Сравнение в пользу A− A= A+

Наличие у пользователя прав доступа, не являющихся безусловно необходимыми для выполнения технологических операций, предусмотренных его ролью в организации БС РФ.

ЦАБС позволяет настроить возможные права доступа, но перечень разрешенных операций и доступных объектов должен определяться должностными инструкциями сотрудников и утвержденной Руководством «Матрицы доступа». Поэтому в ЦАБС «БАНК 21 ВЕК» принципиально отсутствуют преднастроенные типовые группы пользователей.

Те же принципы используются и при создании технологических учетных записей

Наличие у технологической учетной записи, от имени которой функционирует составная часть АБС, прав доступа, не являющихся безусловно необходимыми для выполнения операций, предусмотренных для этой составной части АБС проектной документацией.

Наличие в АБС учетных технологических записей со стандартными паролями, задаваемыми автоматически при установке программного обеспечения.

В ЦАБС реализована парольная политика, запрещающая формировать пароли автоматически.

Реализация в АБС дискреционной, мандатной или иных моделей управления доступом вместо ролевой модели.

В ЦАБС реализован ролевой доступ, позволяющих однозначно определить и ограничить проведение операций, права на запись и чтение, доступ к конкретным объектам – счетам, договорам, транзакций. Имеется возможность создания групп пользователей, имеющих одинаковые роли. Конкретному пользователю может быть предоставлено несколько ролей. Особо нужно отметить возможность создания самостоятельных ролей «Администратор АБС» и «Администратор ИБ» с ограничением доступа к клиентским данным

Отсутствие аутентификации серверной стороны при взаимодействии пользователя с АБС и составных частей АБС между собой.

Любой вход в ЦАБС осуществляется исключительно под конкретным пользователем со своим логином и пародем

Доступ к БД невозможен без аутентификации серверной стороны, более того, реальный пароль для входа в ЦАБС, может отличаться от пароля пользователя

Взаимодействие составных частей АБС без аутентификации инициатора взаимодействия.

Любое действие в ЦАБС осуществляется конкретным пользователем, информация о пользователе, который инициировал действие, сохраняется

Использование предсказуемых идентификаторов (например, производных от имени и фамилии пользователя, совпадающих с идентификаторами в адресах электронной почты, порядковых номеров, формирование идентификаторов по единому алгоритму).

В ЦАБС при заведении пользователя предусмотрена настройка, устанавливающая принудительные ограничения на сложность пароля, количество букв, цифр, спецсимволов. Проконтролировать использование предсказуемых идентификаторов автоматически не представляется возможным.

Отсутствие принудительного ограничения на минимальную сложность паролей (например, ограничение минимальной длины пароля, наличие символов различных классов, несовпадение пароля с идентификатором пользователя, несовпадение нового пароля с одним из ранее использовавшихся).

Использование при создании новых учетных записей единого первоначального пароля или формирование таких паролей по единому алгоритму, а также отсутствие механизма принудительной смены первоначального пароля при первом входе пользователя в систему.

Использование при создании новых учетных записей единого первоначального пароля не предусмотрено.

Формирование паролей по единому алгоритму также невозможно, так как в каждом случае пароль вводится вручную, автоматическое формирование запрещено

Хранение в АБС паролей пользователей с использованием обратимых преобразований. При несанкционированном доступе нарушителя к ОС или СУБД серверных компонентов АБС приводит к компрометации всех учетных записей данной АБС и отдельных учетных записей в остальных АБС организации БС РФ.

Все пароли, без которых невозможна аутентификация пользователя, хранятся вне АБС в зашифрованном виде, в защищенной области. Доступ любым пользователям, включая администраторов, к этой области, запрещен

Использование процедур самостоятельного восстановления или смены забытых пользователями паролей.

В ЦАБС возможна принудительная смена пароля пользователем при первом входе в систему и/или по истечении заданного временного интервала. Самостоятельная внеплановая смена пароля без обращения к администратору АБС невозможна

Отсутствие предварительной аутентификации при смене пароля пользователем. В ряде случаев делает возможным обход аутентификации путем задания нарушителем нового пароля пользователя.

При смене пароля необходимо войти в систему со старым паролем

Отображение символов пароля при вводе.

Вход в ЦАБС осуществляется через единое окно, пароль при этом маскируется.

Отсутствие противодействия автоматизированному подбору идентификаторов и паролей пользователей, в том числе:

- отсутствие автоматического временного блокирования учетной записи при превышении заданного количества неуспешных попыток аутентификации;

- отсутствие механизмов, исключающих возможность автоматизированного подбора паролей (например, CAPTCHA).

В ЦАБС предусмотрено автоматическое блокирование учетной записи при превышении заданного количества неуспешных попыток аутентификации;

Реализован механизм аутентификации посредством электронных устройств типа смарткарт или токенов. В ближайших планах разработка механизма подтверждения входа через СМС-сообщение

Необходимость выполнения отдельных программных модулей АБС с правами администратора операционной системы. При наличии уязвимостей программного кода приложения позволяет нарушителю получить полный контроль над приложением и операционной системой.

