CNews: Какая часть вашего ИТ-бюджета приходится на информационную безопасность?

Дмитрий Стуров: ИТ-бюджет банка не включает в себя бюджет на информационную безопасность. Но недавно мы сравнили два этих важных для ИТ финансовых документа. Получилось, что расходы на информационную безопасность составляют примерно 3–5% от ИТ-бюджета.

Мы структурировали бюджет таким образом, чтобы одна часть направлялась на поддержание ИБ-систем, а другая использовалась для развития. Поэтому в последние три-четыре года сумма в главном финансовом документе для нашего подразделения оставалась примерно одинаковой, без значительных колебаний.

CNews: По вашим ожиданиям, возможно ли увеличение бюджета на информационную безопасность из-за удорожания западных решений?

Дмитрий Стуров: Конечно, ситуация в экономике непростая и добавляет нам определенных трудностей. Ни для кого не секрет, что большинство банковских ИБ-продуктов закупается российскими финансовыми учреждениями за рубежом. Цена на решения зафиксирована в валюте, из-за чего и возникают проблемы.

Сейчас мы стараемся перейти от договоров, финансовые обязательства по которым прописаны в долларах или евро, к рублевым контрактам. Это связано с тем, что бюджет подразделения формируется и исполняется в национальной валюте.

Кардинального роста бюджета мы не ожидаем. Он останется ориентировочно в пределах существующего уровня. А значит, главной задачей будет более эффективное расходование средств.

Для оптимизации бюджета у нас есть несколько вариантов: импортозамещение – мы уже смотрим в сторону отечественных аналогов зарубежных продуктов, переход на договора в рублях, ведение переговоров с поставщиками о снижении стоимости ИТ-решений.

Еще одна мера, которая позволит оптимизировать бюджет, – пересмотр эффективности тех средств, которые мы закупили. Планируем отказываться или сокращать использование малоэффективных решений: возможно, в новых реалиях часть функционала уже не стоит тех денег, которые мы платим.

CNews: Какие крупные проекты в сфере информационной безопасности вы завершили в 2014 году?

Дмитрий Стуров: Из значимых проектов, которые мы реализовали в 2014 году, можно отметить сертификацию системы управления информационной безопасностью на соответствие международному стандарту ISO/IEC 27001. «Ренессанс Кредит» стал первым банком в России, который выполнил требования новой версии стандарта 2013 года.

Кроме того, была завершена большая работа по созданию системы метрик информационной безопасности – показателей эффективности нашей работы. Это позволило создавать отчеты для руководства банка, в которых на языке цифр и диаграмм показывается текущее состояние информационной безопасности, демонстрируются тренды и тенденции.

Большое внимание в уходящем году мы уделили правам пользователей в информационных системах, оптимизировали многие связанные с этим процессы. Все, в конечном счете, свелось к внедрению прав доступа на основе ролей – функциональных обязанностей сотрудников. Это позволило упростить управление пользователями, а также снизить риски некорректного распределения прав в информационных системах.

CNews: Существует ли в вашем банке классификация инцидентов в соответствии с уровнем угроз?

Дмитрий Стуров: Каждый инцидент, который мы фиксируем, проходит полноценную процедуру обработки, в результате которой оформляются его многочисленные параметры, такие как источник возникновения, дата выявления, ФИО сотрудника, подразделение, тип угрозы. Кроме того, обязательно оценивается критичность инцидента, мы используем параметры высокий, средний, низкий, причем процедура их выставления достаточно формализована.

CNews: 69% участников исследования Ernst&Yong считают сотрудников компании основным источником киберугрозы, 45% отводят второе место внешним подрядчикам. Кто в вашем банке входит в тройку основных источников угроз?

Дмитрий Стуров: У нас похожая статистика. Действительно, основным источником киберугроз являются специалисты банка. Именно поэтому в банке разработана система курсов для повышения грамотности в сфере информационной безопасности. Одни курсы предназначены для всех сотрудников, другие – только для специалистов узких сфер. Обучение является обязательным. Пользователь сначала изучает теоретический материал, а по завершении проходит тестирование. Если сотрудник получил проходной балл или выше, тогда обучение считается завершенным. Новые специалисты также проходят специализированные курсы, о завершении которых обязаны отчитаться. Нам важно лишний раз напомнить сотруднику об информационной безопасности, о тех простых правилах, выполнение которых мы от них требуем. Отмечу, что курсы – это более эффективный способ коммуникации с сотрудниками, чем почтовая рассылка. Информационным письмам зачастую не уделяют должного внимания.

Для сотрудников подрядных организаций также проводятся курсы. Увы, мы не можем полностью проконтролировать исполнение всеми временными специалистами обязательств о неразглашении информации. Сотрудники подрядных организаций зачастую работают с теми же системами, что и штатные специалисты (на последних распространяются требования трудового договора). В порядке урегулирования возможных споров мы, как правило, можем рассчитывать только на действия соглашений в рамках договора с подрядчиком.

CNews: Есть три принципа, которые используются в корпорациях: BYOD, CYOD, COPE. Какой из них вам ближе?

