Вопросы обеспечения информационной безопасности банков Андрей Петрович Курило Банк России Магнитогорск-Банное 11февраля 2009 года Цели обсуждения • Снижение уровня криминальных рисков • Повышение качества и эффективности работ по обеспечению информационной безопасности в банках • Улучшение взаимодействия с регуляторами (ФСБ, ФСТЭК, Россвязьнадзор, Минсвязи) • Улучшение качества и стандартизация контроля безопасности • Повышение эффективности работ по безопасности (минимум затрат при максимуме результата) Особенности текущего момента • Финансовая нестабильность • Сокращение финансирования работ по IT и ITSEC • Активизация вирусных угроз • Рост рисков инсайдерства • Рост рисков несоответствия • Явная неготовность системы к выполнению требований Закона Численность специалистов Нет специалистов 50% В подразделениях информатизации 42% В подразделениях безопасности 8% Время простоя по вине провайдеров От 1 до 24 часов 65% Несколько суток 19% До 1 часа 16% Размер ущерба До 100 000 рублей ~57% От 100 000 до 1 000 000 рублей ~30 % Больше 1 000 000 рублей ~13% Сервисы, наиболее часто нарушаемые в результате инцидентов 4. Работа банкоматов 6. Интернет – банкинг 8. Электронная почта 10.Телефонная связь Проблемы интернет-банкинга • Рост числа атак (зафиксированы в 20% регионов страны) • Заметный уровень хищений • Локальная борьба «по факту» силами МВД • Отсутствие превентивных технических и организационных мер • Отсутствие информации Спасибо за внимание Андрей Петрович Курило Банк России KAP1@cbr.ru