Всем привет.
Продолжим тему 95-й.
На форуме In4Sec c докладом "Проверка готовности к постановлению №95 от НБУ" выступил представитель фирмы "Бакотек" Игорь Смолянкин. Собственно доклад был весьма полезен тем что напротив каждого пункта Игорь предложил техническое решение, которое позволяет этот пункт реализовать на практике.
В начале вкратце Игорь напомнил всем предисторию и стандарты на которых появилась идея:
- ISO / IEC 27001
- ISO / IEC 27002
- PCI DSS
- СУИБ и другие постановления НБУ.
Основные положения постановления:
• контроль прав доступа, полномочий;
• выявление атак;
• мониторинг событий информационной безопасности;
• контроль доступа к сети;
• защита электронной почты;
• предотвращение атак, направленных на отказ сервисов;
• антивирусная защита;
• двухфакторная аутентификация.
А далее по пунктам которые требуют инструментального решения.
36. Банк зобов’язаний розробити та затвердити внутрішні документи, які встановлюють вимоги щодо використання, надання, скасування та контролю доступу до інформаційних систем банку і мають містити:
1) вимоги до ідентифікації, автентифікації, авторизації користувачів;
2) послідовність дій під час управління доступом, у тому числі в разі віддаленого доступу (реєстрація, надання повноважень, перегляд та скасування доступу);
3) перелік типових функцій та прав доступу до інформаційних систем банку;
4) вимоги щодо здійснення заходів контролю доступу, уключаючи контроль за діями привілейованих користувачів;
5) періодичність контролю наданих прав доступу;
6) вимоги до протоколювання дій під час управління доступом.
Инструмент:
Quest Change Auditor
One Identity
37. Банк зобов’язаний забезпечити дотримання принципу надання мінімального рівня повноважень під час надання доступу до інформаційних систем банку (уключаючи доступ привілейованих користувачів).
Инструмент:
IAM One Identity
38. В інформаційних системах банку, які безпосередньо забезпечують автоматизацію банківської діяльності, забороняється суміщення в межах однієї функції (ролі) таких повноважень:
1) розроблення та супроводження (адміністрування), розроблення та експлуатація, супроводження (адміністрування) та експлуатація, виконання операцій в таких системах та подальшого контролю за їх виконанням.
2) перевірку наявності у користувача дозволу керівництва та власника інформаційної системи на такий доступ;
3) заборону одноосібного ініцію вання заявки, підтвердження та надання доступу;
4) перевірку відповідності рівня наданого доступу принципу мінімально необхідного рівня повноважень;
5) періодичну перевірку відповідності наданих прав доступу користувачеві тим, що діють на момент перевірки.
Инструмент:
IAM One Identity
41. Банк зобов’язаний забезпечити блокування облікових записів користувачів в інформаційних системах банку в таких випадках:
1) п’яти невдалих спроб автентифікації поспіль (автоматичне блокування);
2) відсутності реєстрації користувача в інформаційних системах банку протягом 90 календарних днів;
3) звільнення користувача.
Инструмент:
IAM One Identity
42. Банк зобов’язаний здійснювати протоколювання всіх дій щодо надання, скасування чи зміни доступу до інформаційних систем банку, які безпосередньо забезпечують автоматизацію банківської діяльності, у захищених від несанкціонованої модифікації електронних журналах із забезпеченням їх збереження не менше ніж протягом трьох років.
Инструмент:
Quest Change Auditor
43. Банк зобов’язаний забезпечити протоколювання, збереження та захист від модифікації інформації про події доступу до інформаційних систем банку, які безпосередньо забезпечують
автоматизацію банківської діяльності, та зберігання її не менше ніж протягом одного року.
Инструмент:
Quest Change Auditor
72. Банк зобов’язаний забезпечити блокування або перейменування облікових записів користувачів операційних систем, що встановлюються за замовчуванням, та відключення
гостьових облікових записів. Банк зобов’язаний заблокувати вбудовані облікові записи локального адміністратора операційних систем або (якщо немає технічної можливості на рівні фунціоналу операційної системи) перейменувати такі вбудовані облікові записи та змінювати їх пароль не рідше ніж один раз на 30 діб.
Инструмент:
Windows - GPO
Linux – Privilege Access Suite for Unix (Модуль QAS)
74. Банк зобов’язаний забезпечити централізоване розповсюдження налаштувань параметрів безпеки та інших параметрів конфігурації операційних систем (наприклад, за допомогою використання групових політик контролера домену “Active Directory”).
Инструмент:
Windows - GPO
Linux – Privilege Access Suite for Unix.
76. Банк зобов’язаний забезпечити блокування можливості здійснення працівниками банку, яким не надано адміністративних прав у операційних системах, таких дій (налаштувань):
1) самостійного встановлення програмного забезпечення, яке не внесено до переліку програмного забезпечення, що використовується в банку;
2) автоматичного запуску програм із зовнішніх пристроїв та носіїв інформації;
3) самостійного видалення встановленого програмного забезпечення, оновлень безпеки.
Инструмент:
ObserveIT
83. Банк зобов’язаний визначити привілейовані облікові записи для інформаційних систем банку, мережевого обладнання та серверів. Привілейовані облікові записи надаються користувачам згідно з внутрішніми документами банку, що встановлюють вимоги до використання, надання, скасування та контролю доступу до інформаційних систем банку.
Инструмент:
Windows - Quest Change Auditor
Linux – Privilege Access Suite for Unix.
87. Банк зобов’язаний забезпечити використання виключно персоналізованих облікових записів для виконання адміністрування чи супроводження інформаційних систем банку, мережевого обладнання та серверів.
Инструмент:
One Identity Safeguard
88. Банк зобов’язаний визначити та запровадити посилені вимоги щодо парольної політики для привілейованих облікових записів (довжина та складність паролів, частота зміни) або застосовувати багатофакторну автентифікацію для таких облікових записів.
Инструмент:
SafeGuard PPM and Defender/Starling.
IAM One Identity включает Password Manager, Defender/Starling, TPAM/Safeguard, Balabit, SAP Connector.
К сожалению не все интересные пункты Постановления (108-й к примеру) были охвачены докладом. Но Игорь заверил аудиторию, что по любому вопросу его кампания готова предложить решение за короткое время. Главное как на это решение посмотрит НБУ.
Успехов.
No comments:
Post a Comment
А что вы думаете по этому поводу?