickidler.
00
Комментировать