Сравнение в пользу A− A= A+
Динамичное развитие информационных технологий привело к тому, что почти все средние и крупные участники финансового рынка сегодня сталкиваются с необходимостью собирать и хранить большие объемы данных.
В то же время анализ этих данных и их грамотное применение дарит бизнесу целый спектр новых возможностей и конкурентных преимуществ. Однако с учетом того, что большинство этих данных относятся к категории коммерческой и банковской тайны, очень важно уделить повышенное внимание проблемам защиты хранимой информации.
Ещё Натан Ротшильд сказал «Кто владеет информацией – тот владеет миром».
Для решения соответствующей проблемы в финансовых структурах появилась отдельное направление деятельности – «Обеспечение информационной безопасности». Суть данного направления в том, чтобы независимо от области применения защищать информационные ресурсы от случайных, злонамеренных или чрезвычайных внутренних/внешних воздействий.
Направление «Обеспечение информационной безопасности» строится на трех главных принципах.
- Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
- Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
- Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Для банков и прочих финансовых организаций, которые являются важным звеном в структуре государства, «кровеносной системой» экономики, обеспечивающей и регулирующей движение финансовых потоков, данная тема особенно актуальна. В их базах хранятся персональные данные клиентов, данные о финансовых и нефинансовых транзакциях, договорах, сделках и пр.
Получить доступ к этой информации – огромный соблазн для злоумышленников, которые сегодня очень хорошо научились использовать возможности и последние достижения информационных технологий.
В России проблема информационной безопасности банков и других финансовых институтов выведена на государственный уровень. Инициативу по разработке, регулированию и контролю требований по обеспечению информационной безопасности взял на себя Центральный Банк РФ.
Начиная с 2004 года ЦБ РФ начал разрабатывать и совершенствовать пакет отечественных отраслевых стандартов по информационной безопасности СТО БР ИБСС. При создании стандарта ЦБ по ИТ-безопасности был тщательно изучен лучший мировой опыт. Пакет объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3).
В процессе применения стандарт несколько раз корректировался и дополнялся, периодически к нему, с учетом законодательных изменений, выпускались новые разъясняющие документы.
Позднее весь обобщенный опыт был учтен в новом документе – в 2017 году был выпущен Государственный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
Помимо ГОСТа для организации обеспечения информационной безопасности ЦБ РФ был выпущен еще ряд документов, которые не утратили свою силу и на сегодняшний день. А именно:
- Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014)
- Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014)
- Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007)
- Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015)
- Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)
И ряд других.
Рассмотрев документы, регулирующие принципы информационной безопасности, можно выделить два типа задач:
- решаемые организационными и/или техническими способами
- относящиеся к программному обеспечению
При этом второй тип задач можно разделить еще на два отдельных направления:
- требования к обеспечению ИБ внешних приложений, которыми пользуются клиенты, такие как ДБО, интернет-банкинг, мобильный банкинг, выделенные фронтальные решения
- требования к обеспечению ИБ финансовых и нефинансовых данных, хранящихся непосредственно в АБС, и организации их защиты от умышленных или неумышленных некорректных или ошибочных действий пользователей – сотрудников санка
Предметом анализа, проводимого в настоящей статье, является документ РС БР ИББС-2.6-2014 «Приложение 1. Типовые недостатки в реализации функций безопасности автоматизированных систем». В этом документе ЦБ РФ сформулировал основные недостатки АБС в части обеспечения информационной безопасности.
