В центре информационной безопасности по-прежнему стоит человек

Несмотря на постоянное совершенствование технологий безопасности, огромную роль в задачах защиты информации играет человеческий фактор. Многое по-прежнему зависит от человека, считают участники секции «Информационная безопасность», прошедшей в рамках CNews Forum 2017, организованного CNews Conferences.

страницы:

Клиентская безопасность

Безопасность клиентов – залог хорошей репутации компании. Об этом говорил Андрей Ревяшко, ИТ-директор Wildberries. Очень часто мошенники, прикрываясь именем крупной организации, магазина или банка, рассылают письма с зараженными ссылками или выманивают у покупателя платежные данные и другую конфиденциальную информацию. Это негативно сказывается на репутации компании. При этом далеко не все крупные компании подтверждают соответствие своей доменной учетной записи при отправке электронных почтовых сообщений. Иными словами, любой человек может оправить письмо от имени таких компаний, и оно будет принято почтовым сервером.

Гораздо более серьезную угрозу безопасности пользователей представляют плохо защищенные банковские мобильные приложения. Андрей Бухтияров, основатель и ведущий разработчик интернет-банка ЧатБанк поделился своим видением безопасных платежных инструментов.

По его мнению, при совершении пользователем платежа через мобильное приложение защита должна работать на трех уровнях, обеспечивая безопасность сессии, передачи данных и электронной подписи.

Клиенты банков, где платеж в мобильном банке подтверждается через ответ в сообщении, уязвимы для мошенников. Платеж должен подтверждаться всеми доступными способами: SMS-кодом, действующим паролем для платежей в приложении и цифровой подписью.

Участники секции не обошли стороной и новые технологии. Елена Петрова, начальник управления информационной безопасности Экономикс-Банк обозначила тренды и основные угрозы безопасности технологии интернета вещей.

«Мы пока в широком смысле не сталкиваемся с этими устройствами, но через 5-10 лет окунемся в эту технологию полностью. И кому-то пора подумать о защите уже сегодня, пока устройства не начали отбиваться от рук», – считает Елена.

Пользователи надеются, что производители устройств заботятся об их безопасности, а если произойдет какой-либо инцидент, отвечать будет сам производитель. В то время как производитель ни за что не отвечает, часто с трудом вообще представляя себе возможные инциденты и опасности, которые могут возникнуть с этим устройством. О безопасности таких устройств должны думать их производители, разработчики среды, ритейлеры при продаже, и даже разработчики стандартов.

Безопасность устройств интернета вещей не может обеспечивать только одна организация – только поставщик или только разработчик. Это комплексная задача и для ее решения многим организациям придется действовать сообща.

Стандарты в сфере ИБ

Информационная безопасность – сфера, требующая постоянного законодательного регулирования и стандартизации. Эксперты, выступавшие на CNews Forum, дали оценку таким нововведениям, как ГОСТ 57580.1 – 2017, поправки к 149 ФЗ «Об информации, информационных технологиях и о защите информации» и др.

Новый ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций…» был принят в августе 2017. Он распространяется на банки, некредитные организации и другие организации, подчиняющиеся ЦБ – страховые компании, операторов платежных систем и т.д.

Андрей Алябьев, главный специалист отдела информационной безопасности Глобэксбанка рассказал о нововведениях этого стандарта. В новом ГОСТе появилось понятие «уровни защиты», аналогичные уровням защищенности в законе о защите персональных данных.

Также вводится новый термин, «контур безопасности». Это информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации. Уровень защиты для контура безопасности устанавливается нормативными актами ЦБ. Новые требования станут обязательными, когда на них будут включены ссылки в нормативных и законодательных актах. Методика проведения соотвествия ГОСТу пока находится в разработке.

Еще об одном стандарте в финансовой сфере рассказал Георгий Иванов, директор департамента сопровождения ИТ Национального расчетного депозитария. НРД подключает своих клиентов к международной системе передачи финансовых сообщений SWIFT, тем самым гарантируя им постоянную доступность, синхронизацию, дублирование каналов связи и другие дополнительные сервисы. С этого года SWIFT предъявляет новые требования по кибербезопасности к участникам системы. Для соответствия этим требования разработана программа Customer Security Programme (CSP), она обязательная для всех пользователей SWIFT. Георгий подробно рассказал о самой программе и опыте НРД по ее реализации.

