Критичный бизнес процесс это банка

Участники секции «Информационная безопасность» очередного CNews FORUM 2022 в ходе выступлений спикеров, а также их ответов на вопросы из зала пришли к нескольким выводам, порой не утешительным. Число атак на инфраструктуру в текущем году увеличилось в 10 раз. Основная задача сегодня — не столько заменить ПО и оборудование иностранного производства, сколько найти варианты для того, чтобы они продолжали работать. По мнению участников секции, защищать нужно критические бизнес-процессы, а не инфраструктуру в целом.

Главные задачи

Информационная безопасность (ИБ) — это свойство ИТ-инфраструктуры противостоять рискам, источником которых могут быть как внутренние, так и внешние факторы. Если сконцентрировать внимание на первых, то 55% опрошенных РАНХиГС компаний заявили, что уход западных компаний, ранее поставлявших в Россию аппаратное обеспечение, повлиял критически или оказал наиболее сильное влияние на российские промышленные компании.

Почему? Если не считать софта из сегмента ИБ, на которое уже перешли большинство компаний и государственных организаций, с 2014 г. так и не решены две базовые проблемы. В их числе: операционные системы и железо практически всей номенклатуры. Причем, технологическое отставание наиболее заметно именно в области ПО.

Как сделать незаменимой систему управления бизнес-процессами в банке

Основная опасность технологического отставания России лежит в области ПО, а не железа

Дополнительным ограничивающим фактором импортозамещения является то, что ранее выделенные ИТ-бюджеты уже в массе своей освоены, а инвестировать дополнительные деньги на перевнедрение никто не спешит. Кроме того, крайне проблематично быстро заменить то ПО, которое создавалось годами. Существующие сложные ИТ-системы и комплексные решения «вросли» в инфраструктуру компаний. Она усложнялась и совершенствовалась долгое время, а для импортозамещения нужно менять практически всё.

В связи с этим, оценивая ИБ-риски как таковые, параллельно необходимо искать направления снижения рисков в целом при импортозамещении в условиях санкционных угроз. Поэтому первым пунктом в списке из 10 направлений действий эксперт поставил следующую рекомендацию: «Выбрать 2-3 вендора оборудования в целях снижения рисков загрузки производства российского оборудования и срыва сроков поставов по заказам. Начать переход на ”российскую иглу” с ”американской” и ”китайской”». Что касается софта, то критичный должен быть заменtн в первую очередь, а остальной — поэтапно с формированием продуманной стратегии перехода.

Что оказалось под ударом хакеров

Сергей Козерод, директор по развитию бизнеса на корпоративном и государственном рынке компании ТрансТелеКом, поделился актуальными трендами и тенденциями на рынке ИБ: «В 10 раз увеличилось количество зафиксированных атак за 1 квартал 2022 года по сравнению со всем 2021 годом! В 3 квартале фокус атак сместился с госучреждений на промышленность и телеком-инфраструктуру. Самая продолжительная непрерывная DDoS-атака длилась 34 дня».

Тенденции на рынке ИБ

Спикер обратил внимание на четыре тренда рынка. Во-первых, наметился ежегодный прирост новых уязвимостей, который превысил темп в 10% в годовом выражении. Во-вторых, зафиксировано резкое увеличение атак на системы АСУ ТП и КИИ. В-третьих, происходит вынужденное форсирование задач по импортозамещению средств ИБ. И, наконец, стал крайне острым дефицит квалифицированных ИБ-специалистов.

Разработка бизнес-процессов в компании

В этих непростых условиях специалисты компании ТрансТелеКом, как довольно эффективное комплексное средство обеспечения ИБ, предлагают участникам рынка сервисную модель обеспечения должного уровня информационной безопасности.

В частности, выгоднее воспользоваться сервисом и централизовать функцию ИБ, чем в каждом филиале территориально распределенной компании создавать свои подразделения. Сервисная модель позволяет подключать новые точки быстрее и дешевле и с меньшими затратами. Важно учитывать отраслевую экспертизу сервис-провайдера: партнер, глубоко понимающий унифицированные бизнес-процессы сможет эффективнее «наложить» на них оптимальные ИБ-процессы и средства защиты, естественно, с прогнозируемым уровнем сервиса. И, наконец, появляется возможность гибкого масштабирования бизнеса без увеличения капитальных расходов в части затрат на ИБ.