Так как документ достаточно обширен, полный анализ в статье не проводится, выделены некоторые недостатки и приведены рекомендации по их устранению, в частности, реализованные в ЦАБС «БАНК 21 ВЕК»
Управление доступом
Наличие у пользователя прав доступа, не являющихся безусловно необходимыми для выполнения технологических операций, предусмотренных его ролью в организации БС РФ. |
ЦАБС позволяет настроить возможные права доступа, но перечень разрешенных операций и доступных объектов должен определяться должностными инструкциями сотрудников и утвержденной Руководством «Матрицы доступа». Поэтому в ЦАБС «БАНК 21 ВЕК» принципиально отсутствуют преднастроенные типовые группы пользователей. |
Наличие у технологической учетной записи, от имени которой функционирует составная часть АБС, прав доступа, не являющихся безусловно необходимыми для выполнения операций, предусмотренных для этой составной части АБС проектной документацией. |
|
Наличие в АБС учетных технологических записей со стандартными паролями, задаваемыми автоматически при установке программного обеспечения. |
В ЦАБС реализована парольная политика, запрещающая формировать пароли автоматически. |
Реализация в АБС дискреционной, мандатной или иных моделей управления доступом вместо ролевой модели. |
В ЦАБС реализован ролевой доступ, позволяющих однозначно определить и ограничить проведение операций, права на запись и чтение, доступ к конкретным объектам – счетам, договорам, транзакций. Имеется возможность создания групп пользователей, имеющих одинаковые роли. Конкретному пользователю может быть предоставлено несколько ролей. Особо нужно отметить возможность создания самостоятельных ролей «Администратор АБС» и «Администратор ИБ» с ограничением доступа к клиентским данным |
Идентификация и аутентификация
Отсутствие аутентификации серверной стороны при взаимодействии пользователя с АБС и составных частей АБС между собой. |
Любой вход в ЦАБС осуществляется исключительно под конкретным пользователем со своим логином и пародем |
Взаимодействие составных частей АБС без аутентификации инициатора взаимодействия. |
Любое действие в ЦАБС осуществляется конкретным пользователем, информация о пользователе, который инициировал действие, сохраняется |
Использование предсказуемых идентификаторов (например, производных от имени и фамилии пользователя, совпадающих с идентификаторами в адресах электронной почты, порядковых номеров, формирование идентификаторов по единому алгоритму). |
В ЦАБС при заведении пользователя предусмотрена настройка, устанавливающая принудительные ограничения на сложность пароля, количество букв, цифр, спецсимволов. Проконтролировать использование предсказуемых идентификаторов автоматически не представляется возможным. |
Отсутствие принудительного ограничения на минимальную сложность паролей (например, ограничение минимальной длины пароля, наличие символов различных классов, несовпадение пароля с идентификатором пользователя, несовпадение нового пароля с одним из ранее использовавшихся). |
|
Использование при создании новых учетных записей единого первоначального пароля или формирование таких паролей по единому алгоритму, а также отсутствие механизма принудительной смены первоначального пароля при первом входе пользователя в систему. |
Использование при создании новых учетных записей единого первоначального пароля не предусмотрено. |
Хранение в АБС паролей пользователей с использованием обратимых преобразований. При несанкционированном доступе нарушителя к ОС или СУБД серверных компонентов АБС приводит к компрометации всех учетных записей данной АБС и отдельных учетных записей в остальных АБС организации БС РФ. |
Все пароли, без которых невозможна аутентификация пользователя, хранятся вне АБС в зашифрованном виде, в защищенной области. Доступ любым пользователям, включая администраторов, к этой области, запрещен |
Использование процедур самостоятельного восстановления или смены забытых пользователями паролей. |
В ЦАБС возможна принудительная смена пароля пользователем при первом входе в систему и/или по истечении заданного временного интервала. Самостоятельная внеплановая смена пароля без обращения к администратору АБС невозможна |
Отсутствие предварительной аутентификации при смене пароля пользователем. В ряде случаев делает возможным обход аутентификации путем задания нарушителем нового пароля пользователя. |
При смене пароля необходимо войти в систему со старым паролем |
Отображение символов пароля при вводе. |
Вход в ЦАБС осуществляется через единое окно, пароль при этом маскируется. |
Отсутствие противодействия автоматизированному подбору идентификаторов и паролей пользователей, в том числе: - отсутствие автоматического временного блокирования учетной записи при превышении заданного количества неуспешных попыток аутентификации; - отсутствие механизмов, исключающих возможность автоматизированного подбора паролей (например, CAPTCHA). |
