СОИБ. Анализ. Свежие документы ЦБ РФ по ИБ
15 апреля 2015 г. ЦБ РФ опубликовал
информационное сообщение “О несанкционированных операциях, совершенных сиспользованием устройств мобильной связи”.
В нем ЦБ РФ предупреждает об опасности
связанной с мобильными платежами и рекомендует принимать следующие меры ИБ:
·
установить на устройство мобильной связи
антивирусное ПО;
·
не переходить по ссылкам, приходящим из
недостоверных источников;
·
своевременно уведомлять кредитную организацию
о смене номера телефона мобильной связи;
·
не скачивать на устройство мобильной связи
приложения из непроверенных источников;
·
не передавать устройство мобильной связи и
платежную карту для использования третьим лицам, в том числе родственникам;
·
не сообщать третьим лицам, в том числе
сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код
(СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения.
16 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение о вводе в действие рекомендаций в области стандартизации Банка России:
·
рекомендации в области стандартизации Банка
России «Обеспечение информационной безопасности организаций банковской системы
Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР
ИББС-2.7-2015);
·
рекомендации в области стандартизации Банка
России «Обеспечение информационной безопасности организаций банковской системы
Российской Федерации. Обеспечение информационной безопасности при использованиитехнологии виртуализации» (РС БР ИББС-2.8-2015).
На первый
взгляд документы представляются интересными, но детальный анализ буду проводить
позднее. Пока отмечу пару моментов:
РС БР ИББС-2.8-2015:
“6.4. Реализацию
требований и правил ограничения доступа к виртуальным машинам с АРМ, установленных
в пункте 6.3 настоящего документа, рекомендуется осуществлять на уровне не выше
третьего (сетевой уровень) по семиуровневой стандартной модели взаимодействия
открытых систем, определенной в ГОСТ 28906-91, путем применения технических
средств, прошедших в соответствии с законодательством РФ оценку соответствия в
форме обязательной сертификации на соответствие требованиям по безопасности
информации (далее – сертифицированные сетевые технические средства)”
“6.8. В соответствии с
требованиями законодательства РФ для защиты контура безопасности ИСПДн следует
применять СЗИ, прошедшие оценку соответствия в форме обязательной сертификации
на соответствие требованиям по безопасности информации.
6.9. Для организации
информационного обмена между сегментами вычислительных сетей, используемыми для
размещения виртуальных машин, включенных в контур безопасности ПТП и контур
безопасности ИСПДн, и сегментами вычислительных сетей, используемыми для размещения
АРМ, включенных в контур безопасности ПТП и контур безопасности ИСПДн
соответственно, рекомендуется использовать сертифицированные сетевые
технические средства.”
“6.11. Рекомендуемым решением является
использование гипервизоров, прошедших в соответствии с законодательством РФ оценку
соответствия в форме обязательной сертификации на соответствие требованиям по
безопасности информации.”
“8.1 … Рекомендуется
использование сертифицированных сетевых технических средств для реализации
запрета использования иных АРМ для выполнения задач управления и
администрирования серверных компонентов виртуализации.
8.2. Доступ к
средствам управления и администрирования серверных компонентов виртуализации рекомендуется
осуществлять с использованием СЗИ от несанкционированного доступа, прошедшим
оценку соответствия в форме обязательной сертификации на соответствие требованиям
по безопасности информации.”
“ 9.4. Для виртуальных машин, размещенных на
физическом СВТ (хост-сервере), используемом для размещения виртуальных машин,
включенных в контур безопасности ПТП и контур безопасности ИСПДн, техническими
средствами рекомендуется реализовать:
– контроль целостности
ПО виртуальных машин, в том числе выполняемый на этапе загрузки виртуальных
машин;
– контроль и
регистрацию доступа пользователей и эксплуатационного персонала к виртуальной
машине, выполняемый техническими средствами, прошедшими в соответствии с
законодательством Российской Федерации оценку соответствия в форме обязательной
сертификации на соответствие требованиям по безопасности информации.”
“10.5. Для доступа пользователей к
виртуальным машинам, включенным в контур безопасности ПТП и контур безопасности
ИСПДн посредством АРМ пользователя, рекомендуется применять двухфакторную аутентификацию
с использованием аппаратных средств.”
“ 13.3.4. Рекомендуемым решением является
применение сертифицированных сетевых технических средств для контроля доступа к
логическим разделам СХД
13.4. АРМ,
используемые для выполнения задач управления и администрирования СХД,
рекомендуется располагать в специально выделенном сегменте вычислительных
сетей. Размещение в указанных сетевых сегментах СВТ, не связанных с выполнением
задач управления и администрирования, не рекомендуется. Выполнение задач,
связанных с управлением и администрированием СХД, с использованием иных АРМ, рекомендуется
ограничивать сертифицированными сетевыми техническими средствами.”
“ 13.6. Для организации защищенного доступа к
средствам управления и администрирования СХД рекомендуется использовать
двухфакторную идентификацию, реализуемую СЗИ от несанкционированного доступа,
прошедшими оценку соответствия в форме обязательной сертификации на
соответствие требованиям по безопасности информации.”
Итак, в тексте РС даются ссылки на
следующие типы СЗИ:
·
гипервизор (встроенные функции ИБ)
·
МЭ
·
СЗИ от НСД виртуальной инфраструктуры
·
СЗИ от НСД ОС
·
Средства двухфакторной аутентификации
При этом все СЗИ – сертифицированные: как
применяемые для защиты ИСПДн, так и для других случаев. Раньше в серии
документов СТО БР ИББС встречались более мягкие требования и формулировки относительно
оценки соответствия СЗИ. Что это – смена политики, давление ФСТЭК или лобби от
производителей СЗИ?
РС БР ИББС-2.7-2015 содержит 4 важных раздела:
·
Вводятся уровни зрелости выполнения процессов СОИБ
(от 0 до 5) и методология оценивания уровней зрелости
·
Вводится методология оценки рисков ИБ в
зависимости от зрелости ВП СОИБ (ниже зрелость – выше риск, выше зрелость ниже
риск)
·
Приводятся рекомендации по определению
потребностей службы ИБ в кадровых ресурсах, при этом функции службы ИБ
предлагается сгруппировать по направлениям:
o
методология
o
реализация и сопровождение
o
контроль
o
криптографическая защита
·
В приложении А приводятся примеры всех расчетов
Руководствуясь документом, Банк легко
сможет сравнить экономию на уменьшении рисков с издержками на повышение уровня
зрелости и быстро принять управленческое решение: остаться на текущем уровне
зрелости = 0 тратить X1 ресурсов и иметь Риск * 1 или затратить X2 ресурсов для повышения уровня зрелости до =2 и иметь Риск * 0,45 (для
принятия решения сравниваем Риск * 0.55 и (X2-X1)). Если такая идея и была в
основе документа, то она хороша.
Комментарии