Банковская тайна

Обеспечение безопасности данных в банковской отрасли относится, пожалуй, к категории наиболее важных задач. Перестраховаться здесь невозможно, а любое упущение может привести к весьма серьезным последствиям. В условиях кризиса не только банки, но и любые организации сталкиваются с проблемой — сокращение бюджетов, с одной стороны, и необходимость усиления ИБ, с другой. Представители отечественных банков поделились своим взглядом на вопрос безопасности и рассказали о принимаемых ими мерах защиты информационных систем.

Ринат Шамсутдинов,
заместитель председателя правления АО «Альянс Банк»

«Альянс Банк» всегда уделял достаточно большое внимание вопросам информационной безопасности, у нас есть специальное подразделение — Департамент информационной безопасности. Со своей задачей он справляется успешно, потому что фактов компьютерного или интернет-мошенничества совершенно не много, буквально единицы за год. Сейчас у нас работает круглосуточная служба обслуживания физических лиц через интернет-банкинг, в ближайшее время мы предполагаем открыть такую же службу для юридических лиц. При разработке этих программ мы очень большое внимание уделяем вопросам ИБ и используем уже апробированные и сертифицированные инструменты, которые в Казахстане применяются в соответствии с законом об электронно-цифровой подписи, и, соответственно, работаем с организациями, которые имеют лицензию от государства.

Понятно, что до кризиса бюджеты на IT росли везде. Сегодня, в силу финансовых проблем, эти бюджеты не растут в казахстанских банках. И «Альянс Банк» не исключение — мы пока работаем по ранее утвержденному бюджету на 2009 год, и я не думаю, что в бюджете следующего года будет существенное увеличение расходов. Но на безопасности мы не экономим. У нас достаточно большая служба безопасности, которая за последнее время даже увеличилась.

Михаил Ломтадзе,
председатель правления Kaspi Bank

Исходя из стратегии развития, целью которой является наращивание присутствия на рынке облуживания физических лиц, мы делаем инвестиции в четырех важных направлениях — информационные технологии, расширение сети продаж, персонал и брэнд. Эти направления создадут основные конкурентные преимущества нашего банка. Мы не сокращаем, а постоянно делаем инвестиции в технологии. Разумеется, самое главное — это команда, и на сегодня, думаю, у нас самая сильная команда в IT. Она совместно с другими подразделениями банка постоянно реализует амбициозные и инновационные задачи. Мы не ставим себе цель иметь самое дорогое или «крутое» программное обеспечение. Главное — это постоянные инвестиции в технологии с одной основной целью — улучшение возможностей по предоставлению быстрых и качественных банковских услуг в масштабах страны в каждой точке продаж банка.

С момента приобретения банка международными инвесторами, те технологии, в которые мы вложили средства, позволили нам контролировать и риски, и, в то же самое время, дали нам возможность предоставлять казахстанцам технологичные продукты мирового качества. В 2009 году эти технологии позволили нам наращивать бизнес более активно. Со своей стороны мы просто делали качественные фундаментальные инвестиции, предполагающие развитие на 3–5 лет вперед. К примеру, масштабное изменение структуры информационных технологий в любом банке занимает минимум 2 года, и то только в том случае, если вся команда банка активно работает. Именно этим мы занимались, когда другие просто росли. Созданная нами платформа позволяет развиваться как сейчас, так и в последующие 2–3 года. И мы будем продолжать эти инвестиции.

В рамках централизации IT-инфраструктуры мы успешно реализовали несколько крупных стратегических проектов. С целью комплексной поддержки розничного бизнеса в эксплуатацию запущен новый информационный комплекс на базе продуктов Центра Финансовых Технологий (ЦФТ). В результате централизации клиентской базы мы получаем достоверную управленческую информацию и возможность контроля кредитных рисков в реальном режиме времени. В результате внедрения существенно упрощен и стандартизирован бизнес-процесс кредитования, а клиенты банка получили возможность обслуживания кредитов с помощью пластиковых карточек. В IT за последние 2 года нами было инвестировано порядка 2 млрд. тенге, и информационная безопасность — априори является для нас самой важной составляющей программного обеспечения и продуктов, поскольку клиентская база Kaspi Bank на сегодняшний день насчитывает более миллиона человек, при этом прирастая на 40 тысяч ежемесячно.

Рустем Раев,
начальник отдела информационной и телекоммуникационной безопасности Департамента безопасности АО «БТА Банк»

Как в любой крупной компании, в БТА существуют потенциальные риски утечки конфиденциальной информации, которые могут серьезно повлиять на финансовую деятельность банка, а также негативно отразиться на его репутации. Поэтому, безусловно, информационной безопасности в «БТА Банке» традиционно уделяется повышенное внимание.

Самая важная установленная нами новинка последних лет в сфере информационной безопасности — это внедрение системы управления инцидентами информационной безопасности и информационных технологий, которая позволяет нам обнаруживать, анализировать и оперативно реагировать на события и инциденты информационной безопасности.

Если говорить о бюджете на информационную безопасность, тут есть универсальное правило — в любые времена (будь то кризис или, наоборот, период роста прибыли) затраты на средства материально-технического обеспечения безопасности не превышают 20% от прибыли, которую получает компания.

Не так давно нами был проведен комплексный аудит системы интернет-банкинга «БТА-Онлайн» на предмет ее соответствия рекомендациям по обеспечению информационной безопасности, описанным в стандарте ISO\IEC 27002:2007. Для системы «БТА-Онлайн» была специально разработана модель рисков и осуществлена оценка уровней вероятных рисков. По результатам проверки внедренная в банке система управления информационной безопасностью доказала свое эффективное функционирование, успешно пройдя сертификационный аудит, который проводила компания BSI, и получив сертификат соответствия международному стандарту ISO\IEC 27001:2007.