Распечатать

Анализ новых регуляторных требований по обеспечению ИБ в банковской сфере

Сергей Заречнев Заместитель директора департамента информационной безопасности, Начальник отдела консалтинга и аудита компании «Энвижн Груп», Елена Реш Инженер отдела информационной безопасности технического департамента компании «Энвижн Груп»

8 апреля 2009

 
   
 
Сергей Заречнев
Заместитель директора департамента информационной безопасности,
Начальник отдела консалтинга и аудита компании «Энвижн Груп»
Елена Реш
Инженер отдела информационной безопасности технического департамента компании «Энвижн Груп»
 
 
Усиление нормативных требований
Появление новых законов, стандартов и других нормативных документов диктуется развитием информационных технологий, усилением информационных угроз, ростом числа инцидентов, таких как утечка персональных данных, данных по финансовым операциям и номеров банковских карточек, получение несанкционированного доступа к средствам дистанционного управления счетами физических и юридических лиц. Перечисленные угрозы негативно влияет на интересы государства, бизнеса и граждан, поэтому регуляторы стараются использовать имеющиеся у них рычаги для повышения уровня защищенности определенных видов информации.
 
За последние годы в области обеспечения информационной безопасности появилось множество новых требований, которые предъявляются к организациям банковской сферы внешними регуляторами. Банк России, международные платежные системы, Минкомсвязь России, ФСТЭК, ФСБ и другие государственные и экспертные организации разрабатывают стандарты и, зачастую, методическую базу, позволяющую привести защиту информационных ресурсов организации в соответствие предъявляемым требованиям.
В настоящее время в средствах массовых информации и профильных конференциях интенсивно обсуждаются федеральный закон № 152-ФЗ «О персональных данных» и связанные с ним подзаконные акты, стандарт PCI DSS (Payment Card Industry Data Security Standard) и стандарт Банка России СТО БР ИББС-1.0 -- 2006., На наш взгляд фактором, создающим повышенную активность в банковских кругах, является определение ответственности и ввод штрафных санкций за неисполнение требований регуляторов.
 
Целью выпуска документов регулирующими органами является повышение уровня информационной безопасности данных, требующих защиты. Это достигается за счет консолидации и формализации перечня защитных мер, определения методологии, принципов и подходов в обеспечении информационной безопасности и построения систем защиты. Однако не все действующие нормативы учитывают специфику конкретных банковских систем, бизнес-процессов, изменений конъюнктуры и других факторов. По мнению банковских специалистов, некоторые требования регуляторов избыточны, а другие -- труднореализуемы. Отсюда проблемы, возникающие при приведении информационных банковских систем в соответствие стандартам и законодательству.
 
Как показывает наш опыт сотрудничества с банковскими специалистами, вопросы информационной безопасности в настоящее -- кризисное -- время становятся еще более актуальными. Это объясняется тем, что в процессе оптимизации деятельности компаний возможно проявление большей активности со стороны внутренних и внешних нарушителей информационной безопасности. Поэтому сейчас вопросы безопасности необходимо решать в более короткие сроки и с наименьшими финансовыми затратами.
Наиболее серьезное внимание на данный момент уделяется следующим темам:
  •  защита персональных данных;
  • защита данных платежных карточек;
  • комплексная безопасность информационной банковской системы.
Наша компания имеет опыт проведения работ, направленных на реализацию мероприятий по защите информационных ресурсов в соответствии с российскими и зарубежными стандартами в области информационной безопасности. Портфель услуг «Энвижн Груп» включает в себя как проведение аудита информационной безопасности, так и осуществление мероприятий, направленных на приведение системы информационной безопасности в соответствие требованиям стандартов. Обычно эти работы проходят по следующим этапам:
  • аудит/оценка соответствия требованиям стандарта, в том числе сертификационный;
  • техническое проектирование системы защиты;
  • построение процессов информационной безопасности;
  • разработка нормативной и организационно-распорядительной документации;
  • реализация исполнение требований стандартов.
Остановимся более подробно на отдельных стандартах, в наибольшей степени интересующих банковское сообщество.
 