Алексей Киселев, руководитель отдела по работе с клиентами среднего и малого бизнеса компании «Лаборатория Касперского», продолжил тему: «Киберпреступность — это огромная индустрия, вероятно, самая крупная в организованной преступности. При выручке в 1,5 трлн долларов в 2021 году это 50% автомобильной промышленности или 85% телекоммуникаций.

Это привлекло и продолжает привлекать в криминальных бизнес огромное количество людей. Доступный для всех инструментарий позволяет теперь очень легко начать атаку, независимо от того, есть ли у человека соответствующие навыки или нет. Вопрос только в цене, она не так уж велика. А вот ущерб от подобной атаки может быть очень серьезным».

Средний ущерб от кибератак и его виды

Важно использовать передовые методы обнаружения, в первую очередь основанные на машинном обучении, чтобы обнаруживать угрозы, использующие различные методы обхода средств ИБ. Для дальнейшего улучшения обнаружения, расследования и реагирования на угрозы возможен переход на технологии EDR и/или MDR.

Необходимо постоянное обучение сотрудников вопросам кибербезопасности для создания культуры кибербезопасности. И последнее, но не менее важное — своевременное исправление и обновление ПО. А поскольку это рутинная задача, то предпочтительнее ее автоматизировать.

В «Лаборатории Касперского» создано решение, которое поможет бороться с этими угрозами, не затрачивая при этом слишком много времени, усилий и денег: Kaspersky Optimum Security. Оно состоит из четырех инструментов, которые можно использовать по отдельности или вместе.

Как правильно мониторить ИБ

Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» в докладе «Как построить работающий SOC» остановился на практических аспектах того, как добиться того, чтобы получилось что-то похожее на реально работающий центр мониторинга ИБ, а не на картинки из рекламных буклетов.

Зачастую под словами «мы построили SOC» некоторыми безопасниками понимается закупка отечественного SIEM-решения, подключение к нему каких-то источников событий, обычно из Windows, и настройка 40-50 правил корреляции. На выходе появляется доклад: «Мы построили центр кибербезопасности и будем мониторить ИБ». А что же на самом деле построили эти «сокостроители»?

Читайте также:  Реинжиниринг бизнес процессов в информационных системах это

Залог успеха SOC

«В приличном SOC имеется четыре краеугольных камня — контент, люди, инфраструктура и процессы. Контент — это набор тех правил, которые позволяют SOC выявлять действия злоумышленников в целевой системе. Поскольку сейчас все атаки комплексные со сложными механиками, необходим продвинутый контент.

Жизнь показывает, что для борьбы с APT-атаками необходимо более 400 правил, выстраданные ”болью и потом” аналитиков конкретной компании. Вендорские правила, поставляемые по умолчанию, нельзя просто взять и использовать. Цена тому — ”умершая” дежурная смена аналитиков этого SOC под водопадом из более чем сотен тысяч событий в час», — пояснил Иван Мелехин азы работы центра кибербезопасности.

Что касается людей (персонала), то на рынке наблюдается серьезный дефицит кадров с пугающими амбициями по ожидаемой зарплате. Типичной картиной на рынке стало ситуация, когда при необходимости набора 20 аналитиков начального уровня на первую линию, приходится проводить более 100 собеседований. Для набора квалифицированных спецов приходится приложить на порядок больше усилий. Необходимо растить их у себя под руководством гуру, которых тоже крайне мало.

А зачем нужны именно квалифицированные сотрудники? Для того, чтобы эффективно работать с современными решениями, имеющими дело с обработкой колоссальных потоков информации. А то оборудование, что сейчас имеется в продаже, это далеко не то, с чем привыкли работать те самые гуру. Надо уметь использовать то, что есть.

В этом здорово помогает накладывание картины реальных ИБ-процессов на идеальные бизнес-процессы из теории для избавления от иллюзий. Но это кто-то тоже должен уметь делать. Вот тогда это будет настоящий SOC, а не бумажная безопасность!

