четверг, 8 декабря 2016 г.

СОИБ. Анализ. Стандарт ЦБ РФ о реагировании на инциденты ИБ при осуществлении платежей

 
Сегодня был опубликован новый стандарт Банка России СТО БР ИББС-1.3-2016 “Cбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств”.  Вступает в силу с 1 января 2017 г.

Стандарт достаточно объемный – 49 страниц, при этом практический и полезный. Давайте посмотрим на основные моменты поподробнее.

В стандарте идет речь о том, как надо правильно собирать, обрабатывать, анализировать и документировать технические данные - данные, формируемые объектами информационной инфраструктуры, в том числе техническими средствами защиты информации, используемыми организациями БС РФ и их клиентами для осуществления переводов денежных средств, связанных со свершившимися, предпринимаемыми или вероятными реализациями угроз ИБ.

Рассматриваются инциденты ИБ следующих типов по источникам получения информации:
·         Информация о которых получена от клиентов
·         Выявленные организацией БС РФ
·         Информация о которых получена от FinCERT и других внешних источников

Инциденты ИБ по типу воздействия:
·         Несанкционированным переводом ДС
·         Деструктивными воздействиями на инфраструктуру платежей

Инциденты ИБ, связанные с несанкционированными переводами ДС, по типам угроз
·         НСД к ИИ клиентов
·         Спам-рассылки клиентам, включая социальную инженерию и распространение вирусов
·         DDoS атаки на ИИ клиентов
·         Воздействие вирусов на ИИ клиентов
·         НСД к ИИ системы дистанционного банковского обслуживания (ДБО)
·         НСД к ИИ автоматизированной банковской системы (АБС)
·         НСД к ИИ систем обработки карточных транзакций (фронт-офис)
·         НСД к ИИ систем пост транзакционного обслуживания (бэк-офис)

Инциденты ИБ, связанные с деструктивными воздействиями на инфраструктуру платежей, по типам угроз
·         DDoS атаки на ИИ организации БС
·         Воздействие вирусов на ИИ организации БС

В стандарте приводятся последовательности действий (с указанием приоритета) по сбору данных при инцидентах ИБ для каждого типа угроз.
Рекомендуется собирать большое количество технических данных. Для примера приведу перечень данных собираемых с клиента:
·         дампы (или извлечение) дисков СВТ участвующего в работе с ДБО
·         дампы памяти СВТ
·         данные из ОС СВТ, в том числе:
o   данные о сетевых конфигурациях
o   данные о сетевых соединениях
o   данные о запущенных программных процессах
o   данные об открытых файлах
o   список открытых сессий доступа
o   системные дата и время операционной системы
·         журналы регистрации телекоммуникационного оборудования
·         журналы регистрации средств защиты информации
·         журналы регистрации и данные почтовых серверов
·         данные сетевого трафика
·         журналы регистрации АТС
·         журналы регистрации и данные систем видеонаблюдения и СКУД
·         носители ключевой информации СКЗИ, используемой в системах ДБО

Каждое действие по сбору данных также подробно описывается.

По сути, дан концентрированный опыт которыми раньше владели только Group-IB, отдел К МВД и ещё несколько криминалистических лабораторий.

В некоторых случаях последовательность действий получается очень глубокой и труднореализуемой. Следуя рекомендациям, например, при DDoS атаке на клиента, нам необходимо идентифицировать владельцев СВТ участвующих в DDoS атаке, связаться с ними и собрать технические данные ещё и с тех СВТ (дампы, данные, журналы).

Далее приводятся рекомендации по анализу собранных данных: что искать, на какие события обращать внимание. Хотя и указано что “В большинстве случаев деятельность по поиску (выделению) и анализу содержательной (семантической) информации не может быть формализована, а результат ее выполнения определяется опытом и компетенцией аналитика”

Помимо технических данных, необходимо собирать и документировать профиль инцидента ИБ:
·         способ выявления
·         источник информации
·         информация об инциденте ИБ, полученная от источника;
·         сценарий реализации
·         дату и время выявления
·         состав информационной инфраструктуры (далее - ИИ), задействованной в реализации инцидента ИБ, уровень ее критичности
·         способы подключения ИИ, к сети Интернет или сетям общего пользования;
·         контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации ИИ
·         информация об операторе связи и провайдере сети Интернет

Так как предполагаются достаточно объемные действия, которые надо выполнить оперативно, то рекомендуется заранее подготовить следующие документы:
·         план (регламент) сбора технических данных банком
·         план первоочередных действия клиента
·         план (регламент) сбора технических данных клиентом
·         регламентировать передачу носителей тех. данных от клиента - банку

Для оперативной реализации всех указанных действий организации БС необходимо заранее подготовить комплекс технических средств и инструментов: выделенные АРМы, носители информации, ПО для сбора данных, ПО для контроля целостности, средства сбора и анализа журналов (SIEM), средства записи трафика, контейнеры, наклейки, блокноты, фотоаппараты, диктофоны.   Получится в нашем банке своя криминалистическая лаборатория.   
Для получения помощи в рамках расследования инцидента рекомендуется обращаться в МВД и FinCERT.
В приложениях к стандарту приводятся правильные формы протоколов и примеры технических средств, которые подойдут для нашей лаборатории.

В целом могу сказать, что документ очень полезен в реальном расследовании инцидентов ИБ. Но в полной степени он применим, наверное, только в самых крупных банках, либо в специализированных организациях, привлекаемых банками для расследования инцидентов.
Для большинства организаций БС, можно применять 25-50% от рекомендованного, либо привлекать внешних экспертов и от них требовать выполнения стандарта. В таком случае как мне кажется необходимо дополнительно проанализировать стандарт и правильно разделить требуемые мероприятия между двумя организациями.
Также стандарт полезен для SOC-ов, лабораторий и других организаций занимающихся анализом инцидентов ИБ.


Комментариев нет: