In English

Андрей Петухов: Финансирование проектов по обеспечению безопасности информации в банках выросло вдвое

13.08.2004
Издание: Cnews
На вопросы CNews отвечает Андрей Петухов, директор департамента систем информационной безопасности компании "АйТи".

CNews: Как вы оцениваете уровень информационной безопасности в российских банках?

Андрей Петухов: Банковский сектор, как ни один другой сектор экономики, крайне чувствителен к уровню защиты информации. Потеря данных или их несанкционированное использование в данном случае чревато серьезными финансовыми потерями. Поэтому естественно, что уровень информационной безопасности в банках ощутимо выше, нежели в любой другой индустрии. То же самое можно сказать и об уровне автоматизации банков, особенно крупных, в целом. Если же сравнивать степень защиты информации в российских банках с уровнем информационной безопасности международных банков, то отличия, наверное, вызваны иными акцентами и критериями при оценке угроз. Хотя в последнее время отечественные банки активно «догоняют» западных коллег. В целом же, я бы оценил уровень защищенности информации в российских банках как весьма высокий.

CNews: Насколько выросли, по сравнению, например, с 2003 годом расходы банков на информационную безопасность?

Андрей Петухов: Расходы на информационную безопасность в банковском секторе не просто выросли. Качественным образом изменилась их структура. Если раньше бюджетирование расходов на обеспечение безопасности происходило в большинстве случаев стихийно – отдельной статьи «Информационная безопасность» в ИТ-бюджетах банков просто не было – то сегодня можно наблюдать более системный подход как к решению этих вопросов, так и к их финансированию. Затраты на обеспечение информационной безопасности сегодня «закладываются» на стратегическом уровне.

В количественном выражении объемы финансирования проектов по обеспечению безопасности информации выросли практически вдвое. Еще совсем недавно расходы на информационную безопасность составляли в среднем по отрасли порядка 7-12% от ИТ-бюджета банка. Сегодня эта цифра составляет около 20%. При этом важно отметить, что увеличение бюджета происходит не столько за счет роста масштабов систем информационной безопасности, сколько за счет смещения приоритетов в сторону качественно новых решений.

CNews: Различаются ли из вашей практики, подходы отечественных банков и страховых компаний к защите своих бизнесов?

Андрей Петухов: Несмотря на то, что существует множество вариантов решения вопросов обеспечения информационной безопасности, на верхнем уровне, набор средств, инструментов и подходов и в банках, и в страховых компаниях более или менее одинаков. Специфика, как правило, появляется на нижнем уровне, когда речь идет о конкретных процессах, ИТ-системах и пр. Очевидно, что для защиты информации, скажем, в процессинговом центре и при работе с удаленными клиентами используются разные решения.

CNews: Какого рода решения в области ИБ вызывают сейчас наибольший интерес со стороны банков и страховщиков в России?

Андрей Петухов: Среди наиболее «зрелых» заказчиков в финансовом секторе сегодня крайне востребованы «инфраструктурные» решения – консалтинг в сфере оценки влияния существующих угроз на бизнес и анализа его уязвимости в зависимости от стратегии развития банка или страховой компании. Иными словами, речь идет о защите уже не столько информационной системы, сколько бизнеса в целом, его устойчивости в случае возникновения угроз. В данном случае используются совершенно другие критерии, нежели чем на системном уровне: каков общий потенциал опасности, что произойдет в случае реализации той или иной угрозы, во сколько оцениваются возможные потери, сколько стоит профилактика существующих угроз, обеспечение непрерывности бизнеса и т.д. Это решения, позволяющие оценить общий потенциал безопасности бизнеса, его устойчивости и его действий по предотвращению возможных угроз.

Второй момент, который хотелось бы отметить – взрывной интерес к решениям по защите информации на прикладном уровне – на уровне приложений, баз данных и пр. Есть человеческий фактор, «защититься» от которого на 100% практически невозможно. Люди «влияют» на информацию, содержащуюся в различных приложениях, базах данных и т.д. Прежде всего, это решения для управления доступом к ресурсам.

Уже сегодня на рынке представлен целый ряд биометрических средств защиты, позволяющих управлять доступом к тем или иным ресурсам через идентификацию человека по его биометрическим параметрам. В принципе же, биометрия, на мой взгляд, на сегодняшний день является одним из наиболее перспективных и действенных инструментов защиты от несанкционированного доступа. И интерес к такого рода решениям постоянно растет.

Весьма перспективны различные криптографические решения, исключающие передачу ключей. Тогда никто кроме сотрудника – владельца такой карты – теоретически не может воспользоваться ключами доступа. Одна такая карта может служить инструментом доступа практически ко всему – в помещение банка, в комнату, к компьютеру, к данным, и даже выполнять функции дебетовой карты для начисления зарплаты.

В финансовом секторе появляется интерес и к совершенно новым технологиям, к которым предприятия других отраслей пока только присматриваются. К таковым направления относятся, например, системы спутникового позиционирования в интересах безопасности и ряд других решений.

CNews: Насколько различаются, по вашим сведениям, методы обеспечения безопасности, применяемые российским и, скажем, европейским финансовыми секторами?

Андрей Петухов: На технологическом уровне значимой разницы нет. Все передовые решения и оборудование для организации мероприятий в сфере информационной безопасности, используемые на Западе, применяются и у нас. Кардинальным образом отличаются условия и правовая среда, в которой работают европейские финансовые организации и российские. В Европе меры по обеспечению информационной безопасности оформлены в виде национальных и интернациональных стандартов. В России же этого пока нет. Возможно, ситуация изменится, когда само понятие «банковская тайна» будет, как в Европе, на законодательном уровне не только декларировано, но и конструктивно определено.

CNews: Какого рода инновационные решения в этой области будут наиболее востребованы рынком в этом году, по вашим ожиданиям?

Андрей Петухов: На мой взгляд, в 2005 г. сохранятся основные тенденции спроса прошедшего 2004 г. Напомню, что это консалтинг в сфере оценки влияния угроз на бизнес и анализа его устойчивости, решения для защиты информации на прикладном уровне, а также совершенно новые инновационные технологические решения, например, биометрия или системы спутникового позиционирования. Также отмечается возросший интерес к системам кризисного управления – управления инцидентами в связи с террористической опасностью, угрозами техногенных катастроф и стихийных бедствий, вероятность возникновения которых, к сожалению, растет.

CNews: Спасибо

Центральный федеральный округ