Откуда берется информационный вал, захлестнувший всех в последнее десятилетие? Кто или что генерирует такой трафик в интернете? Руслан Ложкин, руководитель службы информационной безопасности Абсолют Банка, отчасти дал ответ на этот вопрос, рассмотрев актуальные риски, привносимые в информационное пространство со стороны устройств из мира интернета вещей (IoT).

Александр Луганцев, начальник отдела информационной безопасности компании «ВТБ Специализированный депозитарий»: Главное определиться — а что такое импортозамещение, что на что меняем?

Этих устройств, по разным оценкам, уже больше, чем людей на нашей планете, и рост их количества продолжается. Умные телевизоры, холодильники, голосовые помощники вкупе с промышленными IoT подключены к Интернету и в автоматическом режиме пытаются выполнять те функции, которые заложены в них их пользователями. Однако пренебрежение требованиями ИБ как со стороны производителей, так и эксплуатантов, считающих IoT не более чем безобидными игрушками, только на руку злоумышленникам, часто использующими их как элементы огромных ботнетов.

Как снизить соответствующие риски? Руслан Ложкин предлагает воспользоваться стандартом NIST IR 8259 «Базовый уровень основных функций кибербезопасности для защищаемых устройств Интернет вещей».

Многие из приведенных в нем положений мало отличаются от тех мер, которые используются в обычном мире. Однако риски промышленного интернета-вещей и меры их компенсации дополняются довольно интересным пунктом — необходим план ”Б” на случай часа ”Х”. К сожалению, что это такое, никакие стандарты пока не раскрывают.

Кейсы и лучшие практики

«В нашей практике не редкость, когда у заказчика есть внутренний защищенный контур безопасности и внешний, где нет жестких ограничений по ИБ. Однако контролируемо и безопасно передавать из одного контура в другой документы все же требуется. Причем, необходимо обеспечить сокращение неконтролируемого обращения носителей информации. Выход из ситуации был найден благодаря системе защищенного обмена документами на основе защищенного облачного хранилища Secret Cloud Enterprise и набора решений PT», — описал актуальность проекта Леонид Бондаренко.

Особенностью архитектуры решения являются использование изолированных хранилищ данных и межсетевого экрана PT AF, соединенных между собой защищенным протоколом. Иными словами, каждому контуру защиты информации сопоставляется свой, изолированный экземпляр хранилища, а внешний и внутренний контуры безопасности разделяются межсетевым экраном. Связь между хранилищами обеспечивается средствами API по защищенному протоколу передачи данных. Каждый контур снабжен собственным экземпляром системы защиты от вредоносного ПО, DLP-решение обеспечивает минимизацию вероятности утечек конфиденциальной информации, а все системные события ИБ передаются в SIEM заказчика.

Александр Луганцев, начальник отдела информационной безопасности компании «ВТБ Специализированный депозитарий» в своем выступлении «Оптимальные пути замены иностранных решений» вернулся к проблематике импортозамещения. Акцент же спикер сделал на раскрытии тезиса: «Главное определиться — а что такое импортозамещение, что на что меняем?».

Поводом к этому стали неясные определения из последних руководящих документов: «дружественные» и «недружественные» страны. Жизнь показала, что состав и тех, и других может меняться. Так какие решения тогда закупать, исходя из среднесрочных и долгосрочных планов развития бизнеса? С чего начать? В ВТБ предлагают разбить процесс импортозамещения на этапы.

Начальный этап: инвентаризация бизнес-процессов

Далее необходимо определить информационные системы, обеспечивающие функционирование основных бизнес-процессов, и информация, которая циркулирует в данных системах. По результатам можно обрисовать ландшафт угроз, определиться с перечнем актуальных угроз и выделить актуальные векторы атак.

Имея все это на руках, определяются средства защиты информации, обеспечивающие безопасность и функционирование основных бизнес-процессов. Важным следствием этого этапа является составление списка средств защиты информации (СЗИ), функционал которых подлежит замене (стратегическая цель), либо возможно дальнейшее использование оборудования (тактические задачи).

