Джабраил Матиев, руководитель направления защиты персональных данных по коммерческой части компании ReignVox
Постоянная работа в области поддержания информационной безопасности на должном уровне является не просто необходимой с точки зрения успешности финансового бизнеса, но и обязательной с точки зрения требований, предъявляемых к обеспечению защиты информации в финансово-кредитных организациях стандартами СТО БР ИББС, Федеральным законом №-152 «О персональных данных» и Payment Card Industry Data Security Standart (PCI DSS).
К разряду обязательных сегодня относится выполнение требований ФЗ-152 и стандарта PCI DSS. В первом случае обеспечивается соответствие требованиям отечественного законодательства, соблюдение стандарта PCI DSS обеспечивает соответствие принятым международным нормам ведения бизнеса в финансовой сфере. Требования СТО БР ИББС пока не признаны строго обязательными. Но в последнее время наблюдается устойчивая тенденция к присвоению ему статуса отраслевого стандарта, одобренного и рекомендованного к использованию Регуляторами. На сегодняшний день данный стандарт учитывает требования Закона к защите конфиденциальной информации (его требования соответствуют Федеральному закону № 152 «О персональных данных») и особенности обеспечения ИБ в банковской сфере, и уже используется банковским сообществом самостоятельно без соответствующих требований со стороны Регуляторов.
Единовременное исполнение требований каждого из трех стандартов сегодня оценивается специалистами отделов информационной безопасности как насущная необходимость. И наиболее целесообразным в этом случае, является комплексный подход к удовлетворению требований всех трех стандартов, который позволит наиболее полно решить реальные проблемы ИБ, учитывая и требования отечественного законодательства, и принятые международные нормы ИБ, и реальные потребности в защите той или иной конфиденциальной информации в каждом отдельно взятом банке.
Соответствие стандартам – вопрос индивидуальности.
Опираясь на накопленный компанией ReignVox опыт работы с финансовыми структурами в области реализации проектов по защите информации, специалисты ReignVox выработали отличное от общепринятого видение концепции комплексной системы информационной безопасности в банке. В основании разработанного подхода к построению системы информационной безопасности лежат требования всех трех стандартов без исключения (ФЗ-152, PCI DSS и СТО БР ИББС), а также – необходимость реальной, а не формальной, защиты информации в банковском секторе.
Практически реализовав более 20 проектов по защите информации в отечественных банках различной величины, специалисты компании ReignVox пришли к заключению, что наиболее оптимальным является выделение одиннадцати подсистем защиты информации, тогда как обычно принято оперировать только восемью:
- Подсистема антивирусной защиты шлюзов входа в глобальную сеть Интернет, файловых серверов, серверов групповой работы и рабочих мест пользователей, централизованного управления, периодического обновления программного обеспечения и антивирусных БД. Данная подсистема удовлетворяет требования СТО БР ИББС в части обеспечения ИБ средствами антивирусной защиты, требования ФЗ-152, касающегося необходимости антивирусной защиты ПДн и требования PCI DSS, обязывающее Банки применять и регулярно обновлять антивирусное ПО.
- Подсистема управления контролем доступа и идентификацией, необходимая для управления идентификационными данными пользователей и контроля доступа к системам, обеспечивает соответствие требованиям по обеспечению ИБ при управлении доступом и регистрацией (СТО БР ИББС), управлению доступом и идентификацией (ФЗ-152) и ограничению доступа к данным платежных карт (PCI DSS).
- Подсистема межсетевого экранирования, обеспечивающая безопасность межсетевого взаимодействия посредством использования программных и программно-аппаратных межсетевых экранов. Данная система удовлетворяет требования по обеспечению ИБ при использовании ресурсов сети Интернет (СТО БР ИББС), межсетевого экранирования (ФЗ-152) и управлению конфигурацией межсетевых экранов (PCI DSS).
- Подсистема криптографической защиты, гарантирующая безопасность передачи через открытую, незащищенную маршрутизируемую сеть связи благодаря шифрованию передаваемых данных. Она, в свою очередь, удовлетворяет требования СТО БР ИББС в части информационной безопасности при использовании средств криптографической защиты информации, ФЗ-152 – касающиеся необходимости криптографической защиты ПДн и PCI DSS – в отношении шифрования данных платежных карт при передаче по сетям общего пользования.
- Подсистема обеспечения целостности информации и программной среды путем использования продуктов для фиксации и контроля состояния программного комплекса, управления хранением данных для резервного копирования и архивирования. Гарантирует обеспечение целостности ПДн (требование ФЗ-152), обеспечивает использование ПО контроля целостности файлов, уведомляющее персонал о несанкционированных изменениях критичных системных файлов или файлов данных (PCI DSS) и применение мер защиты от повреждения или нарушения целостности информации по регистрации, идентификации, аутентификации и авторизации клиентов и работников банка (СТО БР ИББС).
