Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Пример решения: Банк Москвы выбирает InfoWatch для защиты электронной почты от инсайдеров и утечек

О заказчике

Банк Москвы — один из крупнейших российских банков. Он представлен практически во всех экономически значимых регионах страны. В столичном регионе Банк оказывает услуги клиентам через сеть более чем 100 обособленных подразделений, действующих во всех административных округах Москвы и ряде городов Московской области. Услуги населению оказываются также в 470 почтово-банковских отделениях Москвы и Московской области.

Компания имеет более 50 филиалов в крупнейших административных центрах России, а также представительства Германии и дочерние структуры в Эстонии, Латвии, Татарстане, Беларуси и Украине. В общей сложности Банк Москвы обслуживает более 94 тысяч корпоративных клиентов и 7,4 млн. физических лиц. Среди клиентов Банка крупнейшие отраслевые предприятия и организации, работающие в таких стратегически важных областях, как оборонная промышленность, нефтегазовый комплекс, добыча золота и алмазов, транспорт и связь, строительство, сельское хозяйство и пищевая промышленность, а также бюджетные организации и внебюджетные фонды, налоговые инспекции, иностранные фирмы и их представительства, физические лица.

В Банке Москвы действует собственный процессинговый центр, обслуживающий все карточные программы Банка и сертифицированный Visa International и Europay International. Сегодня компанией эмитировано около 7,2 млн. карт.

До внедрения

В своей деятельности Банк Москвы активно использует информационные технологии и различные электронные средства коммуникации. Так, в одной лишь штаб-квартире компании более 2,5 тыс. служащих имеют доступ к Интернету через корпоративную электронную почту. При этом объемы почтового трафика составляют более 5 Гб и более 60 тыс. сообщений в сутки. Между тем, в масштабах разветвленной филиальной сети эти значения возрастают в несколько раз.

Естественно, что богатые коммуникационные возможности, доступные служащим Банка Москвы, могут быть использованы не только в интересах самой компании, но и против нее. Дело в том, что посредством любого электронного канала очень просто допустить утечку конфиденциальной информации или персональных данных. При этом электронная почта является настолько распространенным и удобным средством связи, что служащий компании может выслать ценную информацию за пределы корпоративной сети не только по злому умыслу, но и вследствие случайности, халатности или безалаберности. В то же самое время всего один такой инцидент способен принести серьезный ущерб репутации фирмы и вообще подорвать ее конкурентоспособность.

Не стоит сбрасывать со счетов и нормативные акты, которые регулируют обращение персональных данных и конфиденциальной информации в банковской сети. Как известно, в августе 2006 года в России был принят федеральный закон «О персональных данных». Он предписывает всем организациям, на попечении которых находятся приватные сведения граждан, обеспечить конфиденциальность этой информации и защищать ее от злоупотребления со стороны персонала или внешних злоумышленников. Кроме того, в российской банковской системе с января 2006 года действует Стандарта Банка России по ИТ-безопасности (СТО БР ИББС-1.0–2006). Авторы Стандарта открыто признают, что внутренние нарушители имеют наибольшие шансы для осуществления угрозы ИТ-безопасности. Наконец, наблюдается преемственность между Стандартом Банка России и требованиями соглашения Basel II по управлению операционным риском. Следует учесть, что в 2009 году Россия планирует присоединиться к международному  соглашению Basel II. Следовательно, все российские банки будут обязаны взять под контроль операционные риски, в состав которых входят угрозы кражи и искажения конфиденциальной информации. Таким образом, перед Банком Москвы стояла задача не только исключить утечки через электронную почту, но и тем самым обеспечить соответствие сразу трем нормативным актам.

«В процессе операционной деятельности в Банке Москвы аккумулируются большие объемы персональных данных наших клиентов. Всю эту информацию мы обязаны защитить не только потому, что так требует закон, но еще и потому, что утечка этих сведений или злоупотребление ими нанесет вред нашим клиентам. Такая ситуация является недопустимой для Банка Москвы», — комментирует Василий Окулесский, начальник отдела защиты информации службы безопасности «Банка Москвы».

Можно сделать вывод, что, принимая решение о выборе и внедрении средства контроля над электронной почтой, руководство Банка Москвы ставило следующие задачи:

• Обеспечить выявление и предотвращение утечек конфиденциальной информации и персональных данных через каналы электронной почты;
• Обеспечить сбор и сохранение всего почтового трафика с возможностью  проведения последующего ретроспективного анализа;
• Удовлетворить требованиям ФЗ «О персональных данных», согласно которым организации следует обеспечить конфиденциальность персональных данных своих клиентов и служащих;
• Обеспечить соответствие Стандарту Банка России по ИТ-безопасности, который требует собирать и хранить всю электронную почту и пресекать злоупотребления со стороны собственного персонала;
• Удовлетворить требованиям соглашения Basel II в плане минимизации операционного риска и резервируемого под него капитала.