Вот именно здесь после этапа тестирования функционала СЗИ и определения совокупной стоимости владения принимается итоговое решение. На его исход влияют также наличие отечественных аналогов, широта покрытия необходимого функционала, количество необходимых в итоге СЗИ, возможность использования Open Source, а также способность вендора оказывать услуги внедрения, поддержки и доработки. После этого топ-менеджмент получает планы замещения и инвестиций.

Читайте также:  Партнер по бизнесу автомобилей

Процессы, риски и люди

Игорь Беляков, Ex-начальник аналитического отдела противодействия современным киберугрозам банка «Санкт-Петербург», углубился в анализ угроз как основной механизм построения эффективной системы защиты информации.

«Система защиты информации должна обеспечивать защиту информационных активов, оказывающих влияние на бизнес-процессы от актуальных угроз», — обозначил он главный функционал СЗИ в банке.

Задачи система защиты информации

Согласно приведенной схеме, все начинается с этапа работы с угрозами: обмена опытом (Кто, кого и как атакует? Кто атаковал конкретно вас и зачем?), выявления применимых угроз, работе с уязвимостями, а также оценки рисков.

Спикер заострил внимание на таком элементе этапа обмена опытом как атрибуция, который позволяет выявить конкретную преступную группу и ее характерные методики атак: «Контекст — дополнительная информация для анализа индикаторов компрометации, которая позволяет ответить на вопросы, кто, как и зачем использовал угрозу, на которую указывает данный индикатор. Индикатор компрометации — базовый технический признак атаки. Например, IP-адрес, с которого была зафиксирована рассылка управляющих команд в ботнет сеть, или хеш сумма файла вируса вымогателя».

На этапе выявления применимых угроз необходим мониторинг инцидентов, как важнейший процесс, который показывает признаки реальных угроз для конкретных информационных систем, а также соединяет вместе общий контекст и суровую реальность благодаря SIEM- и IRP-системам. В итоге этого процесса ИБ-подразделение получает список угроз, признаки которых были замечены в ИТ-активах, реализующих конкретные бизнес-процессы.

Благодаря совместной работе ИБ и владельца бизнес-процесса, проведенной заранее на этапе оценки рисков, составлен список рисков, по которым нужно выполнить мероприятия и ресурсы, необходимые для них. Исходя из этого документа и выявленных уязвимостей проводится комплекс ИБ-мероприятий по нейтрализации конкретной угрозы для конкретного процесса.

Михаил Левашов, член экспертной коллегии фонда «Сколково», в завершающем сессию докладе поднял проблему образования в области ИБ, подсветив при этом «блеск и нищету» профессорско-преподавательского состава (ППС) соответствующих кафедр ВУЗов.

Информационная безопасность объединяет в себе научные, технические, юридические, психологические, социальные и другие направления исследований и относится практически к каждому физическому и юридическому лицу, а также любым другим формам объединения людей, использующих информационный обмен.

«По области охвата, значимости и разноплановости ИБ сегодня похожа на медицину, у которой имеется собственная Академия наук и своя разветвлённая система подготовки специалистов и обмена опытом», — заявил Михаил Левашов.

Ключевое слово в этой цитате — «похожа». Проблема заключается в попытках сочетать несочетаемое: теорию и практику. По словам докладчика, ППС — совместители-альтруисты. Если они переходят в ВУЗ на основную работу, то быстро теряют квалификацию. ППС перепутали и с работниками НИИ.

Они должны прежде всего заниматься преподаванием, а не исследованиями!

Претензий у Михаила Левашова к существующей методике преподавания ИБ, а также невысокому уроню взаимодействию ППС с медиа-ресурсами и профильными конференциями по объективным причинам набралось немало. Поэтому он позволил себе сделать неутешительный вывод: «Образовательный процесс излишне забюрократизирован и отстает от процессов развития отрасли ИБ».

Однако ответ на вопрос: «Кто виноват и что делать?», участники сессии решили не давать прямо здесь и сейчас. Причиной тому является острейший дефицит квалифицированных кадров в отрасли. Очевидно только одно: проблему решать придется сообща. Процесс этот сложный, но дорогу осилит идущий!

Как прошел юбилейный CNews FORUM 2022

В 2022 г. CNews FORUM — крупнейшая независимая площадка для встречи ИТ-директоров, руководителей ИТ-компаний и представителей органов власти — успешно прошел в пятнадцатый раз.

За цифровизацию России!

Форум собрал свыше 1300 участников. Было заслушано около 100 экспертных докладов. В сессионной части было проведено шесть тематических отраслевых секций: «ИТ в госсекторе», «ИТ в банках», «Облачные технологии», «Информационная безопасность», «ИТ в торговле» и «Цифровая трансформация».

На старте CNews FORUM состоялся диалог с отраслью главы Минцифры Максута Шадаева. Затем в пленарной части форума директор по ИТ в РЖД Евгений Чаркин, старший вице-президент по банковским технологиям «Уралсиба» Константин Меденцев, директор по ИТ «Росатома» Евгений Абакумов, член правления, старший вице-президент по ИТ и цифровой трансформации бизнеса банка «Ренессанс кредит» Денис Сотин, директор по ИТ сети гипермаркетов «Лента» Сергей Сергеев, вице-президент по ИТ «Евраз» Артем Натрусов и многие другие.

Сергей Козерод: Количество кибератак в 2022 г. в 40 больше, чем за весь 2021 г. Количество кибератак на российские предприятия растет. Не все из них имеют возможность противостоять им своими силами. В таком случае можно приобрести ИБ как услугу. О преимуществах такого подхода рассказал Сергей Козерод, директор по развитию бизнеса на корпоративном и государственном рынке ТрансТелеКом.

В этом году значительно увеличилось число скрытых или продвинутых угроз, способных преодолевать традиционные киберзащитные механизмы. Для борьбы с ними нужна решения уровня EDR, рассказал Алексей Киселев, руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского».

Для противодействия кибератакам, число и интенсивность которых многократно увеличились, компаниям надо создавать собственный SOC. Однако, это требует серьезных денежных вложений. Кроме того, могут возникнуть трудности с поиском специалистов. О том, как действовать в сложившейся ситуации, рассказал Иван Мелехин, Директор центра мониторинга и противодействия кибератакам IZ:SOC, «Информзащита».

Читайте также:  Частые проблемы в бизнесе

Подписка Будь в СЕТИ! Новости социальных сетей — всегда актуальноеГруппы: ВК|OK|Tg Группы: ВК|OK|Tg

Источник: keep-intouch.ru

Операционная надежность НФО по Положению 779-П. 10 популярных вопросов

Дорогие друзья! В ходе исполнения требований установленных Положением Банка России №779-П у некредитных финансовых организаций возникает ряд вопросов.

389 просмотров

Эксперты нашей компании «Технологии. Автоматизация. Бизнес» (ТАБ) выбрали 10 самых популярных вопросов и дали на них максимально развернутые ответы.

1)В случае, если событие операционного риска не повлекло за собой убытки, оно не вносится в базу событий?

Если произошло событие операционного риска, и оно признано таковым, то оно уже должно быть в базе рисковых событий. Само признание события операционным риском определяется исходя из Вашей политики управления рисками. Можно или указать сумму потерь, например 20 тыс руб (это лимит по практике признаваемый Банком России), или можно убрать сумму и оставить только качественную оценку.

Таким образом, например, оставив только качественную часть, вы будете признавать событие операционным риском только если его длительность более 24 часов.

Саму запись в базу событий надо внести с ее параметрами, признали вы событие операционным риском или нет, так как ЦБ будет проверять классификацию данных.

2) Если при событии превышено допустимое время деградации или простоя или если событие произошло 5 раз в день, оно не вносится в базу событий?

Допустимое время деградации считается только по признанным событиям операционного риска, а они уже отражены у Вас в базе данных. Но дополнительно в базе отражается еще и расчет доли деградации. То есть, если это просто событие операционного риска, то часть полей будет пустым, а если вы признали событие операционного риска инцидентом операционной надежности, то уже должны быть заполнены соответствующие поля.

3) Что такое ключевые индикаторы риска?

Кратко – это целевой показатель уровня риска. Например, потери организации из-за сбоев оборудования не должны превышать 3 млн руб в год. Или простой оборудования должен быть не более 1% от общего рабочего времени.