- Подсистема защиты от инсайдеров, контролирующая действия нарушителей – как случайного, так и преднамеренного характера, обеспечивает информационную безопасность при управлении доступом и регистрации, в соответствии с соответствующим требованием СТО БР ИББС, гарантирует контроль доступа к ПДн (требование ФЗ-152) и ограничивает доступ к данным платежных карт, что соответствует требованиям PCI DSS.
- Подсистема защиты СУБД, выделенная нами в самостоятельную подсистему и нацеленная на предотвращение несанкционированного доступа непосредственно к системам управления базами данных. В части соответствия требованиям отечественных и международных стандартов по обеспечению ИБ банковской деятельности в данном случае можно отметить совпадение с подсистемой защиты от инсайдеров.
- Подсистема обнаружения вторжений и попыток несанкционированного доступа к информационным ресурсам компании, оперативно реагирующая на инциденты ИБ. Данная подсистема обеспечивает использование защитных мер по противодействию атакам хакеров и распространению спама (требование СТО БР ИББС и PCI DSS), создание системы обнаружения вторжений (требование ФЗ-152).
- Подсистема защиты мобильных устройств, создающая условия для обеспечения информационной безопасности мобильных устройств и обеспечивающая ИБ при использовании средств криптографической защиты информации (требование СТО БР ИББС), криптографическую защиту ПДн (требование ФЗ-152) и гарантирующая шифрование данных платежных карт при передаче по сетям общего пользования (требование PCI DSS).
- Подсистема управления соответствием политикам ИБ, поддерживающая должный уровень информационной защищенности и удовлетворяющая требования ФЗ-152 в регулярном анализе защищенности, требования СТО БР ИББС, касающиеся мониторинга и контроля защитных мер, а также – анализа функционирования систем обеспечения информационной безопасности. В части соответствия стандарту PCI DSS данная подсистема нацелена на соответствие требованию поддержания политики ИБ, регламентирующей деятельность сотрудников и контрагентов.
- Подсистема мониторинга событий ИБ, позволяющая своевременно выявлять угрозы ИБ и реагировать на них, гарантирует соответствие требованиям в регистрации и учете (ФЗ-152), организации обнаружения и реагировании на инциденты безопасности (СТО БР ИББС) и отслеживании и контроле доступов к сетевым ресурсам и данным платежных карт (PCI DSS).
Соответствующее обследование информационных систем Банка позволяет четко определить в какой из указанных подсистем не в полной мере выполняется требование того или иного стандарта, корректно оценить существующий потенциал используемых средств защиты и определить существующие возможности по удовлетворению всех требований стандартов с использованием тех средств защиты, что уже используются. Что дает возможность увеличивать возможности по обеспечению ИБ за счет пополнения списка используемых технических средств только в случаях строгой необходимости.
Идеальное сочетание – миф или реальность?
На рынке ИБ сегодня представлены широкие возможности по выбору разнообразных средств защиты с учетом их стоимости, функционала и географии производства. Наиболее правильным подходом в выборе тех или иных решений является следование принципу «разумной достаточности». Суть данного принципа сводится к тому, что определяющими при проектировании СЗПДн должны считаться размер компании, её ресурсные и финансовые возможности, существующий в ней уровень информационной безопасности, стадия функционирования организации. В том случае, если компания находится на стартовом этапе, система защиты строится «с нуля». Такой вариант позволяет подобрать средства защиты и выстроить процессы так, чтобы система защиты была наиболее сбалансированной и эффективной. Но он и более затратен. Потому, в целях экономической целесообразности, для компаний, имеющих уже некоторую историю существования, правильнее выстраивать систему защиты с использованием существующих в ней средств. Как правило, любое предприятие имеет антивирусные средства защиты, межсетевые экраны, системы логирования действий пользователей, системы управления доступом (в том числе встроенные в операционную систему) и т.д. То есть потенциал средств защиты имеется, но он не используется компаниями полностью. Более того, имея сложные аппаратные средства защиты, компании не задействуют их функционал даже наполовину. И при детальном обследовании их информационных систем оказывается, что большинство требований стандартов могут быть выполнены существующими средствами защиты, некая часть требований закрывается организационными мерами, и только третья их часть требует непосредственного «довстраивания» новых средств защиты.
Такое положение дел не дает возможности выработать некий стандартный набор средств защиты, использование которого обеспечит абсолютное соответствие требованиям и СТО БР ИББС, и ФЗ-152, и PCI DSS одновременно. Равно как невозможно, без предварительного обследования информационных систем организации, дать конкретные рекомендации по выбору тех или иных средств защиты, можно лишь выделить некоторые из них.
