Информационная безопасность в банках

Информационная безопасность в банках
StaffCop
Информационная безопасность для банков

Повышенные требования к информационной безопасности предъявляются в отраслях, работающих с большим объемом персональных данных и финансовой информацией. Среди них банки, финансовые организации, медицинские учреждения, органы государственной власти и др. Так, например, банки находятся под повышенным вниманием контролирующих органов, кроме того, их финансовые показатели напрямую зависят от выполнения нормативов защищенности. Из этой публикации вы сможете понять, как система StaffCop Enterprise может быть полезна банкам в контексте исполнения ГОСТ Р 57580.1 — 2017 и ГОСТ Р 57580.1 — 2018, которые вступят в действие 1 сентября 2018 г.

StaffCop Enterprise — система мониторинга, которая позволяет фиксировать все действия и движение информации как внутри компании, так и на периметре. Служба безопасности сможет заметить, когда сотрудники проявляют аномальную активность (рассылают необычно много писем, интересуются сайтами поиска работы или другими необычными ресурсами, отправляют много информации на печать, делают скриншоты, необычно много или, наоборот, мало работают в каких-то программах и пр.), удаляют или стирают информацию в компьютере, скачивают информацию или передают данные в облако. Кроме того, система заблокирует или ограничит запись информации на съемные носители (можно установить разрешенные носители, которыми можно пользоваться без блокировки), зарегистрирует установку и использование ПО на компьютерах пользователей.

Для расследования инцидентов будут зарегистрированы буквально все события, которые происходят в информационной системе банка:

  • когда привилегированные пользователи работают с конфиденциальной информацией, например, с базами данных клиентов. Как правило, они подписывают документы о неразглашении информации, но теоретическая уязвимость все равно существует, поэтому необходимо защититься техническими средствами: мониторить, используют ли они информацию целевым образом, какие ресурсы, как часто, что именно делают и пр.
  • когда сотрудники создают или копируют файлы на USB-устройства;
  • когда они подключают и отключают съёмные устройства, с указанием, когда и как часто они это делают, разрешенное ли это устройство и пр.;
  • когда сотрудники выходят в Интернет, какими сайтами пользуются, что там делают, при этом можно настроить систему таким образом, чтобы на определенных сайтах скриншоты снимались чаще;
  • любые обращения к документам и изменения в них, связанные с инцидентом (открытие, изменение, копирование, передача по почте, в облако, скриншоты), а также переписку в мессенджерах, аномальную активность пользователей, на основе которых можно сделать вывод, был ли инцидент, и расследовать все обстоятельства, а также определить круг лиц, вовлеченных в инцидент.

Кроме того, будут созданы теневые копии информации, отправляемой по сети (в том числе вложенных файлов) и записываемой на съёмные носители, проведен контентный анализ информации, копируемой на съемные носители, отправляемой по почте, на печать. Может быть обнаружено внесение изменений в документы с целью нанести вред, например, изменения в договоре, в персональных данных, в реквизитах контрагента и пр. И обязательно группы реагирования будут оперативно оповещены об автоматически выявленных инцидентах информационной безопасности. Это позволит в случае инцидента получить полную картину движения информации.

В финансовых организациях имеются сотрудники, которые работают с критически важной информацией, которая не должна выйти за пределы организации ни при каких обстоятельствах. На такие рабочие места обязательно нужно устанавливать DLP-систему, которая блокирует контент в случае каких-либо нецелевых действий. Для того чтобы определить такие места, нужно провести аудит системы информационной безопасности. При помощи StaffCop Enterprise в рамках бесплатного тестового периода организация получает отчет об узких местах ИБ, инцидентах в системе, инсайдерах.

Трехмесячный тестовый период StaffCop Enterprise предлагается для того, чтобы руководители службы безопасности могли попробовать нашу систему в рабочих режимах и оценили, насколько она соответствует поставленным задачам и насколько комфортно в ней работать. В течение этого периода можно провести аудит информационной безопасности, который ответит на вопросы:

  • какие узкие места имеет система информационной безопасности;
  • какие инциденты имеют место, какие сотрудники допускают потерю информации или сознательно являются инсайдерами, организуют слив информации, занимаются противоправной деятельностью, копируют базу данных клиентов и пр.;
  • в каком объеме необходима DLP-система, а на какие рабочие места достаточно системы мониторинга.

Тестовый период раскрывает руководителю реальную картину движения информации внутри компании. Сразу же становится видно, кто сливает информацию, чем занимается персонал на рабочем месте. Иногда на основании этих данных компания принимает решение расстаться с сотрудниками. Также после тестового периода можно сделать вывод, будет ли защита информации соответствовать регламентам и ГОСТам, получить тепловые диаграммы работы сотрудников с определенными ресурсами, графы взаимосвязи сотрудников между собой при нарушении информационной безопасности, дерево событий. Система StaffCop Enterprise работает с большими объемами данных, что позволяет отслеживать события по цепочке, от общего к частному, либо получать информацию о сотруднике, который вызывает подозрения. Таким образом, мы получаем не просто блокировку файла, а полное расследование инцидента, на основании которого можно поймать нарушителя.