Банк, идущий к лидирующим позициям, уделяет особенное внимание защите своих клиентов. Год назад Дальневосточный филиал ОАО «МТС-Банк» (на тот момент «Далькомбанк») внедрил многоуровневую систему контроля доступа к базам данных «Гарда БД» российского вендора «МФИ Софт». О том, как повысить надежность банка и снизить нагрузки на инфраструктуру СУБД рассказывают Константин Щепилов (Дальневосточный филиал ОАО «МТС-Банк») и Евгений Тетенькин («МФИ Софт»).
Как обстоят дела с защитой персональных данных в банковской сфере? Для чего нужно усиливать систему защиты персональных данных?

Евгений Тетенькин: банковская сфера всегда шла в ногу с развитием информационных технологий. Требования к безопасности у банков особенные – кроме персональных данных необходимо сохранять еще и банковскую тайну. В последние годы конкуренция среди банков обязывает постоянно повышать качество услуг - кто предлагает более высокотехнологичные услуги по более низким ценам, тот и побеждает. Но у прогресса есть и обратная сторона - чем плотнее современные технологии входят в нашу жизнь, тем больше соблазна у злоумышленников использовать новые возможности для обогащения. Случаи мошенничества с персональными данными учащаются, появляются новые виды и подвиды мошенников, которые так или иначе пытаются, к примеру, получать кредиты по чужим данным или производить махинации с дистанционным обслуживанием. Выявление, регистрация и локализация таких рисков - одна из наиболее важных задач службы информационной безопасности банка. В связи с этим, вложения в надежную систему защиты данных своих клиентов помогают банкам увеличить свою инвестиционную привлекательность и укрепить репутацию.
Расскажите, чем была обусловлена необходимость внедрения в Дальневосточном филиале МТС Банка системы контроля доступа к данным?

Константин Щепилов: как показывает мировая практика, большую часть проблем в области ИБ создают сами сотрудники компании. По результатам исследований крупнейших консалтинговых компаний, источник большинства проблем с безопасностью находится внутри компании. К ним относятся, в частности, риски утери сведений, составляющих банковскую и коммерческую тайну, а также персональных данных. Поэтому контроль доступа к данным в Автоматизированной Банковской Системе (АБС) – это один из наиболее эффективных способов снижения таких рисков.
На момент реализации проекта (тогда еще в Далькомбанке), у нас уже был опыт использования систем аудита доступа к базам данных. Используемая АБС позволяла контролировать операции, производимые в системе. Но, учитывая территориальную удаленность от ЦОД операторов системы и большой объем производимых ими операций в течение одного операционного дня (от нескольких десятков до сотен тысяч), это создавало большую нагрузку на инфраструктуру СУБД. Поэтому использование возможностей контроля, «встроенных» в АБС, могло периодически создавать проблемы в ее эксплуатации. Кроме этого, возможность непосредственного доступа к такой информации администраторов СУБД создавала риск внесения несанкционированных изменений в журналы протоколируемых событий.
В итоге мы пришли к пониманию, что, внедрив комплексную систему мониторинга работы с базами данных, мы сможем снизить описанные риски и реагировать на возможные инциденты в режиме реального времени.
На что в первую очередь вы обращали внимание при выборе поставщика решения для контроля баз данных? Почему выбор пал на компанию «МФИ Софт» и комплекс «Гарда БД» в частности?

Константин Щепилов: первостепенную роль при выборе играли качество продукта и возможность быстрого внедрения в существующие АБС Банка. Простота эксплуатации и качественная техническая поддержка продукта помогли в максимально короткие сроки внедрить систему и начать работать с ней. Конечно же, более привлекательная по сравнению с зарубежными аналогами стоимость продукта и его соответствие нормативным и законодательным актам РФ тоже были важны при выборе. Проведенная нами оценка представленных на отечественном рынке систем показала, что комплекс «Гарда БД» компании «МФИ Софт» в наибольшей степени отвечает этим требованиям. Дополнительным преимуществом стало и то, что производитель располагается на территории РФ и имеет большой опыт в реализации подобных проектов.

Евгений Тетенькин: нужно сказать, что подобных узконаправленных решений на рынке не так много. Есть дополнительные модули АБС, которые тормозят работу системы. Есть функциональные модули обычных DLP-систем, которые обладают очень ограниченным функционалом. Хотя система «Гарда БД» принадлежит к группе DLP-решений «Гарда», она изначально разрабатывалась, как самостоятельный продукт для контроля доступа к базам данных, способный выдерживать большие нагрузки в СУБД и решать нестандартные задачи. Высокая скорость и расширенный функционал делают решение практически уникальным.
Легко ли и в какие сроки проходило внедрение системы защиты баз данных «Гарда БД»?

Константин Щепилов: в ходе подготовительных работ мы плотно взаимодействовали с представителями подрядчика, чтобы реализовать проект с небольшими временными затратами и минимальным привлечением человеческих ресурсов. Важную роль сыграло то, что на этапе подготовки проекта сотрудники «МФИ Софт» оказывали своевременную консультационную поддержку. В результате уже в процессе проектирования мы смогли «встроить» систему в существующую инфраструктуру банка, не изменяя топологию сети и настройки используемого коммуникационного оборудования. После подготовительного этапа всего за два дня мы установили систему и ввели ее в опытную эксплуатацию. Еще один день заняло обучение персонала. Все возникшие за этот период времени вопросы оперативно решались совместными усилиями. В общем, скорость внедрения комплекса очень порадовала.

Евгений Тетенькин: комплекс «Гарда БД» изначально создавался для того, чтобы максимально быстро и просто интегрироваться в инфраструктуру систем безопасности компании, не перегружая ее лишним и дорогим оборудованием. Это дает возможность в максимально сжатые сроки настроить работу комплекса и сохранить огромное количество трудовых ресурсов, а также быстро привести деятельность компании в соответствие с законом о защите персональных данных.
Можно ли уже сейчас оценить эффект от внедрения решения для контроля доступа к базам данных? Довольны ли Вы результатом?

Константин Щепилов: с момента внедрения системы «Гарда БД» прошел почти год, и я считаю, что это был очень успешный проект. Благодаря тому, что система достаточно гибкая, мы смогли на порядок увеличить оперативность принятия решений при предотвращении инцидентов нарушения политик информационной безопасности. Наше аналитическое подразделение оценило открывающиеся возможности для работы служб внутреннего контроля и внутренней безопасности. За прошедшее с момента запуска системы время мы смогли выявить риски несанкционированного доступа к конфиденциальной информации и минимизировать их. Таким образом, мы получили реальную отдачу от работы системы.
Есть ли планы по развитию данной системы на ближайшее будущее?

Евгений Тетенькин: совершенствование и развитие наших продуктов происходит постоянно. Отдел разработок нашей компании сейчас обладает такими ресурсами, что может выпускать обновления к существующим решениям не реже, чем каждые два месяца.

Константин Щепилов: в рамках развития системы безопасности Банка мы продолжаем плотно сотрудничать с «МФИ Софт». Результатами такого сотрудничества уже явились новые возможности системы «Гарда БД», реализованные в ее функционале, такие как, внедрение методики контроля соблюдения правил парольной защиты в банке. В перспективе мы планируем оснастить подключенный комплекс матрицей критериев по контролю более 20 000 объектов существующих в АБС, а также масштабировать его в Головной офис в Москве, поэтому для нас важна своевременная и грамотная техническая поддержка специалистов.
Открытое акционерное общество «МТС-Банк» (ранее АКБ «МБРР» (ОАО)) - универсальный коммерческий банк федерального масштаба, входящий в число крупнейших банков России. Ведет свою деятельность с 1993 года. Генеральная лицензия Банка России на осуществление банковских операций № 2268 от 13.02.2012 года. Банк располагает всеми лицензиями, необходимыми для осуществления банковской деятельности, а также является участником системы страхования вкладов с 2005 года. Основные акционеры: АФК «Система», ОАО «МТС». Интернет сайт - www.mtsbank.ru