В ЦАБС предусмотрено автоматическое блокирование учетной записи при превышении заданного количества неуспешных попыток аутентификации; |
Необходимость выполнения отдельных программных модулей АБС с правами администратора операционной системы. При наличии уязвимостей программного кода приложения позволяет нарушителю получить полный контроль над приложением и операционной системой. |
Все модули ЦАБС запускаются на выполнение без вмешательства администраторов. Более того, рекомендуется запрещать администраторам вход в модули, за исключением настроечных форм |
Аутентификация пользователей средствами программного кода автоматизированного рабочего места (далее - АРМ) при отсутствии аутентификации пользователя серверными компонентами АБС, что делает возможным обход аутентификации нарушителем. |
Аутентификация пользователей средствами программного кода невозможна, вход пользователям разрешен только через экранные формы. Соответственно, доступ к данным без аутентификации пользователя серверными компонентами АБС невозможен |
Наличие аутентификационных данных, необходимых для доступа компонентов АБС к прочим АБС организации БС РФ, в программном коде компонентов АБС и (или) в доступных пользователям конфигурационных файлах. |
Все пароли, без которых невозможна аутентификация пользователя, хранятся вне АБС в зашифрованном виде, в защищенной области. Доступ любым пользователям, включая администраторов, к этой области, запрещен |
Регистрация событий и просмотр журналов регистрации событий
Отсутствие или отключение средств синхронизации времени операционной системы. |
В ЦАБС возможность отсутствует, время синхронизируется без участия человека |
Отсутствие механизмов регистрации отдельных типов событий, существенных для расследования инцидентов, в том числе:
|
В ЦАБС предусмотрен встроенный аудит, позволяющий в обязательно порядке отслеживать и регистрировать:
Для защиты от возможности выполнения операций, предусмотренных моделью угроз в качестве составной части реализации угрозы, имеется возможность настройки технологической цепочки дополнительных контролей, без акцепта на каждом этапе операция завершена не будет. Например, некий документ не будет проведен без акцепта сотрудника финмониторинга, а если документ валютный – то и без акцепта валютного контролера |
Отсутствие в данных журналов регистрации событий существенных сведений о регистрируемых событиях, позволяющих установить обстоятельства наступления события. |
В ЦАБС при регистрации событий записывается набор сведений, позволяющих установить обстоятельства наступления события:
и некоторые другие, например, в некоторых случаях целесообразно отображать старое и новое значение атрибута |
Наличие в данных журналов регистрации событий конфиденциальных и чувствительных данных (пароли пользователей, данные платежных карт и т.п.). |
Таблицы аудита не содержат конфиденциальных данных, таких как пароли и персональные данные участника транзакции . Данные платежных карт, согласно требования PCI DSS хранятся в маскированном виде |
Регистрация отдельных событий только составными частями АБС, потенциально доступными нарушителю (например, АРМ пользователя, общедоступные веб-серверы). |
В ЦАБС отсутствует возможность разделения или выделения автономных составных частей, все АРМы построены на централизованной основе. Доступ к общедоступным веб-серверам, таким как сайты или личные кабинеты контролируется не средствами АБС, а механизмами защиты ДБО |
Хранение журналов регистрации событий в незащищенном виде (например, в общедоступном пользователям для изменения файле или таблице базы данных). |
Возможны два пути решения проблемы:
|
Отсутствие встроенных или специализированных средств анализа журналов регистрации событий, в том числе поиска событий по заданным критериям (по имени и идентификатору пользователя, дате, времени и т.д.). |
В ЦАБС реализована возможность поиска, просмотра и формирования отчетов по заданным критериям. Возможен поиск и просмотр как в экранной форме, так и формирование отчетов |
Отсутствие механизмов оперативного уведомления администраторов АБС о событиях, имеющих признаки инцидента безопасности |
ЦАБС предоставляет возможность настройки уведомлений ответственных сотрудников об определенных событиях с помощью специального модуля «Диспетчер заданий и сообщений». В модуле с помощью SQL-блоков могут быть описаны события, по которым необходимо формировать уведомления. |
Итак, наша компания может заявить, что ЦАБС «БАНК 21 ВЕК» в целом соответствует требованиям ЦБ РФ по обеспечению информационной безопасности, все нормативные документы, относящиеся к указанной теме, отслеживаются, анализируются, и при необходимости, в ЦАБС вносятся изменения.