СОИБ. Анализ. Стандарт ЦБ РФ о реагировании на инциденты ИБ при осуществлении платежей
Сегодня был опубликован новый
стандарт Банка России СТО БР ИББС-1.3-2016 “Cбор и анализ технических данных при
реагировании на инциденты информационной безопасности при осуществлении переводов
денежных средств”. Вступает в силу с 1
января 2017 г.
Стандарт достаточно объемный – 49
страниц, при этом практический и полезный. Давайте посмотрим на основные
моменты поподробнее.
В стандарте идет речь о том, как
надо правильно собирать, обрабатывать, анализировать и документировать технические данные - данные, формируемые
объектами информационной инфраструктуры, в том числе техническими средствами
защиты информации, используемыми организациями БС РФ и их клиентами для
осуществления переводов денежных средств, связанных со свершившимися,
предпринимаемыми или вероятными реализациями угроз ИБ.
Рассматриваются инциденты ИБ следующих
типов по источникам получения информации:
·
Информация о которых получена от клиентов
·
Выявленные организацией БС РФ
·
Информация о которых получена от FinCERT и
других внешних источников
Инциденты ИБ по типу воздействия:
·
Несанкционированным переводом ДС
·
Деструктивными воздействиями на инфраструктуру
платежей
Инциденты ИБ, связанные с
несанкционированными переводами ДС, по типам угроз
·
НСД к ИИ клиентов
·
Спам-рассылки клиентам, включая социальную инженерию
и распространение вирусов
·
DDoS
атаки на ИИ клиентов
·
Воздействие вирусов на ИИ клиентов
·
НСД к ИИ системы дистанционного банковского
обслуживания (ДБО)
·
НСД к ИИ автоматизированной банковской системы (АБС)
·
НСД к ИИ систем обработки карточных транзакций (фронт-офис)
·
НСД к ИИ систем пост транзакционного
обслуживания (бэк-офис)
Инциденты ИБ, связанные с деструктивными
воздействиями на инфраструктуру платежей, по типам угроз
·
DDoS атаки на ИИ организации БС
·
Воздействие вирусов на ИИ организации БС
В стандарте приводятся
последовательности действий (с указанием приоритета) по сбору данных при
инцидентах ИБ для каждого типа угроз.
Рекомендуется собирать большое
количество технических данных. Для примера приведу перечень данных собираемых с
клиента:
·
дампы (или извлечение) дисков СВТ участвующего в
работе с ДБО
·
дампы памяти СВТ
·
данные из ОС СВТ, в том числе:
o
данные о сетевых конфигурациях
o
данные о сетевых соединениях
o
данные о запущенных программных процессах
o
данные об открытых файлах
o
список открытых сессий доступа
o
системные дата и время операционной системы
·
журналы регистрации телекоммуникационного
оборудования
·
журналы регистрации средств защиты информации
·
журналы регистрации и данные почтовых серверов
·
данные сетевого трафика
·
журналы регистрации АТС
·
журналы регистрации и данные систем видеонаблюдения
и СКУД
·
носители ключевой информации СКЗИ, используемой
в системах ДБО
Каждое действие по сбору данных
также подробно описывается.
По сути, дан концентрированный
опыт которыми раньше владели только Group-IB,
отдел К МВД и ещё несколько криминалистических лабораторий.
В некоторых случаях последовательность
действий получается очень глубокой и труднореализуемой. Следуя рекомендациям, например,
при DDoS атаке на клиента, нам необходимо идентифицировать владельцев
СВТ участвующих в DDoS атаке, связаться с ними и собрать технические данные ещё и с
тех СВТ (дампы, данные, журналы).
Далее приводятся рекомендации по
анализу собранных данных: что искать, на какие события обращать внимание. Хотя
и указано что “В большинстве случаев
деятельность по поиску (выделению) и анализу содержательной (семантической)
информации не может быть формализована, а результат ее выполнения определяется
опытом и компетенцией аналитика”
Помимо технических данных,
необходимо собирать и документировать профиль инцидента ИБ:
·
способ выявления
·
источник информации
·
информация об инциденте ИБ, полученная от
источника;
·
сценарий реализации
·
дату и время выявления
·
состав информационной инфраструктуры (далее - ИИ),
задействованной в реализации инцидента ИБ, уровень ее критичности
·
способы подключения ИИ, к сети Интернет или
сетям общего пользования;
·
контактная информация работников организации БС
РФ, в зону ответственности которых входит обеспечение эксплуатации ИИ
·
информация об операторе связи и провайдере сети
Интернет
Так как предполагаются достаточно
объемные действия, которые надо выполнить оперативно, то рекомендуется заранее
подготовить следующие документы:
·
план (регламент) сбора технических данных банком
·
план первоочередных действия клиента
·
план (регламент) сбора технических данных
клиентом
·
регламентировать передачу носителей тех. данных
от клиента - банку
Для оперативной реализации всех
указанных действий организации БС необходимо заранее подготовить комплекс технических
средств и инструментов: выделенные АРМы, носители информации, ПО для сбора
данных, ПО для контроля целостности, средства сбора и анализа журналов (SIEM), средства записи
трафика, контейнеры, наклейки, блокноты, фотоаппараты, диктофоны. Получится
в нашем банке своя криминалистическая лаборатория.
Для получения помощи в рамках
расследования инцидента рекомендуется обращаться в МВД и FinCERT.
В приложениях к стандарту
приводятся правильные формы протоколов и примеры технических средств, которые
подойдут для нашей лаборатории.
В целом могу сказать, что
документ очень полезен в реальном расследовании инцидентов ИБ. Но в полной степени
он применим, наверное, только в самых крупных банках, либо в специализированных
организациях, привлекаемых банками для расследования инцидентов.
Для большинства организаций БС, можно
применять 25-50% от рекомендованного, либо привлекать внешних экспертов и от
них требовать выполнения стандарта. В таком случае как мне кажется необходимо
дополнительно проанализировать стандарт и правильно разделить требуемые
мероприятия между двумя организациями.
Также стандарт полезен для SOC-ов, лабораторий и других
организаций занимающихся анализом инцидентов ИБ.
Комментарии