Все модули ЦАБС запускаются на выполнение без вмешательства администраторов. Более того, рекомендуется запрещать администраторам вход в модули, за исключением настроечных форм

Аутентификация пользователей средствами программного кода автоматизированного рабочего места (далее - АРМ) при отсутствии аутентификации пользователя серверными компонентами АБС, что делает возможным обход аутентификации нарушителем.

Аутентификация пользователей средствами программного кода невозможна, вход пользователям разрешен только через экранные формы. Соответственно, доступ к данным без аутентификации пользователя серверными компонентами АБС невозможен

Наличие аутентификационных данных, необходимых для доступа компонентов АБС к прочим АБС организации БС РФ, в программном коде компонентов АБС и (или) в доступных пользователям конфигурационных файлах.

Все пароли, без которых невозможна аутентификация пользователя, хранятся вне АБС в зашифрованном виде, в защищенной области. Доступ любым пользователям, включая администраторов, к этой области, запрещен

Отсутствие или отключение средств синхронизации времени операционной системы.

В ЦАБС возможность отсутствует, время синхронизируется без участия человека

Отсутствие механизмов регистрации отдельных типов событий, существенных для расследования инцидентов, в том числе:

• создание новых учетных записей и изменение прав доступа учетных записей;
• неуспешные операции (например, ошибки аутентификации, недостаточные права доступа при выполнении операций, недоступность интерфейсов составных частей АБС);
• выполнение операций, предусмотренных моделью угроз в качестве составной части реализации угрозы.

В ЦАБС предусмотрен встроенный аудит, позволяющий в обязательно порядке отслеживать и регистрировать:

• операции с данными о клиентах и клиентских счетах, включая операции открытия, модификации и закрытия клиентов и клиентских счетов;
• проводимых транзакций, имеющих финансовые последствия, в том числе и неуспешных;
• операций, связанных с назначением и распределением прав пользователей (и смены прав, роли).

Для защиты от возможности выполнения операций, предусмотренных моделью угроз в качестве составной части реализации угрозы, имеется возможность настройки технологической цепочки дополнительных контролей, без акцепта на каждом этапе операция завершена не будет. Например, некий документ не будет проведен без акцепта сотрудника финмониторинга, а если документ валютный – то и без акцепта валютного контролера

Отсутствие в данных журналов регистрации событий существенных сведений о регистрируемых событиях, позволяющих установить обстоятельства наступления события.

В ЦАБС при регистрации событий записывается набор сведений, позволяющих установить обстоятельства наступления события:

• автор (пользователь, который породил это событие);
• пользователь ОС
• время (календарная дата и время, когда событие произошло);
• категория события;
• объект события;
• измененный атрибут объекта
• сетевое имя компьютера
• IP-адрес
• описание события (конкретные подробности события и объекта).

и некоторые другие, например, в некоторых случаях целесообразно отображать старое и новое значение атрибута

Наличие в данных журналов регистрации событий конфиденциальных и чувствительных данных (пароли пользователей, данные платежных карт и т.п.).

Таблицы аудита не содержат конфиденциальных данных, таких как пароли и персональные данные участника транзакции . Данные платежных карт, согласно требования PCI DSS хранятся в маскированном виде

Регистрация отдельных событий только составными частями АБС, потенциально доступными нарушителю (например, АРМ пользователя, общедоступные веб-серверы).

В ЦАБС отсутствует возможность разделения или выделения автономных составных частей, все АРМы построены на централизованной основе. Доступ к общедоступным веб-серверам, таким как сайты или личные кабинеты контролируется не средствами АБС, а механизмами защиты ДБО

Хранение журналов регистрации событий в незащищенном виде (например, в общедоступном пользователям для изменения файле или таблице базы данных).

Возможны два пути решения проблемы:

• Настройка выгрузки формируемых журналов в защищенную директорию, доступ к которой определяется и настраивается администратором ОС. При этом файлы могут сохраняться в защищенном от редактирования виде
• Сохранение журналов в таблицах БД, но в отдельной схеме, недоступной пользователям

Отсутствие встроенных или специализированных средств анализа журналов регистрации событий, в том числе поиска событий по заданным критериям (по имени и идентификатору пользователя, дате, времени и т.д.).

В ЦАБС реализована возможность поиска, просмотра и формирования отчетов по заданным критериям. Возможен поиск и просмотр как в экранной форме, так и формирование отчетов

Отсутствие механизмов оперативного уведомления администраторов АБС о событиях, имеющих признаки инцидента безопасности

ЦАБС предоставляет возможность настройки уведомлений ответственных сотрудников об определенных событиях с помощью специального модуля «Диспетчер заданий и сообщений». В модуле с помощью SQL-блоков могут быть описаны события, по которым необходимо формировать уведомления.