Дмитрий Стуров: Банк не приобретает смартфоны и планшеты для конкретных сотрудников. Единственное, что предоставляется некоторым пользователям, – это корпоративные ноутбуки. Их взаимодействие с банковскими сетями и работа строятся по принципу BYOD. Такой подход к мобильности нам ближе. BYOD позволяет предоставить доступ сотрудникам, чтобы они могли работать на презентациях, встречах, проверять почту, проводить видеоконференции.

CNews: Как вы считаете, могут ли воспользоваться ситуацией в экономике отечественные вендоры для того, чтобы повысить качество решений?

Дмитрий Стуров: Безусловно, одной из наших будущих стратегий будет являться переход от западных решений к отечественным. Жить так, как раньше, теперь, наверное, это не самый эффективный путь. Важно перейти с ИБ-решений, которые продаются за доллары и евро, на те, стоимость которых рассчитывается в национальной валюте. И здесь есть причины для беспокойства. Отечественные ПО, аппаратные средства защиты информации зачастую не так хорошо развиты, как зарубежные аналоги, что может отразиться на качестве работы.

Отечественные производители программных продуктов и ИБ-решений, как показывает практика, не очень стремятся улучшать эффективность собственных продуктов. Если сейчас они не приложат все усилия для того, чтобы по максимуму использовать сложившуюся ситуацию, то в краткосрочной перспективе они, безусорвно, выиграют из-за курса российских компаний на импортозамещение. Однако после стабилизации экономики и снятия ограничительных мер их потери будут сопоставимы с ранее полученной из-за ситуации с рублем прибылью.

Необходимо понимать, что сегодня существует масса предпосылок к тому, чтобы не завоевывать маленькие проценты рынка, а осуществить настоящий прорыв. Необходимо создавать эффективные продукты, не надеясь на какие-то кризисы.

Я не вижу объективных причин отказываться от отечественного продукта в пользу зарубежного, если у них сравнима эффективность. Да, возможно, мы немного потеряем в качестве. При этом выиграем в цене, а также получим локального поставщика, оперативную поддержку, меньшее количество шагов до высококвалифицированных инженеров, чем с зарубежными вендорами. Если такие продукты появятся, то многие переориентируются на отечественный рынок. Очень надеюсь, что российский вендоры не упустят удачного момента и приложат максимум усилий, чтобы создать более конкурентоспособные ИБ-решения.

CNews: Как бы вы могли оценить решения азиатских вендоров по сравнению с западными? Выходят ли на вас вендоры из Китая, Сингапура?

Дмитрий Стуров: Увы, насчет азиатских вендоров мне нечего сказать. Я не знаком с их решениями. Слышал, что такие компании планируют экспансию в Россию, в том числе они готовы предложить решения в сфере информационной безопасности. Если азиатские вендоры предложат продукты, не уступающие по эффективности западным и при этом по меньшей стоимости, то, возможно, мы перейдем на них.

CNews: Какие направления в информационной безопасности будут актуальными для вашего банка в 2015–2016 годах?

Дмитрий Стуров: Я считаю, что дальнейшее развитие получит принцип BYOD. При этом у сотрудников не должно быть раздражения, что мы имеем доступ к его устройству и пытаемся контролировать. Банк должен обеспечить адекватный уровень защиты корпоративных данных, минимально или вовсе не затрагивая пользовательскую информацию. Подключаясь к нашей корпоративной сети, пользователь должен понимать, что тут применяются механизмы защиты, которые несколько ограничат его свободу действий.

Еще одно приоритетное направление для банка – работа над улучшением системы корреляции событий, сбора мониторинга информационной безопасности. Сейчас в инфраструктуре банка появляется все больше ИТ-систем. Проанализировать все данные журнала событий и выявить действительно критичные события из огромного потока информации не способно даже подразделение из ста человек. Вместо людей целесообразно использовать системы, умеющие работать с большими объемами данных. Такие системы позволяют найти иголку в стоге сена.

CNews: Какие глобальные тренды в сфере информационной безопасности будут характерны вашей отрасли в ближайшие два-три года?

Дмитрий Стуров: В последние годы наблюдается тренд ужесточения требований регуляторов в области информационной безопасности, с уверенностью можно сказать, что в ближайшем будущем эта тенденция никуда не исчезнет. Кроме того, ожидаю значительный рост активности кибермошенников, которая будет направлена на финансовые инструменты.

Простые, но эффективные способы мошенничества, такие как программы-вымогатели, никуда не исчезнут, а также будут только набирать обороты.

Крупные организации будут все чаще сталкиваться с целевыми атаками, перед которыми бессильны стандартные средства защиты, такие как фаервол и антивирус.

Продолжат свое развитие облачные сервисы, большие данные, интернет-вещи, социальные сети как для обычных людей, так и для организаций.

Потоки обмена информацией, веб-трафика, электронных писем, пересылаемых данных и т.д. будут только нарастать. Собственно, надо быть готовым к тому, что придется анализировать огромное количество данных на больших скоростях.