В то же самое время Банк Москвы предъявлял целый ряд требований к выбираемому решению. Во-первых, производительность и устойчивость продукта должны быть на достаточно высоком уровне, чтобы фильтровать почтовый трафик (более 5 Гб в сутки) в режиме реального времени. Во-вторых, внедряемое решение должно быть настраиваемым и кастомизируемым настолько, чтобы обеспечить поддержку специфичных форматов данных, используемых в Банке Москвы.

Выбор решения

Исследовав представленные на рынке решения, руководство Банка Москвы остановило свой выбор на InfoWatch Traffic Monitor. Этот продукт российской компании InfoWatch полностью удовлетворил требованиям Банка Москвы в сфере высокой производительности и устойчивости, необходимого функционала и соответствия нормативным актам. Среди компонентов InfoWatch Traffic Monitor компания выбрала следующие модули:

• InfoWatch Mail Monitor — программный продукт для предотвращения утечки конфиденциальной информации через корпоративную почтовую систему. В режиме реального времени сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные.
• InfoWatch Mail Storage — программный продукт для создания архива электронной корреспонденции в рамках корпоративной почтовой системы с возможностью дальнейшего анализа. Модуль в режиме реального времени накапливает копии электронных писем, укладывает их в хранилище и позволяет делать аналитические выборки из него для расследования случаев утечки конфиденциальных данных.

Наиболее высокой оценки заказчика удостоилась высокая производительность продукта и возможность расширения Traffic Monitor до комплексного решения InfoWatch Enterprise Solution с покрытием дополнительных коммуникационных каналов. Среди них, как веб-трафик и интернет-пейджеры (ICQ и др.), так и действия с конфиденциальной информацией на рабочей станции (включая печать документов). Вдобавок, максимальное время задержки одного почтового сообщения при обработке Traffic Monitor гарантированно не превышает 1 секунды. Кроме того, специалисты Банка Москвы отдельно отметили удобство и мощные возможности анализа InfoWatch Mail Storage. Эта система, работая всего на двух выделенных серверах, отлично справилась со средним ежесуточным почтовым трафиком: более 60 тыс. сообщений. Более того, в связи с постоянным ростом объема трафика Банк Москвы планирует организовать кластер из 3 серверов с отдельным сервером для хранения архивов.

После внедрения

Внедрение InfoWatch Traffic Monitor было инициировано в октябре 2006 года. Руководство Банка Москвы высоко оценили легкость интеграции продукта в уже существующую информационную систему компании. Весь проект занял всего 1,5 месяца с учетом того времени, которое ушло на обучение офицера безопасности, инсталляцию и тестирование продукта в выделенном сегменте сети, а также на точную настройку фильтра для уменьшения числа ложных срабатываний. После дополнительных настроек и отсева сообщений от почтовых роботов (внутренних рассылок) итоговый показатель ложных срабатываний опустился с начального значения 30% до 5%. Таким образом, специально выделенному офицеру ИТ-безопасности приходится вручную обрабатывать лишь незначительную часть всех сообщений, которые признаны подозрительными после проверки InfoWatch Traffic Monitor. Схема работы внедренного решения представлена на рисунке ниже.

Схема работы InfoWatch Mail Monitor и InfoWatch Mail Storage в ВТБ

Комментируя итоги внедрения, Василий Окулесский, начальник отдела защиты информации службы безопасности ОАО «Банк Москвы», отметил: «InfoWatchTrafficMonitor действительно отлично справился с задачей фильтрации и сохранения почты. Продукт очень быстро и легко интегрировался в информационную систему Банка Москвы, что позволило в полной мере сохранить непрерывность наших бизнес-процессов».

Итоги

По итогам внедрения заказчик получил эффективную и управляемую систему защиты почтового канал от инсайдеров и утечек. На базе продуктов компании InfoWatch заказчик обеспечил частичную совместимость с ФЗ «О персональных данных», Стандартом ЦБ по ИТ-безопасности и соглашением Basel II. Все цели проекта были достигнуты.

Убедившись в эффективности InfoWatch Traffic Monitor, Банк Москвы рассматривает возможность наращивания числа покрываемых каналов связи и распространения решения на региональные офисы и филиалы. Таким образом, один из лидеров банковского сектора России подтвердил своим выбором качество и эффективность продуктов InfoWatch.