СОИБ. Анализ. Вопросы для защиты клиент-банка (клиентской части ДБО)




По информации Лаборатории Касперского в третьем квартале 2016 г. был зарегистрирован существенный рост количество атак и инцидентов, связанных с несанкционированным переводом денежных средств и платежами.

Из результата анализа географии атак видно, что в России таким атакам подвергся наибольший процент пользователей.


К сожалению, нефинансовыми организациями непростительно мало внимания уделяется вопросам защиты клиентской части ДБО. Надеетесь, что банки вас защитят? По текущей практике далеко не всегда это им удается. А недавно вышедший стандарт о реагировании на инциденты ИБ при осуществлении платежей поможет банку разве что аргументировано доказать, что инцидент произошел по вашей вине, что вы не выполнили требуемые меры и т.п.

Кстати из обзора ЦБ о несанкционированных переводах денежных средств в 2015 также можно сделать вывод о том, что большинство несанкционированных платежей выявлялись всё-таки не банками, а клиентами. 

В одной из предыдущих статей я уже выкладывал обзорную презентацию по защите клиентской части ДБО. В этот раз продолжаю тему с перечнем вопросов, которые я обычно задаю в рамках консультаций по защите клиентов ДБО. Если вы также интересуетесь защитой ДБО, возможно эти эти вопросы будут вам полезны как отправная точка в повышении защиты вашего ДБО:
1.      Перечень территориально удаленных объектов, с которых ведется работа с ДБО
2.      Количество пользователей работающих с ДБО
3.      Количество помещений, в которых ведется работа с ДБО
4.      Перечень различных типов технических средств, с которых ведется работа с ДБО (АРМ, ноутбук, сервер)
5.      Перечень различных ОС (с указанием точной версии), с которых ведется работа с ДБО
6.      Перечень используемого клиентского ПО и/или браузеров для работы с ДБО 
7.      Используемые технологии усиленной аутентификации (по каждому банку, либо учесть все варианты - закрытый/открытый ключ, одноразовые пароли по СМС, одноразовые пароли на скретч карте, одноразовые пароли с использованием мобильных приложений, биометрия). Если применяются мобильные устройства (SMS или приложение для аутентификации) - личные или служебные? 
8.      Используемые при работе с ДБО ключевые носители (реестр, HDD, usb flash, usb токен, смарт-карта)
9.      Места хранения ключевых носителей в течении рабочего дня (на столе, в техническом средстве, у пользователя, в запираемом шкафу, в сейфе)  
10.   Места хранения ключевых носителей в нерабочее время (на столе, в техническом средстве, у пользователя, в запираемом шкафу, в сейфе)
11.   Выполняется ли на технических средствах, работающих с ДБО, другая деятельность сотрудников (работа с сетью Интернет, работа с электронной почтой, подготовка документов, др.)?
12.   Кем формируются долговременные пароли для работы с ДБО?
13.   Используются ли траст-скрины при работе с ДБО?
14.   Используется ли ролевая модель работы с ДБО? (формирующий платежи, подписывающий платежи, контроллер)
15.   Какие подразделения работают с ДБО? Кто принимает решение о проведении платежа? Имеется ли формализованная процедура подготовки, согласования и проведения платежей? Возможны ли исключения, например платеж по устному телефонному сообщению от руководителя, по сообщению в whatsup, по указанию, полученному по электронной почте? 
16.   Каналы по которым реквизиты и сумма платежа поступает на техническое средство, работающее с ДБО: на бумаге, файловое хранилище, флешка, электронная почта?
17.   Используемые дополнительные сервисы безопасности, предоставляемые банками (лимиты, перечни доверенных получателей, оперативное информирование о платежах). Интересуют сервисы, которые используются в обязательном порядке по всем ДБО. 1 из 5 - не показатель.  При информировании о платежах - на электронный адрес/телефон каких сотрудников (должность) заказывается информирование  
18.   Средства защиты информации, на всех технических средствах, работающих с ДБО:
·        средство антивирусной защиты
·        персональный межсетевой экран
·        средство защиты от НСД
·        другие персональные средства защиты информации
19.   Имеющиеся документы, регламентирующие работу или защиту ДБО, в том числе правила для пользователей, администраторов, правила ограничения доступа в помещения и т.п. 
20.   Требования по защите информации, предъявляемые к клиенту из всех договоров и соглашений с банками
21.   Инциденты при работе с ДБО, с которыми приходилось сталкиваться

PS: коллеги, если я что-то упустил, дополняйте


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...

КИИ. Обязательные документы

Изображение
При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны. Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.     Для владельцев незначимых объектов КИИ получился примерно следующий перечень Для владельцев значимых объектов КИИ перечень существенно больше В хорошем качестве можно скачать PDF  Получилось 18 политик, 8 порядков, 4 приказа, 3 журнала, 2 положения. Но это как минимум. Есть ещё ряд процессов обеспечения ИБ, которые требуется выполнять, но требований по документированию которых не приводится – тут документы могут разрабатываться на усмотрение субъекта КИ...
Далее...