Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СОИБ. Анализ. Свежие документы ЦБ РФ по ИБ

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
15 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение “О несанкционированных операциях, совершенных сиспользованием устройств мобильной связи”.


В нем ЦБ РФ предупреждает об опасности связанной с мобильными платежами и рекомендует принимать следующие меры ИБ:

·         установить на устройство мобильной связи антивирусное ПО;

·         не переходить по ссылкам, приходящим из недостоверных источников;

·         своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи;

·         не скачивать на устройство мобильной связи приложения из непроверенных источников;

·         не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам;

·         не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код (СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения.



16 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение о вводе в действие рекомендаций в области стандартизации Банка России:                                                                                                                                                                      

·         рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015);

·         рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использованиитехнологии виртуализации» (РС БР ИББС-2.8-2015).



На первый взгляд документы представляются интересными, но детальный анализ буду проводить позднее. Пока отмечу пару моментов:

 РС БР ИББС-2.8-2015:

“6.4. Реализацию требований и правил ограничения доступа к виртуальным машинам с АРМ, установленных в пункте 6.3 настоящего документа, рекомендуется осуществлять на уровне не выше третьего (сетевой уровень) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91, путем применения технических средств, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации (далее – сертифицированные сетевые технические средства)”

“6.8. В соответствии с требованиями законодательства РФ для защиты контура безопасности ИСПДн следует применять СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

6.9. Для организации информационного обмена между сегментами вычислительных сетей, используемыми для размещения виртуальных машин, включенных в контур безопасности ПТП и контур безопасности ИСПДн, и сегментами вычислительных сетей, используемыми для размещения АРМ, включенных в контур безопасности ПТП и контур безопасности ИСПДн соответственно, рекомендуется использовать сертифицированные сетевые технические средства.”

6.11. Рекомендуемым решением является использование гипервизоров, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”

“8.1 … Рекомендуется использование сертифицированных сетевых технических средств для реализации запрета использования иных АРМ для выполнения задач управления и администрирования серверных компонентов виртуализации.

8.2. Доступ к средствам управления и администрирования серверных компонентов виртуализации рекомендуется осуществлять с использованием СЗИ от несанкционированного доступа, прошедшим оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”

9.4. Для виртуальных машин, размещенных на физическом СВТ (хост-сервере), используемом для размещения виртуальных машин, включенных в контур безопасности ПТП и контур безопасности ИСПДн, техническими средствами рекомендуется реализовать:

– контроль целостности ПО виртуальных машин, в том числе выполняемый на этапе загрузки виртуальных машин;

– контроль и регистрацию доступа пользователей и эксплуатационного персонала к виртуальной машине, выполняемый техническими средствами, прошедшими в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”

10.5. Для доступа пользователей к виртуальным машинам, включенным в контур безопасности ПТП и контур безопасности ИСПДн посредством АРМ пользователя, рекомендуется применять двухфакторную аутентификацию с использованием аппаратных средств.”

13.3.4. Рекомендуемым решением является применение сертифицированных сетевых технических средств для контроля доступа к логическим разделам СХД

13.4. АРМ, используемые для выполнения задач управления и администрирования СХД, рекомендуется располагать в специально выделенном сегменте вычислительных сетей. Размещение в указанных сетевых сегментах СВТ, не связанных с выполнением задач управления и администрирования, не рекомендуется. Выполнение задач, связанных с управлением и администрированием СХД, с использованием иных АРМ, рекомендуется ограничивать сертифицированными сетевыми техническими средствами.”

13.6. Для организации защищенного доступа к средствам управления и администрирования СХД рекомендуется использовать двухфакторную идентификацию, реализуемую СЗИ от несанкционированного доступа, прошедшими оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”


Итак, в тексте РС даются ссылки на следующие типы СЗИ:

·         гипервизор (встроенные функции ИБ)

·         МЭ

·         СЗИ от НСД виртуальной инфраструктуры

·         СЗИ от НСД ОС

·         Средства двухфакторной аутентификации


При этом все СЗИ – сертифицированные: как применяемые для защиты ИСПДн, так и для других случаев. Раньше в серии документов СТО БР ИББС встречались более мягкие требования и формулировки относительно оценки соответствия СЗИ. Что это – смена политики, давление ФСТЭК или лобби от производителей СЗИ?



РС БР ИББС-2.7-2015 содержит 4 важных раздела:

·         Вводятся уровни зрелости выполнения процессов СОИБ (от 0 до 5) и методология оценивания уровней зрелости

·         Вводится методология оценки рисков ИБ в зависимости от зрелости ВП СОИБ (ниже зрелость – выше риск, выше зрелость ниже риск)

·         Приводятся рекомендации по определению потребностей службы ИБ в кадровых ресурсах, при этом функции службы ИБ предлагается сгруппировать по направлениям:

o   методология

o   реализация и сопровождение

o   контроль

o   криптографическая защита

·         В приложении А приводятся примеры всех расчетов



Руководствуясь документом, Банк легко сможет сравнить экономию на уменьшении рисков с издержками на повышение уровня зрелости и быстро принять управленческое решение: остаться на текущем уровне зрелости = 0 тратить X1 ресурсов и иметь Риск * 1 или затратить X2 ресурсов для повышения уровня зрелости до =2 и иметь Риск * 0,45 (для принятия решения сравниваем Риск * 0.55 и (X2-X1)).  Если такая идея и была в основе документа, то она хороша.



 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.