В «СДМ-Банке» используют три продукта Компании «Индид»

В феврале 2021 года BIS Journal опубликовал интервью директора по информационной безопасности «СДМ-Банка». Владимир Солонин рассказал о специфике системы информационной безопасности в его кредитной организации и поделился результатами внедрения и продолжительной работы с продуктами Компании «Индид». Ниже приводим фрагмент этого интервью.

Как в вашем банке возникали задачи повышения уровня ИБ? Что было толчком к реализации проектов для решения этих задач?

Процесс обеспечения ИБ можно сравнить с живым организмом. Соответственно, как любой организм, он проходит некие этапе в своём развитии: от детства до зрелости. В «детстве» основными побудительными мотивами являлись требования регуляторов. В «отрочестве» мы решили посмотреть, а так ли хорошо мы соответствуем требованиям регуляторов, и провели аудит информационной безопасности. В «юности» аудиторы уже оценивали не только формальное соответствие требованиям НПА, но и фактический уровень ИБ. Пришло понимание, что защита информации – это не прихоть, а важная составляющая корпоративных бизнес-процессов. Чем раньше поднимаются те или иные вопросы безопасности, тем легче в дальнейшем развивать систему защиты. Теперь новые инструменты проходят проверку еще на стадии пилота.

Когда организация «дорастает» до понимания важности обеспечения информационной безопасности и защиты информации, проекты по модернизации системы защиты проходят значительно проще.

Важно понимать, что это медленный процесс, и требуется много усилий по воспитанию культуры информационной безопасности на всех уровнях организации. Естественно, что из всего этого вытекает оценка рисков, угроз, а также построение модели нарушителя. Однако, здесь очень сложно дать адекватную оценку и приходится опираться на мнение экспертов (так называемая экспертная оценка). Соответственно, чем больше квалифицированных экспертов участвует в формировании количественных показателей оценки, тем лучше. В данном процессе очень важна помощь экспертов дружественных компаний и аудиторов.

Расскажите, как проходили внедрения решений для защиты информации.

Внедрение новых инструментов происходит по «классической схеме». Разработка концепции с обоснованием целей и описанием результатов. План проекта. Защита его внутри банка на профильных комитетах. Анализ рынка решений. Поиск интегратора. Пилотное внедрение, иногда нескольких решений одновременно.

К сожалению, с каждым годом сложнее на рынке найти опытного интегратора, умеющего не просто внедрить какой-либо продукт, а именно решить целевую задачу (то есть развернуть решение). Часто приходится слышать, что предлагаемое решение не сможет работать по нашим сценариям. Однако, мы не готовы кардинально перестраивать свои бизнес-процессы для выполнения поставленных задач. Наоборот, мы стремимся найти программный комплекс, который максимально подходит под наши задачи и ИТ-инфраструктуру. Здесь важно описать максимально подробно, каких именно целей мы хотим достичь. Не «как», а «что» именно хотим. «Как» — это задача интегратора. Впрочем, важен даже не столько интегратор, сколько конкретная команда проекта.

На этапе пилотного проекта мы проводим оценку защищенности модулей программного обеспечения, концепции функционирования продукта, безопасности взаимодействия со смежными компонентами ИТ-инфраструктуры. Обескураживает тот факт, что в наше время мы все еще встречаем средства защиты информации, в которых отсутствует нормальное журналирование таких моментов, как доступ администраторов, пользователей, их действий, действий самого программного комплекса.

После пилотного тестирования, начинается не менее сложный этап, включающий:

• выбор конкретного продукта и интегратора;
• согласование итогового перечня услуг для построения новой подсистемы защиты информации;
• защиту проекта для получения финансирования.

По каким ключевым критериям осуществляли поиск решений?

Основной критерий — это соотношение «цена-качество», где оценка качества формируется исходя из полноты закрытия стоящих перед нами задач данным решений. Цены формируется из стоимости лицензий, работ, последующих ежегодных затрат, ресурсоёмкости внедрения (как по железу, так и по людским ресурсам), числа вносимых изменений в существующие системы, трудоемкости доработок и сопровождения.

Немаловажно и то, как продукт, лежащий в основе решения, способен интегрироваться с существующими компонентами ИТ-инфраструктуры. В том числе имеет значение объем изменений, которые потребуется внести в бизнес-процессы банка.

Последним критерием является то, кто будет решение внедрять. Если в компетенциях интегратора возникают сомнения, то лучше отложить внедрение и поискать другого, даже если выбранный продукт полностью нас устраивает. Собственно, в том числе и для этого проводится пилотное тестирование.

Какие продукты внедрены у вас и как с их помощью удалось повысить уровень информационной безопасности банка?

У нас постепенно были внедрены три программных комплекса Компании «Индид». С помощью ПО этого вендора мы полностью изменили процедуру аутентификации в целевых системах и сервисах банка, исключив использование уязвимых паролей нашими пользователями. Вместо паролей (которые часто не соответствовали требованиям безопасности и были сложны для запоминания) используются смарт-карты и хранящиеся на них сертификаты. Эти смарт-карты также совмещены с пропусками в СКУД.

Возникла еще одна задача, связанная с тем, что сертификаты поддерживаются не во всех целевых системах и сервисах. Ее решили  применением технологии Single-Sign On (SSO), которая в качестве аутентификатора принимает саму смарт-карту, и для авторизации в целевых приложениях сама вводит за сотрудника учетные данные (это происходит прозрачно для пользователя).

За аутентификацию в целевых приложениях с помощью сертификатов, с помощью технологии SSO и за интеграцию со СКУД отвечает связка двух продуктов – Indeed Access Manager и Indeed Certificate Manager.

А для контроля привилегированных пользователей, чьи действия могут иметь потенциально более разрушительный эффект для банка, чем действия линейных сотрудников, мы применяем третий продукт – Indeed Privileged Access Manager. Этот программный комплекс также поддерживает двухфакторную аутентификацию и прозрачную подстановку учетных данных при доступе целевым ресурсам – серверам, устройствам и приложениям. Дополнительно, Indeed PAM фиксирует осуществляемые привилегированными пользователями действия для последующего анализа или реагирования на сбои.

Что повлияло на выбор ПО Компании «Индид» и какие впечатления от работы с их системами?

Расскажу на примере продукта Indeed PAM для контроля действий привилегированных пользователей.

О критериях выбора я говорил ранее. Продукт выбирали в два этапа. На первом этапе было 5 конкурирующих решений. Компания «Индид» обогнала всех.

Кроме функциональных особенностей продуктов мы оценивали качество работы специалистов разработчика в части настройки продукта для пилотного тестирования и в части реализации сложных технических задач по интеграции с компонентами нашей ИТ-инфраструктуры. Помимо прочего, у нас было пожелание, чтобы разработка и техническая поддержка была локализована в России.

Надо сказать, мы не разочаровались в выборе. В поддержку обращаемся часто, и когда обращаемся, помогают оперативно. А это хороший показатель, когда решение работает и не ломается. Компания «Индид» уделяет большое внимание развитию своих продуктов и регулярно выпускает новые версии.И главное – разработчики прислушиваются к нашим пожеланиям по развитию функциональности продукта.

Комплексное использование трех продуктов одного вендора оказалось выгодной инвестицией!