Наиболее эффективным средством обеспечения безопасности баз данных сегодня является решение Guardium 7, с 2010 года включенное в продуктовую линейку IBM. Оно занимает лидирующие позиции по устранению уязвимостей в защите баз данных в режиме реального времени. Большинство систем только уведомляют об имевшей место утечке информации, Guardium - практически моментально останавливает ее.
Также Guardium 7 обеспечивает соответствие баз данных требованиям PCI DSS и SOX и др., и ряду требований ФЗ РФ № 152 «О персональных данных».
Более простым и дешевым решением, применимым для защиты СУБД, считается решение Sentrigo - простое в установке и работе и также обеспечивающее комплексную безопасность данных.
Экономически выгодным является использование решений класса «все в одном», позволяющих одновременно удовлетворить требования к различным подсистемам. В этом контексте удачным примером является продукт IBM – Proventia, в режиме реального времени идентифицирующий и блокирующий сетевые атаки, вирусы, Интернет-черви и др., предотвращающий вторжения в корпоративную сеть, отслеживающий утечку конфиденциальной информации и др.
Существуют и такие решения по защите информации, приобретение и использование которых не требует значительных финансовых затрат. Например, недорогие или вовсе бесплатные решения по обнаружению и предотвращению вторжений (IDS/IPS) от SourceFire, в числе которых система SNORT, позволяющая в режиме реального времени анализировать сетевой трафик, проверяя корректность структуры сетевых пакетов и соответствие содержимого определенным правилам.
Говоря об отечественных разработках, нельзя обойти вниманием работу Лаборатории Касперского, разрабатывающую спектр решений, позволяющих защититься от всевозможных угроз ИБ. Данные решения по функционалу не уступают зарубежным разработкам, а порой и превосходят их.
В классе решений SIEM отдельного внимания заслуживают два средства защиты – решение SLOT (отечественная разработка) и программные продукты ArcSight – предназначенные для сбора, обработки, корреляции и реагирования на события ИБ.
Для устранения утечек информации используются решения SearchInform (контуры информационной безопасности), перехватывающие и анализирующие документы.
Для обеспечения соответствия ИТ-систем корпоративным политикам безопасности и официальным стандартам используются и безагентные технологии сканирования целевых систем – Symantec Control Compliance Suite, повышающие капитализацию и защищенность компании.
Иногда необходимо использовать двухфакторную идентификацию пользователя с применением устройства eToken (USB-токены, смарт-карты) и введением PIN кода. eToken поддерживается большинством современных операционных систем и бизнес-приложений. В других случаях достаточно штатных средств аутентификации ОС и СУБД при выполнении требований по длине пароля пользователя.
Когда речь заходит о необходимости шифрования передаваемых данных в числе наиболее популярных решений упомянул КриптоПро CSP, имеющее сертификат соответствия ФСБ и используемое для формирования ключей электронной цифровой подписи, шифрования данных, обеспечения целостности и подлинности информации.
Использование любого из перечисленных решений, либо их конфигурации, с учетом индивидуальных потребностей Банка, обеспечит соответствие выстроенной в нем системы информационной безопасности требованиям, предъявляемым к ИБ соответствующими международными и отечественными стандартами.
Приступая к выбору средств защиты, следует помнить, что главным для достижения успеха является подбор верного их сочетания. Основой же в данном случае становится четкое понимание того, какие угрозы и требования перекрываются каждым конкретным выбранным средством защиты. Необходимо убедиться, что при внедрении разработанной системы повысится реальный уровень защищенности компании. Если созданная система удовлетворяет требованиям информационной безопасности, то любая конфигурация составляющих её средств имеет право на существование и является индивидуально «правильной». Но вот сама «правильность» компоновки средств защиты – сложная задача, требующая досконального изучения потребностей организации в защите информации, существующих в ней и предлагаемых рынком возможностей в виде различных средств защиты. Эту задачу удобнее решать при помощи компании-лицензиата ФСТЭК России, которая подготовит, проанализирует различные варианты построения СЗПДн и предложит наиболее оптимальный с точки зрения стоимости и уровня обеспечиваемой защиты.
Справка: ReignVox – российская компания, специализирующаяся на инновационных проектах и разработках в области информационных технологий и обеспечении их информационной безопасности.
Целью создания компании является оказание услуг по обеспечению защиты персональных данных в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных систем защиты информации.
ReignVox является членом межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированным членом «Инфокоммуникационного союза» (Infocommunication Union), а также членом Ассоциации региональных банков России.
Компания ReignVox обладает значительным опытом успешной реализации проектов по защите персональных данных в крупных коммерческих банках. За прошедшее с момента основания компании время, её клиентами стали НОТА-Банк, Внешэкономбанк, «ЦентроКредит», «Темпбанк», «Альта-Банк», «Банк Сосьете Женераль Восток» и др.
