Вход Регистрация
Подписка
Новости Войти в раздел

SIEM — модная «фишка» или необходимость

В рамках конференции «SIEM в банковской сфере: автоматизация хаоса», прошедшей 25 августа 2016 года, Василий Окулесский, начальник управления безопасности НСПК и Тимур Аитов, член комитета по финансовым рынкам и кредитным организациям ТПП РФ попытались выяснить к какому эффекту должно привести внедрение SIEM в банках, насколько это сейчас востребовано и актуально. Предлагаем видеозапись и основные тезисы этой дискуссии



Тимур Аитов, член комитета по финансовым рынкам и кредитным организациям ТПП РФ:

- Очевидно, что банкам система SIEM нужна и банки всегда спрашивают: «Мы потратили 100 миллионов и что в результате»? Но ни один из выступающих продавцов не назвал эффект от внедрения продаваемого продукта. Говорили о чем угодно: о графиках, о лучшем понимании, об огромном количестве информации ‑ терабайтах, которые собирает эта система, но никто не сказал, сколько денег эта система принесет.

- «Безопаники» должны быть совсем другие, и вместо того, чтобы их сокращать, их нужно обучать, повышать их роль, даже смотреть по-другому на информационную безопасность, ее перестраивать, даже переназвать – не информационная безопасность, а бизнес-безопасность.

- Малым банкам необходимо шире использовать софт формата SaaS, с тем, чтобы действительно снизить затраты на организацию службы безопасности и конкурировать с большими банками. Ни в коем случае нельзя говорить, что малые банки защищены меньше, чем крупные. И малый, и средний, и большой банк – все могут быть защищены в одинаковой мере. И человек, когда приходит в малый банк, должен быть уверен, что его деньги не пропадут и защита сработает.

 

Тимур Аитов, член комитета по финансовым рынкам и кредитным организациям ТПП РФ

 

- Интересный ракурс, который мы довольно долго обсуждали – сертификация систем SIEM. Информация попадает в систему, раскладывается по полочкам, классифицируется, катализируется, разбирается. И потом возникает вопрос у руководства: кто имеет доступ? Конечно, офицеры информационной безопасности, еще ряд сотрудников, а может быть какие-то злоумышленники. Что можно нам противопоставить действиям этих злоумышленников, которые сегодня могут проникнуть в любую информационную систему банков? Нужно ли сегодня сертифицировать SIEM системы, что это вообще даст? Собираем информацию в одну систему, которая сертифицирована, а собралась из узлов, которые не имеют сертификации. И получается, что вся эта куча не вызывает никакого доверия.

Василий Окулесский, начальник управления безопасности НСПК:

- Есть понятие «модель угроз», и мы каждую угрозу пытаемся оцифровать. Когда мы оцифровываем, то пытаемся посчитать ущерб. Экономический эффект от внедрения SIEM системы должен строиться таким же образом, то есть с помощью этой системы мы выявили и предотвратили определенный набор инцидентов, и мы потенциально защитили компанию от такого ущерба. Никакого другого инструмента нет, иначе монетизировать внедрение этой системы невозможно.

- SIEM имеет несколько сущностей: это и коммерческий продукт; это и философия построения системы безопасности; это и совокупность инструментов, методик, технологий и людей, которые с использованием всего предыдущего принимают решение. Без людей, которые на основе данных принимают и выполняют решения – система бессмысленна.

- Предпосылки к тому, чтобы поднять роль информационной безопасности уже есть. С одной стороны, нормативные документы Центрального банка предписывают иметь сотрудника информационной безопасности или специальное подразделение. С дальнейшим развитием нормативной базы это требование будет только усиливаться. С другой стороны, необходимо формировать у руководителя организации понимание, что безопасность является конкурентным преимуществом банка. Функционально банки предлагают примерно одинаковые продукты, то есть что-то новое придумать сейчас очень сложно, поэтому нужно в рамках текущей функциональности добавлять конкурентные преимущества, и безопасность должна быть одним из этих преимуществ. Если такая концепция будет в голове у руководителя, то можно будет говорить о повышении статуса, зарплат, численности и внедрении новых технологий.

 

Василий Окулесский, начальник управления безопасности НСПК

 

- Когда банк запускает свой бизнес, необходимо сформулировать бизнес-задачи, как в короткой, так и в дальней перспективе. В зависимости от того как банк планирует жить дальше, у него выстраивается концепция безопасности бизнеса. И в рамках формирования концепции безопасности необходимо определить те самые угрозы ИБ, которые порушат бизнес. Если потери, связанные с информационной безопасностью принимаются как нормальные потери в рамках деятельности, тогда не надо ничего делать. А если определены планка затрат и те направления, которые банк хочет закрывать, тогда нужен человек по крайне мере грамотный в этой области, который правильно построит систему безопасности.

- Есть несколько подходов, которые могут существенно снизить риски использования SIEM. Во-первых, по возможности использовать сертифицированные решения на всем периметре, начиная с баз данных, сетевых, рабочих мест и так далее. Второе – использовать программные продукты российских производителей. Российский производитель работает в нашей действительности. Мы сможем, если потребуется достать его исходные коды для анализа. Это существенно снизит риски. На сегодняшний день Россия производит достаточно большое количество программных продуктов класса SIEM.

 

Василий Окулесский, начальник управления безопасности НСПК и Тимур Аитов, член комитета по финансовым рынкам и кредитным организациям ТПП РФ

Беседа состоялась 25 августа 2016 года в Marriott Tverskaya Hotel. Видео: Finversia.ru



Эта статья была разослана 1190 on-line подписчикам bosfera.ru
Выбор редакции
Real-time аналитика и Business intelligence (BI) в банке Были времена, когда BI была нужна в финансовой сфере, главным образом, для перевода необработанной информации, собранной внутри организации, в осмысленную, удобную для восприятия человеком форму....
12.03.2017
Материалы альянса финансовых медиа:
Разговоры финансистов

закрыть