Основные составляющие Customer Security Programme


Источник: НРД, 2017

Елена Юшкова, руководитель проекта управления отраслевого и кластерного анализа, ВЭБ, поделилась своим мнением относительно поправок к 149 ФЗ, которые вступили в силу 1 ноября. В новой версии закона речь идет о запрете провайдерам VPN-услуг и сервисам-анонимайзерам предоставлять пользователям доступ к запрещенным сайтам. За неисполнение закона в течение 30 дней будет устанавливаться ограничение доступа к информационным ресурсам, которые предоставляют доступ к запрещенным сайтам. Операторы поисковых систем должны будут прекратить выдачу ссылок на заблокированные ресурсы, в том числе и на анонимайзеры и провайдеры VPN-услуг.

По мнению Елены, на данный момент практически невозможно запретить использование услуг отдельно взятого VPN-провайдера. Для распознавания и блокировки трафика необходимо дорогостоящее оборудование, его предлагается установить всем, кто будет это контролировать, И это может повысить стоимость интернет-услуг, снизив их качество. При этом существует множество способов обхода этого запрета.

«Вместо того чтобы направить силы и средства на борьбу с кибермошенничеством, кражей личных данных и другими проблемами, мы боремся с ветряными мельницами в виде VPN и анонимайзеров», – комментирует Елена.

Один из важных моментов при реализации электронного взаимодействия в финансовой сфере – обеспечение доверия к сервисам безопасности. Об этом подробно рассказывал Андрей Курило, главный советник компании РНТ. Он обратил внимание на те методы и подходы, которые могут повысить доверие пользователя к сервисам безопасности. Основная задача сервисов безопасности – защита электронных документов, как самостоятельных юридических объектов, автономных объектов защиты. Важно обеспечить целостность, доступность, конфиденциальность и сохранность документа на всех этапах его жизненного цикла.

Количество угроз информационной безопасности продолжает расти, но и технологии защиты развиваются, отвечая растущим требованиям рынка. Тем не менее, в центре вопросов безопасности по-прежнему остается человек, будь то не очень надежный сотрудник, беспечный потребитель или руководитель, не уделяющий достаточно внимания защите информации.


Презентации участников форума

Презентация Остапенко Григорий, первый заместитель руководителя департамента связи и массовых коммуникаций Воронежской области
Современные тенденции защиты информации в распределенных информационно-телекоммуникационных системах РФ
Презентация Плешков Алексей, Независимый эксперт
Защита информации в финансовой организации: вызовы и решения
Презентация Литвиненко Всеволод, руководитель направления по информационной безопасности компании «ИнфоЗащита»
Deception - попробуй скрыться
Презентация Курило Андрей, Главный советник, компания "РНТ"
Об обеспечении доверия к сервисам безопасности при реализации электронного взаимодействия в финансовой сфере
Презентация Бируля Иван, Директор по безопасности, SearchInform
Будущее ИБ: современные технологии и тренды защиты от внутренних угроз
Презентация Бухтияров Андрей, Основатель и ведущий разработчик интернет-банка ЧатБанк, Совкомбанк
Практический опыт создания Интернет-Банка с самым большим в России количеством элементов безопасности
Презентация Иванов Георгий, Директор департамента НРД
Опыт работы по реализации Customer Security Program SWIFT в НРД
Презентация Палей Лев, Начальник отдела обеспечения защиты информации СО ЕЭС
Эффективное управление защитой от киберугроз
Презентация Ревяшко Андрей, ИТ-директор Wildberries
Как заставить пользователя быть на чеку
Презентация Юшкова Елена, Руководитель проекта, управление отраслевого и кластерного анализа, ВЭБ
Анонимайзеры и провайдеры VPN-услуг: угроза государственной безопасности или эффективный способ защиты данных пользователя?
Презентация Августон Иван, Директор ИТ-департамента группы компаний QBF
Как защитить компанию от утраты данных сотрудников
Презентация Петрова Елена, Начальник Управления информационной безопасности, КБ «Экономикс-Банк»
Безопасность интернета вещей
Презентация Алябьев Андрей, Главный специалист отдела информационной безопасности, Глобэкс Банк
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
Презентация Скачать архив целиком
страницы: