Безопасность банковских операций: обязательные требования и стандарты ЦБ, национальные стандарты РФ (М. Левашов, журнал "Бухгалтерия и банки", N 5, май 2017 г.)

Безопасность банковских операций: обязательные требования и стандарты ЦБ, национальные стандарты РФ

М. Левашов,

зам. генерального директора группы "Инфосекьюрити"

Журнал "Бухгалтерия и банки", N 5, май 2017 г., с. 56-58.

Более 10 лет назад Банк России создал комплекс стандартов и рекомендаций (СТО БР ИББС) по различным аспектам обеспечения информационной безопасности (ИБ) в банковской системе России. Все последующие годы этот комплекс (в статусе стандарта организации) разрастался и актуализировался в процессе расширения и изменения задач ИБ, которые было необходимо решать банкам. Однако многих не устраивал необязательный к исполнению статус этого комплекса, который определяется законом о техническом регулировании.

Совсем другое дело составляют технические регламенты, которые являются обязательными для исполнения в РФ (в соответствии с тем же федеральным законом о техническом регулировании). Одно время в Правительстве РФ рассматривалась идея подготовки технического регламента, посвящённого безопасности информационных технологий (ИТ). Было даже сформировано соответствующее поручение, которое, однако, не было выполнено в установленный срок, и вскоре от этой идеи вообще отказались, а все вопросы регулирования отрасли ИБ были отданы на усмотрение правительства в лице его ведомств, регулирующих техническую и криптографическую информационную безопасность.

Параллельно с этими процессами в Банке России разрабатывались проекты различных технологий, позволяющих сделать комплекс СТО БР ИББС обязательным для исполнения в банках РФ. В результате были реализованы фактически две технологии. Одна из них состояла в том, что банки сами принимают эти стандарты к обязательному исполнению у себя путём издания соответствующих внутренних приказов. Таким путём пошли более пятисот банков. Другая технология заключалась в издании Банком России положений и указаний, в которых содержались требования по ИБ, касающиеся отдельных банковских технологий, и которые также были обязательны для исполнения во всех банках. При этом указанные требования в своей основе использовали соответствующие положения комплекса СТО БР ИББС.

Применение последней технологии постепенно выявило некоторые её недостатки. Один из них заключается в том, что эти положения и указания, подписываемые руководством Банка России, содержат много технических деталей, которые к тому же периодически видоизменяются. Выход из этой ситуации был найден путём разработки и принятия национальных стандартов ИБ, на положения которых можно будет ссылаться во внутренних документах Банка России. Таким образом, документы Банка России лишатся излишней технической детализации, а вместо неё появятся ссылки на конкретные пункты национальных стандартов, содержащие необходимые технические требования.

В то же время комплекс СТО БР ИББС как отраслевой стандарт или стандарт организации будет по-прежнему актуализироваться и развиваться. На его основе будут разрабатываться и актуализироваться соответствующие национальные стандарты, положения которых войдут в нормативные документы Банка России.

Новеллы стандартизации

Рассмотрим особенности двух новых стандартов, один из которых относится к комплексу СТО БР ИББС, а второй - к ГОСТу, т.е. национальному стандарту.

1

СТО БР ИББС-1.3-2016 Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств" введён в действие приказом Банка России от 30.11.16 N ОД-42341 января 2017 года (далее - стандарт 1.3)*(1).

Этот стандарт занимает особое место в комплексе СТО БР ИББС. Он не устанавливает рекомендации по реализации системы менеджмента инцидентов ИБ, в том числе не регламентирует процедуры обнаружения инцидентов ИБ и классификации событий ИБ как инцидентов ИБ. Предполагается, что система менеджмента инцидентов ИБ осуществляется в банке исходя из разработанных ранее Банком России рекомендаций PC БР ИББС-2.5, также входящих в комплекс СТО БР ИББС. Стандарт 1.3 развивает положения PC БР ИББС-2.5 в части сбора и анализа технических данных. Собственно, эта область и составляет основное его содержание. Приведём главные тезисы и посылы.

Все рекомендации по организации обработки технических данных разделены на следующие основные группы:

- рекомендации по сбору технических данных с компонентов информационной платёжной инфраструктуры;

- рекомендации по обработке этих данных, являющейся часто работой с Big Data;

- рекомендации по использованию результатов этой работы;

- организационные рекомендации, связанные с внутрибанковской ответственностью за указанные выше процессы и компетенцией его персонала, а также рекомендации по взаимодействию с клиентами банка по рассматриваемым вопросам.

Особое внимание в стандарте 1.3 уделено вопросам правильного создания криминалистических копий информационных ресурсов (жёстких дисков, накопителей и т.д.), которые затем могут быть использованы в следственных действиях. В частности, в приложении Б в качестве примера приведён протокол создания криминалистической копии (образа) накопителя на жёстких магнитных дисках. При этом данные, собранные по какому-либо событию информационной безопасности, в электронном виде должны подписываться электронной подписью (ЭП) либо хешироваться. А данные на бумажных носителях рекомендуется подписывать не менее чем двумя специалистами. При передаче в правоохранительные органы конфиденциальной банковской информации и (или) персональных данных, защищаемых федеральным законодательством, нужно при передаче соблюдать процедуры, учитывающие конфиденциальность. Кроме того, необходимо документально оформлять обязанность правоохранительных органов соблюдать эту конфиденциальность.

В стандарте 1.3 описаны и классифицированы основные инциденты ИБ, связанные с несанкционированными переводами денежных средств, а именно:

- инциденты ИБ, связанные с несанкционированным доступом (НСД) к объектам информационной инфраструктуры клиентов;

- рассылки клиентам и работникам банка электронных писем различного содержания (часто от имени известных государственных и коммерческих организаций: налоговых и таможенных органов, банков, органов местного самоуправления и т.д.), использующие технологии социальной инженерии и предпринимаемые с целью распространения компьютерных вирусов и других зловредных программ, позволяющих злоумышленникам осуществлять несанкционированные переводы денежных средств;

- DDoS-атаки на информационную инфраструктуру клиентов, предпринимаемые с целью блокирования её нормального функционирования после успешной реализации несанкционированных переводов денежных средств;

- атаки на интернет-банкинг;

- атаки на автоматизированные банковские системы (АБС);

- атаки на карточные процессинговые центры и объекты информационной инфраструктуры банка, обеспечивающие карточные операции;

- атаки на банковские клиринговые системы, обеспечивающие взаимные расчёты.

Отдельно выделены инциденты ИБ, связанные с деструктивным воздействием. Это DDoS-атаки на банковские элементы интернет-банкинга и системы фронт-офиса банка, а также деструктивное воздействие компьютерных вирусов на информационную инфраструктуру банка в целом.

В стандарте 1.3 перечислены практически все объекты информационной инфраструктуры, а также конкретных сессионных соединений как банка, так и клиента, технические данные с которых рекомендовано собирать для целей определения и расследования инцидентов ИБ. Также рекомендовано собирать данные со средств защиты информации, включая практически все журналы, в которых фиксируется информация о работе объектов ИТ и средств защиты. Приоритет в последовательности фиксации данных заключается в анализе в первую очередь энергозависимых объектов ИТ и защиты. Приводятся методы снятия информации, в первую очередь локальные и во вторую - удалённые.

В стандарте 1.3 детально перечисляются рекомендуемые к снятию технические данные, относящиеся к основным инцидентам ИБ: несанкционированный доступ (далее - НСД) к целевым объектам ИТ-инфраструктуры клиентов и банков, спам рассылки, DDoS-атаки (т.е. атаки, вызывающие отказ ИТ-системы в обслуживании пользователей), деструктивное воздействие компьютерных вирусов. Также даны рекомендации:

- по использованию и составу (приложение В) технических средств и инструментария для сбора и обработки технических данных;

- способам сбора технических данных, в том числе проверке целостности (неизменности) собранных данных, маркированию носителей собранных данных;

- методам "криминалистического" копирования (пример соответствующего протокола приведён в приложении Б) энергонезависимых технических данных запоминающих устройств СВТ;

- выполнению копирования оперативной памяти, данных операционных систем, журналов регистрации, сетевого трафика;

- поиску (выделению) содержательной (семантической) информации, её анализу и оформлению;

- привлечению МВД РФ и FinCERT Банка России*(2) при реагировании на инцидент ИБ;

- взаимодействию с клиентами банка в рамках процесса обработки технических данных;

- компетенции персонала банка и внешних организаций, задействованных в рассматриваемых процессах.

Основная библиография стандарта 1.3 включает в себя разработки американского National Institute of Standards and Technology (NIST) (http://www.nsrl.nist.gov), документ NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response, а также инструкцию по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания компании GROUP-IB (http://www.group-ib.ru/brochures/Group-IB_dbo_instruction.pdf).

Таким образом, стандарт 1.3 даёт подробные и понятные описания и инструкции последовательности действий и применяемых при этом методик и инструментов для сбора и анализа технических данных при поиске (обработке) инцидентов ИБ.

2

В середине февраля текущего года в Росстандарте закончился двухмесячный срок обсуждения проекта национального стандарта "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации. ОКС 03.060, 35.240.40".

Этот стандарт является фактически первым национальным стандартом в области защиты финансовой информации. В основу стандарта легли рекомендации комплекса стандартов Банка России СТО БР ИББС. Так как к настоящему времени официальный текст стандарта на сайте Росстандарта ещё не опубликован и не зафиксирован факт его официального утверждения, мы не будем подробно описывать особенности проекта. Отметим только две из них, являющиеся, на наш взгляд, основными.

Первая особенность состоит в том, что предусмотрены три уровня защиты информации: минимальный (3-й уровень), стандартный (2-й уровень) и усиленный (1-й уровень). Уровень защиты информации конкретной финансовой организации устанавливается нормативными актами Банка России на основе вида деятельности, объёма финансовых операций, размера организации и других её параметров. Кроме того, требования защиты информации, установленные этим стандартом, могут использоваться для обеспечения выполнения требований к защите персональных данных при их обработке в информационных системах персональных данных.

Вторая особенность заключается в появлении возможности разработки и использования так называемых компенсационных мер защиты информации. Эти меры могут использоваться при невозможности реализации отдельных предусмотренных стандартом мер защиты информации. Такая ситуация может возникнуть в силу технических, финансовых и других проблем. В этом случае финансовая организация (или внешняя компания, которая по договору обеспечивает опции защиты информации) должна разработать компенсационные меры защиты и провести их обоснование. В этом обосновании необходимо доказать, что такие меры направлены на предупреждение тех же угроз безопасности информации, на нейтрализацию которых были направлены меры из базового состава мер защиты информации, которые не могут быть реализованы финансовой организацией в связи с невозможностью технической реализации или экономической целесообразностью.

В заключение можно также отметить, что недавно начата работа с проектом второго национального стандарта из этой же области, который будет посвящён методике оценки соответствия. Этот стандарт станет базой для проведения аудита вопросов обеспечения информационной безопасности в финансовых организациях.

-------------------------------------------------------------------------

*(1) Полный текст стандарта опубликован на сайте Банка России по адресу: http://cbr.ru/credit/Gubzi_docs.

*(2) FinCERT ("ФинЦЕРТ") Банка России - центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере - структурное подразделение главного управления безопасности и защиты информации Банка России (ГУБиЗИ).