Закон «О персональных данных»
 Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» был принят в 2006 г. Он является основным документом, формулирующим необходимость обеспечения защиты обработки персональных данных, к которым относятся фамилия, имя, отчество, год, месяц, число и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая персональная информация.
При приведении системы защиты в соответствие требованиям Закона организации сталкиваются с целым рядом проблем, ключевыми из которых являются:
  • классификация системы обработки персональных данных;
  • определение актуальных угроз безопасности;
  • внедрение сертифицированных средств защиты;
  • необходимость аттестации по требованиям ФСТЭК.
Организация защиты в соответствии с требованиями данного закона требует существенных человеческих, материальных и технических ресурсов. Зачастую организации уже имеют сложившуюся систему информационной безопасности, формировавшуюся в течение долгого времени, а приведение в соответствие закону требует внесения в нее серьезных изменений. К этому надо быть готовыми.
 
Имея большой опыт построения систем защиты по требованиям ФСТЭК и ФСБ, «Энвижн Груп» может оказать практическую помощь в реализации мероприятий по приведению ИС в соответствие новым требованиям. Помощь может заключаться в определении мер, обеспечивающих выполнение требований нормативных документов в области защиты персональных данных, и в то же время учитывающих существующую структуру информационной системы организации. В том числе возможно регламентировать процессы обработки персональных данных, осуществить выбор средств защиты информации и способствовать оптимальному взаимодействию с экспертными организациями.
 
Банки и финансовые организации могут использовать информационные системы, обрабатывающие персональные данные, классифицированные по наиболее высоким классам (класс «К1», «К2»). К данному классу операторов персональных данных предъявляется целый комплекс требований технического характера: защита каналов связи, участвующих в межсегментном взаимодействии, организация защищенных хранилищ данных, ограничение доступа и управление учетными записями пользователей и администраторов в информационной системе и др. Так, для реализации требований по защите данных используются средства организации защищенных хранилищ (решается задача по предотвращению несанкционированного доступа к данным и обеспечения целостности данных) и средства построения защищенных VPN-туннелей. Выбираются средства шифрования, использующие ГОСТ Р 34.11-94 и ГОСТ 28147-89. Для организации эффективной системы распределения доступа к данным предлагается использование систем управления учетными записями. Указанные решения возможно реализовать, например, на базе продуктов компаний «С-Терра СиЭсПи», Aladdin, Sun Microsystems и Cisco Systems.
 
Payment Card Industry Data Security Standard (PCI DSS)
 
В 2005 г. был выпущен стандарт защиты данных для отрасли платежных карточек PCI DSS, разработанный совместно крупными платежными системами. Данный стандарт предъявляет требования по защите данных владельцев платежных карточек.
По оценке сертифицированных аудиторов (QSA) нашей компании основные проблемы, выявляемые в ходе оценки соответствия требованиям стандарта, вызываются:
  • отсутствием достаточного уровня защиты критичных данных авторизации;
  • низким уровнем осведомленности пользователей информационных систем в вопросах информационной безопасности;
  • неполной регламентацией процессов обеспечения защиты, зачастую в организациях отсутствуют документы, определяющие:
    • конфигурации программно-технических средств;
    • правила предоставления доступа к информационным ресурсам;
    • план реагирования на инциденты информационной безопасности;
    • анализ рисков информационной безопасности;
  • отсутствием регулярного тестирования защищенности среды обработки платежных карточек.
Консультируя заказчика при приведении корпоративной информационной системы к соответствию PCI DSS, эксперты нашей компании подвергают всестороннему анализу каждую конкретную проблему и определяют возможные способы ее решения, а заказчик выбирает из них наиболее походящий. После этого могут быть проведены работы по техническому проектированию и внедрению предложенных решений, организации программ обучения персонала, разработке недостающих регламентирующих документов, внедрению процессов, необходимость которых определяется требованиями стандарта.
 
В ходе проекта по удовлетворению требованиям стандарта «Энвижн Груп» работает совместно со специалистами банка, и основное внимание уделяется поиску компромисса между стоимостью решения, сложностью внедрения и адекватностью противодействия актуальным угрозам.
 
Наш опыт позволяет утверждать, что у многих заказчиков в качестве недостатка можно отметить несоответствие требованиям по хранению и защите журналов аудита и управлению инцидентами безопасности.
 
Первая задача решается посредством организации выделенных хранилищ данных, способных шифровать объекты хранения. Вторая задача в полной мере реализуется построением эффективной системы управления инцидентами безопасности. Ядром данной системы является решение по мониторингу и корреляции всех событий безопасности в выделенном сегменте ИС (процессинг). Подобный подход способен не только удовлетворить львиную долю требований стандарта, но и дает возможность распространить систему управления инцидентами безопасности на всю ИС организации. Кроме того, данный класс систем, как правило, снабжен интеллектуальными механизмами выявления степени соответствия нормам регулирования (Compliance Management). Достойные решения уже обладают набором правил для данного стандарта (PCI DSS Compliance). Лидерами рынка данных продуктов являются компании ArcSight и Symantec.
 
Стандарт Банка России «Обеспечении информационной безопасности организаций банковской системы Российской Федерации»
 
Стандарт Банка России был введен в действие в 2004 г. Требования безопасности данного стандарта охватывают почти все компоненты комплексной системы обеспечения информационной безопасности банков. Стандарт БР и связанные с ним документы представляют методику определения уровня информационной безопасности банка, уровень процессов менеджмента и осознания ИБ.
 
Среди работающих в банках специалистов по IT-безопасности бытует мнение, что внедрение стандарта чрезвычайно сложный, трудоемкий процесс, требующий значительного бюджета. Отчасти это так, но наш опыт показывает, что большинство требований стандарта можно соблюсти при правильной организации процессов информационной безопасности и заинтересованности всех участников проекта по внедрению стандарта, т.е. без глобальных финансовых затрат.
 
Из практики проведения оценки соответствия стандарту БР выявлены следующие типовые проблемные области защиты:
  • документирование процессов обеспечения информационной безопасности;
  • обучение и повышение осведомленности персонала в вопросах информационной безопасности;
  • оценка рисков нарушения информационной безопасности;
  • обнаружение и реагирование на инциденты;
  • наличие собственного бюджета у службы информационной безопасности.
В данном случае «Энвижн Груп» может взять на себя либо весь комплекс работ по приведению процессов обеспечения ИБ в соответствие требованиям стандарта БР, либо отдельные мероприятия. Спектр мероприятий, необходимых для приведения в соответствие требованиям Стандарта БР, определяется в индивидуальном порядке для каждого банка, с учетом особенностей и действующих правил обработки данных. Компания можем провести работы по идентификации и категоризации ресурсов, определить перечень  актуальных угроз ИБ, провести анализ и оценку рисков ИБ, разработать необходимые документы по ИБ, внедрить программно-технические средства защиты информации.
 
В части реализации технических требований стандарта основное внимание следует уделить системам мониторинга и аудита инцидентов информационной безопасности, системам контроля защищенности и решениям по контролю доступа субъектов отношений к объектам. Очевидно, что реализация подобных систем должна быть проведена последовательно. Тем не менее, системы контроля защищенности и сетевой безопасности способны быть внедрены в кратчайшие сроки. Простота установки и «коробочность» поставок данных решений позволяет легко спрогнозировать сроки реализации проектов.
 
Такие решения могут быть основаны на базе продуктов компаний Positive Technologies, Aladdin и Cisco Systems.  
В целом следует отметить, что реалии настоящего времени свидетельствуют о все более возрастающей роли регуляторов в сфере информационной безопасности. Следствием этого является необходимость осуществления серьезных усилий со стороны организаций финансово-кредитной сферы. В этих условиях компания «Энвижн Груп» готова помочь банкам и процессинговым центрам продвигаться в направлении достижения соответствия требованиям регуляторов.