четверг, 16 апреля 2015 г.

СОИБ. Анализ. Свежие документы ЦБ РФ по ИБ

15 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение “О несанкционированных операциях, совершенных сиспользованием устройств мобильной связи”.

В нем ЦБ РФ предупреждает об опасности связанной с мобильными платежами и рекомендует принимать следующие меры ИБ:
·         установить на устройство мобильной связи антивирусное ПО;
·         не переходить по ссылкам, приходящим из недостоверных источников;
·         своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи;
·         не скачивать на устройство мобильной связи приложения из непроверенных источников;
·         не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам;
·         не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код (СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения.


16 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение о вводе в действие рекомендаций в области стандартизации Банка России:                                                                                                                                                                      
·         рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015);
·         рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использованиитехнологии виртуализации» (РС БР ИББС-2.8-2015).


На первый взгляд документы представляются интересными, но детальный анализ буду проводить позднее. Пока отмечу пару моментов:
 РС БР ИББС-2.8-2015:
“6.4. Реализацию требований и правил ограничения доступа к виртуальным машинам с АРМ, установленных в пункте 6.3 настоящего документа, рекомендуется осуществлять на уровне не выше третьего (сетевой уровень) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91, путем применения технических средств, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации (далее – сертифицированные сетевые технические средства)”
“6.8. В соответствии с требованиями законодательства РФ для защиты контура безопасности ИСПДн следует применять СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
6.9. Для организации информационного обмена между сегментами вычислительных сетей, используемыми для размещения виртуальных машин, включенных в контур безопасности ПТП и контур безопасности ИСПДн, и сегментами вычислительных сетей, используемыми для размещения АРМ, включенных в контур безопасности ПТП и контур безопасности ИСПДн соответственно, рекомендуется использовать сертифицированные сетевые технические средства.”
6.11. Рекомендуемым решением является использование гипервизоров, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”
“8.1 … Рекомендуется использование сертифицированных сетевых технических средств для реализации запрета использования иных АРМ для выполнения задач управления и администрирования серверных компонентов виртуализации.
8.2. Доступ к средствам управления и администрирования серверных компонентов виртуализации рекомендуется осуществлять с использованием СЗИ от несанкционированного доступа, прошедшим оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”
9.4. Для виртуальных машин, размещенных на физическом СВТ (хост-сервере), используемом для размещения виртуальных машин, включенных в контур безопасности ПТП и контур безопасности ИСПДн, техническими средствами рекомендуется реализовать:
– контроль целостности ПО виртуальных машин, в том числе выполняемый на этапе загрузки виртуальных машин;
– контроль и регистрацию доступа пользователей и эксплуатационного персонала к виртуальной машине, выполняемый техническими средствами, прошедшими в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”
10.5. Для доступа пользователей к виртуальным машинам, включенным в контур безопасности ПТП и контур безопасности ИСПДн посредством АРМ пользователя, рекомендуется применять двухфакторную аутентификацию с использованием аппаратных средств.”
13.3.4. Рекомендуемым решением является применение сертифицированных сетевых технических средств для контроля доступа к логическим разделам СХД
13.4. АРМ, используемые для выполнения задач управления и администрирования СХД, рекомендуется располагать в специально выделенном сегменте вычислительных сетей. Размещение в указанных сетевых сегментах СВТ, не связанных с выполнением задач управления и администрирования, не рекомендуется. Выполнение задач, связанных с управлением и администрированием СХД, с использованием иных АРМ, рекомендуется ограничивать сертифицированными сетевыми техническими средствами.”
13.6. Для организации защищенного доступа к средствам управления и администрирования СХД рекомендуется использовать двухфакторную идентификацию, реализуемую СЗИ от несанкционированного доступа, прошедшими оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”

Итак, в тексте РС даются ссылки на следующие типы СЗИ:
·         гипервизор (встроенные функции ИБ)
·         МЭ
·         СЗИ от НСД виртуальной инфраструктуры
·         СЗИ от НСД ОС
·         Средства двухфакторной аутентификации

При этом все СЗИ – сертифицированные: как применяемые для защиты ИСПДн, так и для других случаев. Раньше в серии документов СТО БР ИББС встречались более мягкие требования и формулировки относительно оценки соответствия СЗИ. Что это – смена политики, давление ФСТЭК или лобби от производителей СЗИ?


РС БР ИББС-2.7-2015 содержит 4 важных раздела:
·         Вводятся уровни зрелости выполнения процессов СОИБ (от 0 до 5) и методология оценивания уровней зрелости
·         Вводится методология оценки рисков ИБ в зависимости от зрелости ВП СОИБ (ниже зрелость – выше риск, выше зрелость ниже риск)
·         Приводятся рекомендации по определению потребностей службы ИБ в кадровых ресурсах, при этом функции службы ИБ предлагается сгруппировать по направлениям:
o   методология
o   реализация и сопровождение
o   контроль
o   криптографическая защита
·         В приложении А приводятся примеры всех расчетов


Руководствуясь документом, Банк легко сможет сравнить экономию на уменьшении рисков с издержками на повышение уровня зрелости и быстро принять управленческое решение: остаться на текущем уровне зрелости = 0 тратить X1 ресурсов и иметь Риск * 1 или затратить X2 ресурсов для повышения уровня зрелости до =2 и иметь Риск * 0,45 (для принятия решения сравниваем Риск * 0.55 и (X2-X1)).  Если такая идея и была в основе документа, то она хороша.


Комментариев нет: