четверг, 22 декабря 2016 г.

СОИБ. Анализ. Вопросы для защиты клиент-банка (клиентской части ДБО)




По информации Лаборатории Касперского в третьем квартале 2016 г. был зарегистрирован существенный рост количество атак и инцидентов, связанных с несанкционированным переводом денежных средств и платежами.

Из результата анализа географии атак видно, что в России таким атакам подвергся наибольший процент пользователей.


К сожалению, нефинансовыми организациями непростительно мало внимания уделяется вопросам защиты клиентской части ДБО. Надеетесь, что банки вас защитят? По текущей практике далеко не всегда это им удается. А недавно вышедший стандарт о реагировании на инциденты ИБ при осуществлении платежей поможет банку разве что аргументировано доказать, что инцидент произошел по вашей вине, что вы не выполнили требуемые меры и т.п.

Кстати из обзора ЦБ о несанкционированных переводах денежных средств в 2015 также можно сделать вывод о том, что большинство несанкционированных платежей выявлялись всё-таки не банками, а клиентами. 

В одной из предыдущих статей я уже выкладывал обзорную презентацию по защите клиентской части ДБО. В этот раз продолжаю тему с перечнем вопросов, которые я обычно задаю в рамках консультаций по защите клиентов ДБО. Если вы также интересуетесь защитой ДБО, возможно эти эти вопросы будут вам полезны как отправная точка в повышении защиты вашего ДБО:
1.      Перечень территориально удаленных объектов, с которых ведется работа с ДБО
2.      Количество пользователей работающих с ДБО
3.      Количество помещений, в которых ведется работа с ДБО
4.      Перечень различных типов технических средств, с которых ведется работа с ДБО (АРМ, ноутбук, сервер)
5.      Перечень различных ОС (с указанием точной версии), с которых ведется работа с ДБО
6.      Перечень используемого клиентского ПО и/или браузеров для работы с ДБО 
7.      Используемые технологии усиленной аутентификации (по каждому банку, либо учесть все варианты - закрытый/открытый ключ, одноразовые пароли по СМС, одноразовые пароли на скретч карте, одноразовые пароли с использованием мобильных приложений, биометрия). Если применяются мобильные устройства (SMS или приложение для аутентификации) - личные или служебные? 
8.      Используемые при работе с ДБО ключевые носители (реестр, HDD, usb flash, usb токен, смарт-карта)
9.      Места хранения ключевых носителей в течении рабочего дня (на столе, в техническом средстве, у пользователя, в запираемом шкафу, в сейфе)  
10.   Места хранения ключевых носителей в нерабочее время (на столе, в техническом средстве, у пользователя, в запираемом шкафу, в сейфе)
11.   Выполняется ли на технических средствах, работающих с ДБО, другая деятельность сотрудников (работа с сетью Интернет, работа с электронной почтой, подготовка документов, др.)?
12.   Кем формируются долговременные пароли для работы с ДБО?
13.   Используются ли траст-скрины при работе с ДБО?
14.   Используется ли ролевая модель работы с ДБО? (формирующий платежи, подписывающий платежи, контроллер)
15.   Какие подразделения работают с ДБО? Кто принимает решение о проведении платежа? Имеется ли формализованная процедура подготовки, согласования и проведения платежей? Возможны ли исключения, например платеж по устному телефонному сообщению от руководителя, по сообщению в whatsup, по указанию, полученному по электронной почте? 
16.   Каналы по которым реквизиты и сумма платежа поступает на техническое средство, работающее с ДБО: на бумаге, файловое хранилище, флешка, электронная почта?
17.   Используемые дополнительные сервисы безопасности, предоставляемые банками (лимиты, перечни доверенных получателей, оперативное информирование о платежах). Интересуют сервисы, которые используются в обязательном порядке по всем ДБО. 1 из 5 - не показатель.  При информировании о платежах - на электронный адрес/телефон каких сотрудников (должность) заказывается информирование  
18.   Средства защиты информации, на всех технических средствах, работающих с ДБО:
·        средство антивирусной защиты
·        персональный межсетевой экран
·        средство защиты от НСД
·        другие персональные средства защиты информации
19.   Имеющиеся документы, регламентирующие работу или защиту ДБО, в том числе правила для пользователей, администраторов, правила ограничения доступа в помещения и т.п. 
20.   Требования по защите информации, предъявляемые к клиенту из всех договоров и соглашений с банками
21.   Инциденты при работе с ДБО, с которыми приходилось сталкиваться

PS: коллеги, если я что-то упустил, дополняйте


Комментариев нет: