Главная

Saturday, 11 August 2018

Декларация информационной безопасности банка.

Всем привет.

Вы читали постановление Национального банка Украины №95? Нет? А, так вы не работаете в банке. Тем не менее сей документ может быт полезен всем специалистам информационной безопасности.

Нашумевшее постановление Национального банка Украины №95 "Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України" прошлого года. Такой вот документ по информационной безопасности для коммерческих банков был издан длиной в 150 пунктов. НБУ всех предупредил.

Анализируя документ с технической точки зрения попал на замечательного коллегу по перу Максима Олейника где он в своей статье "Постанова НБУ №95. 150 шагов к безопасности банка" подробно прошелся по пунктам это постановления. Иногда останавливаясь на возникших попутно вопросах. Я бы мог вам дать просто ссылку на оригинал (впрочем вот она), но мне хочется вставить и свои пять копеек. Поэтому я позволю себе заимствовать его текст ниже почти полностью.

В этой статье мы определим суть требований изложенных в постановлении №95 Национального Банка Украины от 28 сентября 2017 года. Данный документ регламентирует требования к организации мероприятий по обеспечению информационной безопасности в банковской среде Украины. Помимо этого, мы попытаемся понять предпосылки и своевременность появления данного положения, а также сравним его требования с другими подобными европейскими и мировыми нормами.

Современные тенденции развития банковского сектора предполагают наличие широчайшего спектра услуг предоставляемых потребителям, которые они получают в реальном времени. Значит, успешно функционировать при таких условиях возможно только при эффективном и широком применении автоматизированных компьютерных систем и средств.

Повсеместная компьютеризация, помимо удобств, имеет и недостатки, т.к. корпоративная инфраструктура подвержена удаленным анонимным атакам. Разнообразие видов и целей атак постоянно увеличивается. Все об этом наслышаны, но, к сожалению, вопросы кибербезопасности были подняты на качественно новый уровень только после масштабной хакерской атаки на предприятия и учреждения Украины в 2017 году.

Вот мы и разобрались с глобальными предпосылками появления Положения №95 от НБУ и что конкретно послужило триггером этого процесса.

Первое впечатление что не случись массовая кибератака в 2017-м, то документ бы так и не родился. 


Давайте пошагово разберем весь документ и определим несет он пользу или только головную боль для сотрудников банка.

I. Общие положения

Первые 7 пунктов описывают сам документ, его назначение, область действия и терминологию. Они носят информационный характер.

Пункт 8: Банк обязан внедрить систему управления информационной безопасностью (далее - СУИБ).

Давайте разберемся, что это такое. Сразу в голову приходит некое универсальное программное средство, которое решит все проблемы информационной безопасности, но авторы постановления имеют в виду некий набор связанных между собой документов. Об этом говорит пункт 22.

22. Банк имеет право разрабатывать документы СУИБ в форме отдельных документов или объединенных по типу (тематике) в Общие документы, С указанием в них разделов, которые отвечают определенным направлениям (вопросам) информационной безопасности. СУИБ - часть общей системы управления, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности банков. Система менеджмента включает в себя организационную структуру, политику, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы. Стандарты СУИБ носят управленческий характер и направлены на внедрение процессов, позволяющих обеспечить надлежащий уровень информационной безопасности банка.

Пункт 9: Должен быть внедрен процессный и риск-ориентированный подход.

Процессный подход к организации и анализу деятельности компании, основан на выделении и рассмотрении ее бизнес-процессов, каждый из которых взаимосвязан с другими бизнес-процессами компании или внешним миром.

Риск-ориентированный подход позволяет выбрать из огромного количества требований, предписаний и средств защиты информации те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям. Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, которые влияют на возможность осуществления угроз безопасности, и степени воздействия этих угроз на бизнес. Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов.

Пункт 11: Банк обязан сформировать коллективный руководящий орган по вопросам внедрения и функционирования СУИБ, разработать положение, в котором определить задачи, функции и обязанности данного органа.

Пункт 13: Национальный банк имеет право осуществлять проверку состояния внедрения СУИБ банка и полноту выполнения мер безопасности информации, установленных настоящим 

Положением. Данная формулировка не дает четкий ответ на вопросы о регулярности проверок и степени ответственности за полное или частичное несоблюдение данного Положения.

Тут у меня было небольшое смятение поскольку проверки СУИБ комбанков НБУ начал еще три года назад. Это была обкатка?

II. Требования по внедрению СУИБ

Пункт 17: Банк обязан разработать и внедрить политику информационной безопасности.
Пункт 20: Банк обязан разработать и утвердить стратегию развития информационной безопасности.

III. Криптографическая защита информации в информационных системах НБУ

Пункты 23 и 24 говорят нам, что с информационными системами Национального банка Украины надо работать с почтением, а именно не DDoS-ить их, использовать шифрование, следить за аккаунтами. Пункты носят информативный характер, т.к. если не использовать шифрование, которое требует НБУ, то возникнут проблемы с подключением, а при пренебрежении другими предостережениями можно вообще “потерять” доступ к этим системам.

IV. Меры по обеспечению безопасности информации

Пункт 25: Банк обязан назначить лицо ответственное за информационную безопасность банка (Chief information security officer, CISO), которое имеет полномочия, достаточные для принятия управленческих решений (должность не ниже заместителя председателя правления банка).

Пункт 26: Банк обязан сформировать подразделение по информационной безопасности не менее чем из двух работников из состава штатных работников банка. Данное подразделение непосредственно подчиняется ответственному за информационную безопасность банка.

Пункты 27-29 регламентируют функции и взаимоотношения подразделений банка, вовлеченных в процессы, связанные с информационной безопасностью.
Подразделение по информационной безопасности банка должно осуществлять разработку требований и осуществлять контроль за выполнением мероприятий по обеспечению безопасности информации.

Работникам подразделения ИБ и CISO запрещается иметь полномочия по разработке, производству, администрированию и эксплуатации информационных систем банка, кроме тех, которые используются для обеспечения безопасности информации.
Подразделению информационных технологий банка запрещается быть владельцем информационных систем банка, которые непосредственно обеспечивают автоматизацию банковской деятельности.

Последний абзац может быть интерпретирован неоднозначно.

Это правда Максим, особенно четко надо разграничить иерархию подчинения. И чтобы человек обладающий определенной долей ответственности, мог эту ответственность обеспечить. И наоборот - человек обладающий определенными возможностями должен нести за них ответственность. Эта касается терек между админами и офицерами инфобеза.

Пункты 30-33 беспокоятся о том, чтобы работники были ознакомлены с политикой информационной безопасности, которая разработана в пункте 17. В контракте с сотрудником должны быть отражены обязанности по соблюдению ИБ. Также банк должен ознакамливать работников с внутренними документами по ИБ и обучать их в данном направлении.

Пункты 34-35 регламентируют работу со сменными носителями.

Что!? Сменные носители в банке? Так это же гигантский источник уязвимостей в информационной безопасности банка. На простой флешке возможно вынести информацию по всем клиентам и их операциям за все время существования банка и еще место останется. Даже если нет желания идти на преступление, то можно случайно принести полную охапку зловредов.

Совет один: запретить все сменные носители, а порты отключить, если они не нужны, например для ЭЦП. Весь документооборот осуществлять в рамках специальной системы или по электронной почте.

Варианты есть разные. Комбанки их давно не используют. Возможно НБУ эти пункты оставил для ... себя.)

Пункты 36: Банк обязан разработать и утвердить внутренние документы, устанавливающие требования по использованию, предоставлению, отмене и контролю доступа к информационным системам банка.

Пункт 45: Банк обязан разработать и утвердить документы, описывающие процесс управления криптографическими ключами.

Пункты 46-57: определяют конкретные требования и параметры использования криптографических алгоритмов в банке.

Пункты 58-60: описывают требования к структурированной кабельной системе (СКС).
В пунктах 61-68 подробно изложены требования к антивирусному программному обеспечению (ПО) и его обновлениям.
Пункты 69-70: Операционные системы и ПО должны поддерживаться производителем, т.е. иметь актуальные версии.
Сие означает, что пиратские версии антивирусников и устаревшая операционная система Windows XP не должны использоваться в банке.

Ну как можно? Банк не может себе позволить купить честное антивирусное ПО?) А про ОС актуальной версии справедливое замечание. Только вот переход чаще тормозит не желание ИТ персонала это сделать, а неувязочка используемого прикладного софта.

Пункт 75: Банк обязан поддерживать в актуальном состоянии перечень ПО, используемого в банке.

Пункт 77: Банк обязан разработать и утвердить процесс управления обновлениями. Данный процесс должен содержать следующие стадии:
  • подготовка тестовой среды (тестовых клиентов);
  • подготовка перечня обновлений;
  • применение обновлений в тестовой среде;
  • применение обновлений на пилотной группе пользователей;
  • применение протестированных обновлений.

Данный пункт особенно важен, т.к. это простой и эффективный способ выявлять на ранних стадиях проблемные обновления и попытки атак на банковскую инфраструктуру.
Хотелось бы отметить, что тестовая среда должна быть изолированной от рабочей среды банка.

Актуально. Но практика показала что в центре редко удается собрать тестовый бутерброд. Потому падения ОС после автопатчей были, есть и будут. И Медок скорее всего тоже тестировали.)

Пункты 78-82 описывают требования к ПО систем управления базами данных (СУБД) и серверам баз данных (БД).
Пункты 83-88 описывают повышенные требования к рабочим станциям и учетным записям (парольной политике) администраторов и других привилегированных пользователей.
Пункты 89-107 описывают требования к сети, сетевому оборудованию, кабельной системе, а также необходимость построения единого места управления сетью, поддержания документации в актуальном состоянии.
Пункт 108. Банк обязан выполнять проверку эффективности мер защиты периметра сети банка путем выполнения периодических тестов на проникновения.
Кто должен делать эту проверку?

Ну, Максим, кого назначат тот и будет. Только вот фишка  в том что с использованием облачных сервисов понятие "периметра сети" размывается. Разумеется пентестинг и банк сейчас понятия разные. Следовательно будем нанимать 3-ю сторону. Тем более откуда специалист-пентестер может взяться в самом банке? Ему лучше работать по договору, а не в штате.

Пункты 109-111 об использовании электронной цифровой подписи только от аккредитованных центров сертификации ключей.
Пункты 112-114: Не за что не догадаетесь, о чем тут пойдет речь. А она идет о контроле за МФУ (устройствами, сочетающими в себе функции принтера, сканера, факсимильного устройства, копировального модуля), факсами и другой телекоммуникационной техникой.
Также надо взять под контроль оборот в банке кофемашин и чайников ). Ну а если серьезно, то каждый сотрудник банка обладает полным шпионским набором, который может фотографировать, записывать звук и видео, а отправка любых данных может быть осуществлена за считанные минуты. Догадались? Речь идет об обычном мобильном телефоне, а вот контроль над ними не регламентирован в документе.

Это легко дописать. А смысл этого? Тут ведь как - главное запретить административно, потом разок наказать одного официально, а там глядишь и будут выполнять. А про КСЗИ тоже небось слышали, правда? Попробойте там фоткануть документ. А телефон вещь осязаемая, его и отобрать можно на время работы. Или выдать корпоративный, подконтрольный).

Пункты 115-116: про телефонную связь.
Пункты 117-123: про сервера и требования к программному обеспечению серверов электронной почты.
Пункты 124-129: регламентируют порядок тестирования, документирования, ввода в эксплуатацию нового программного обеспечения и порядок вывода из эксплуатации информационных систем банка.

Финальные пункты (130-132) 4-го раздела описывают порядок фиксации инцидентов безопасности информации.

V. Дополнительные меры безопасности информации

Последние 18 пунктов включают:
  • запрет использования радиотелефонов без шифрования,
  • регламент по использованию сменных носителей,
  • требования по применению централизованных систем управления учетными записями пользователей, обновлению безопасности для операционных систем, учета инцидентов безопасности информации,
  • порядок маркировки и документирования элементов СКС,
  • рекомендации по распределению серверов и наличию промежуточного сервера для усложнения проникновения злоумышленниками в сеть банка,
  • пункт про необходимость борьбы с DoS/DDoS-атаками,
  • требования использования сертификатов открытых ключей.


Напомню, что дополнительные меры безопасности должны быть внедрены до 1 сентября 2019 года, а первый этап мероприятий должен быть проведен до 1 марта 2018 года.

Твоя правда Максим. Вон сколько вакансий в ИБ пестрят пунктами "... и привести в соответствие с требованиями 95-й." Т.е. СУИБ-ы у банков есть, их теперь надо грамотно переписывать.

Через весь документ проходят ряд вопросов, на которые стоит отдельно обратить внимание:
  • конфликт интересов, разделение ответственности между отделами,
  • запрет единоличного принятия решений в сфере ИБ,
  • принцип предоставления минимального уровня полномочий, все, что не разрешено, то запрещено (ВСЕГДА БЫЛО!),
  • периодические самопроверки и актуализация данных,
  • протоколирование доступа к ресурсам, изменений привилегий доступа,
  • использование криптографических средств для защиты информации,
  • программные средства должны быть последних версий (Не всегда!),
  • централизованное управление: временем, обновлениями ПО, параметрами контроллера домена.


Отдельное слово о многофакторной аутентификации в документе.

Не будем скрывать, вопрос строгой аутентификации для компании Протектимус, которая является поставщиком решений многофакторной аутентификации полного цикла, очень интересен. Данный вопрос рассматривается в следующих пунктах документа: 3, 40, 88, 103, 147.
3.1. Многофакторная аутентификация - аутентификация, которая осуществляется с помощью защищенных механизмов двух или более типов (пароль+токен или биометрия+пароль).
40. Банк обязан использовать механизмы многофакторной аутентификации при предоставлении доступа для выполнения функций администрирования или сопровождения системы автоматизации банка (САБ).
88. Банк обязан определить и ввести усиленные требования по парольной политике для привилегированных учетных записей или применять многофакторную аутентификации для таких учетных записей.
103. Банк обязан применять такие меры безопасности информации как многофакторная аутентификация пользователей для организации удаленного доступа к информационным системам банка.
Это касается только работников банка или пользователей тоже?

Ну в Google же используем, почему тут нет. Всех так всех!

147. Банк обязан использовать механизмы многофакторной аутентификации при предоставлении доступа к САБ.

Резюмируя данные требования, можно заключить, что сотрудники, которые имеют привилегированные учетные записи и/или администрируют САБ, а также получают удаленный доступ к системам банка, должны использовать многофакторную аутентификацию. На втором этапе (с 1 сентября 2019 года), все сотрудники работающие с САБ должны быть подвергнуты строгой аутентификации.

Был ли толк в этом документе?

Бесспорно, Постановление НБУ №95 об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины несет разумные и необходимые требования к организации безопасности банков. Стоит отметить, что в документе есть и недоработки, например, не описаны требования по эксплуатации корпоративных и личных смартфонов, а они могут нести куда большую угрозу, чем факсы и МФУ. Но тут есть риск, если включить еще дополнительные требования в документ, то их все за один-два этапа будет очень сложно реализовать.

Уверен, что недостатки будут учтены в следующих версиях документа и тут подойдет цитата “Не ошибается тот, кто ничего не делает…”

Также хочу отметить, что добросовестное выполнение требований данного документа сделало бы невозможным организацию кибератаки, которая имела место в 2017 году.

СУИБ? Не, не слышали.) Банк который дорожит свое репутацией должен иметь свою голову на плечах, а не ждать соответствующих документов от НБУ. СУИБ это не изобретение НБУ.

Вопросы, которые остаются открытыми:

Какие будут требования к провайдерам кибер-безопасности, которые будут иметь право поставлять свои услуги в корпоративный или гос-сектор?

Какие тут могут быть сомнения? Будем получать лицензии на оказание подобных услуг.

Кто будет проверять соответствие данным требованиям?

Сам НБУ. Если решат что непрофильное это дело опять же лицензирует третью сторону.

Не превратится ли этот процесс в банальную бюрократию и формализм и как следствие в выкачивание средств из поставщиков ПО, которое потом ляжет дополнительным бременем на банки, повысит стоимость их услуг?

Скажем так - золотая эра для поставщиков профильного ПО началась.) На недавнем семинаре In4Sec 95-е Постановление разбирали также по пунктам, и тут же приводили в соответствие что и каким софтом можно закрыть. Дилеры были рядом. Т.е. я бы назвал это не выкачиванием средств, а наоборот, накачкой поставщиков.) А еще будут поставщики решений по безопасности. А еще будут поставщики построения СУИБ. А еще будут сертификаторы всего этого.

Вообщем толчок дан, и толчок хороший. Насколько Постановление было соевременным? Наверное слегка опоздало. Также складывается впечатление, что многие пункты НБУ написал с себя. Это может быть очевидно тем ИТ-специалистам которые имеют опыт работы в комбанках.

Берегите себя.




No comments:

Post a Comment

А что вы думаете по этому поводу?