Далее при достижении этихпоказателей, должно быть обязательно организовано мероприятие внутри компании, которое позволит исполнить заданные КИР. Например, оборудование чаще не работало, так как перегружено, и решено купить новый сервер, в этом случае мероприятие – покупка сервера,документы,подтверждающие его исполнение – накладная на приобретение.

4) Что такое критичный бизнес-процесс?

Критичный бизнес-процесс — это процесс, который руководство организации приняло как недопустимый к остановке. Например, процесс заказа сахара в офис или организация HR мероприятий приняли как некритичный и определили сроки его возможного простоя как 1 неделя.

Также ЦБ вменяет в 779-П набор обязательно критичных процессов, это процессы по урегулированию убытков, возврата премий и поддержания информационного сайта страховщика.Процессы, входящие в данные группы, нельзя признать не критичными.

5) Какие вы можете посоветовать мероприятия по минимизации операционного риска, связанного с операционной надежностью?

После идентификации объектов критичной архитектуры Вам сразу станет видно, где у Вас узкие места. Это могут быть роутеры Cisco, Windows, отсутствие порядка обработки событий и непонимание руководителей отделов, как работать с этим.

Поэтому мероприятия могут быть:

  • Импортозамещение критичного оборудования.
  • Формирование реестра бизнес-процессов организации.
  • Обучение руководителей системе управления рисками и принятию решений на базе СУР.
  • Настройка автоматизированного выявления рисков на базе мониторинга Zabbix.

Улучшение качества учета пользователей организации в службах каталогов (AD).

6) Какая периодичность контроля за соблюдением значений целевых показателей операционной надежности является стандартной в рамках 779-П? Какую Вы можете посоветовать?

Периодичность выполнения процедур внутреннего контроля не регулируется Банком России, то есть, Вы сами в праве решать какие интервалы применять. Основная причина их сокращения, например до квартала или месяца, это желание быть уверенным, что завтра придет проверка и у вас все работает должным образом. В основном это зависит от масштаба деятельности, если организация до 10 сотрудников — мы обычно рекомендуем раз в год, если до 100 — раз в квартал, остальным — раз в месяц. Но, конечно, данные интервалы могут корректироваться в зависимости от бизнес-модели организации.

7) Как мы можем защищать свои объекты от поставщиков услуг?

В данном случае, во-первых, необходимо идентифицировать поставщиков как элементы критичной архитектуры и внести их в соответствующий реестр.

Далее, необходимо определить, а где именно может быть информационная угроза. Предположим, у вас есть агент, который оформляетдоговора и они приходят к вам автоматизировано. В этом случае надо оценить возможность реализации угроз в этом блоке. Как минимум это возможность отправки технологического запроса не вашим агентом, а мошенником. Это может быть воздействие вирусов итп.

Нужно оценить влияние информационных угроз (список на сайте ФСТЭК) на Ваши бизнес-процессы. Если та или иная угроза может повлиять на Ваши бизнес-процессы, то организовываете соответствующие мероприятия.

8) Можете ли вы объяснить порядок определения показателей, указанных в п. 1.3 положения 779-П? Как на практике определяется, например, допустимое время простоя и (или) деградации? Какое первоначальное значение показателей?

Наша компания регулярно проводит вебинары, на которых наши эксперты подробно разбирают порядок определения данных показателей. Посмотреть наши последние вебинары, можно в нашем телеграм-канале.

Процессное управление: Москва vs Питер 2011

В Санкт-Петербурге действуют предприятия, много лет работающие над внедрением процессного управления BPM. Москва также может похвастаться прогрессивными компаниями. Санкт-Петербург лидирует в отдаче от внедрений, а Москва сосредоточилась на стратегическом планировании, закупках, логистике.

Четвертое ежегодное аналитическое исследование компании Software AG https://www.tadviser.ru/index.php/%D0%9D%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8:%D0%9F%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%D0%BD%D0%BE%D0%B5_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5:_%D0%9C%D0%BE%D1%81%D0%BA%D0%B2%D0%B0_vs_%D0%9F%D0%B8%D1%82%D0%B5%D1%80_2011″ target=»_blank»]www.tadviser.ru[/mask_link]

Рейтинг
( Пока оценок нет )
Загрузка ...
Бизнес для женщин