Мы стараемся сделать информационную безопасность частью корпоративной культуры

-   Юрий   Николаевич, назовите,    пожалуйста, основные  причины   возникновения утечек банковской   информации.
-  Я бы назвал следующие основные причины утечки информации: люди, отсутствие различных технических, средств защиты (таких как криптография, межсетевое экранирование, система обнаружения вторжений и др.), невыполнение требований  нормативных документов (СТО БР ИББС-1.0, PCI DSS, 152-ФЗ "О персональных данных"), устаревшее программное обеспечение (необходима своевременная установка патчей производителей). Кроме того, компании не всегда проверяют свои системы на устойчивость к взлому. К сожалению, многие даже не слышали такого понятия, как пентест (попытка взлома информационного ресурса организации, направленная на получение объективной оценки уровня информационной безопасности исследуемого ресурса, обнаружение его уязвимых мест), и соответственно не понимают его важность и необходимость. А ведь именно пентест позволяет   понять, эффективны ли используемые средства защиты и какова вероятность взлома и получения информации злоумышленником. Кроме того, необходимо ежегодно проводить аудит информационной безопасности как снаружи, так и внутри компании, но почему-то это делают не все.

Информация – это товар. Если есть покупатель, то злоумышленники будут продолжать пытаться заполучить этот товар, а банковская информация в этом смысле очень чувствительна.

– Каковы общие требования к персоналу при организации информационной безопасности в компании?
– Как известно, самое слабое звено в цепи безопасности – это человек, поэтому при приеме на работу все сотрудники банка должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями. Обязанности персонала по выполнению требований к обеспечению ИБ должны включаться в трудовые контракты и должностные инструкции. Невыполнение сотрудниками банка требований по обеспечению информационной безопасности должно приравниваться к невыполнению должностных обязанностей, и приводить как минимум к дисциплинарной ответственности.

Юрий Николаевич Лысенко

Образование:
1995 г. – Военный институт правительственной связи (г. Орел).
2007 г. – Российский государственный университет управления – MBA – General Management, магистр. Диплом с отличием.

Имеет более 20 сертификатов по ИБ.

Профессиональный опыт:
С 2010 г. работает в ООО "Хоум Кредит энд Финанс Банк" ("ХКФ Банк") на должности начальника Управления информационной безопасности.
2005–2010 гг. – начальник Управления информационной безопасности АКБ "РосЕвроБанк".
2004–2005 гг. – начальник группы информационной безопасности компании "Евросеть".
2001–2004 гг. – начальник группы информационно-экономической безопасности ООО "Эквант" (бывшая компания "Глобал Один", сейчас Orange).
1998–2001 гг. – инженер 1-й категории в Главном управлении безопасности и защиты информации, Управлении защиты платежных технологий, Центральный Банк РФ.
1995–1998 гг. – Федеральная служба охраны, Управление президентской связи, ст. лейтенант, инженер.

Кроме таких административных мер, необходимо проводить обучение персонала. В Банке Хоум Кредит мы регулярно организуем курсы для новых сотрудников – специальные семинары, на которых объясняем, что можно делать, а что нельзя; куда обращаться, если что-то случилось. По окончании такого мини-курса сотруднику выдается памятка, в которой указаны основные требования по информационной безопасности. Мы стараемся сделать информационную безопасность частью корпоративной культуры.

– Как вы считаете, необходим ли и допустим контроль персональных коммуникаций сотрудников (электронной почты, мессенджеров, социальных сетей) на их рабочих местах для защиты от утечек данных ограниченного доступа?
– Однозначно да. В своей практике я десятки раз сталкивался с тем, что сотрудники, не задумываясь, случайно выдают информацию.

Масса тому примеров, особенно это касается маркетинговых акций, когда выход нового продукта держится в тайне, но за несколько дней до выхода информация о нем попадает к конкурентам. С этим сталкиваются многие компании, в том числе и банки. Это первый момент. И второй – на работе надо работать, а не сидеть в социальных сетях. Есть, конечно, группы сотрудников, которым необходим доступ к соцсетям, например PR-службам, подразделениям по работе с персоналом. В других же случаях социальные сети съедают массу времени, не говоря о трафике.

Естественно, возникает вопрос: каким образом можно ограничить доступ к социальным сетям? Самое простое – запретить. Однако я считаю, что доступ к соцсетям может быть разрешен, но с некоторыми ограничениями.

Например, если у сотрудника возникнет действительно срочная необходимость зайти в социальную сеть, то он может обратиться в службу ИБ и ему выделят на время отдельный ПК, не подключенный к сети банка. Но он будет знать, что все его действия контролируются и протоколируются. Если сотруднику это действительно очень нужно, он согласится с этими условиями и войдет в социальную сеть, но сделает это единожды и с полным осознанием всей ответственности.