Мария Сидорова, заместитель руководителя направления «Защита виртуальных инфраструктур» компании «Код Безопасности»
О СТО БР ИББС
Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения информационной безопасности организаций банковской сферы с учётом международных требований и российского законодательства. В данный момент для любой компании одной из наиболее важных задач в области информационной безопасности и нормативного соответствия является обеспечение защиты персональных данных в соответствии с Федеральным Законом №152 «О персональных данных», требования которого необходимо выполнить, начиная уже с 1 июля 2011 года. СТО БР ИББС включает в себя адаптированные для организаций банковской сферы требования этого закона. Внедрение стандартов Банка России позволит существенно облегчить выполнение требований нормативных документов в области защиты персональных данных. СТО БР ИББС рекомендован Банком России для применения во всех кредитно-финансовых организациях, осуществляющих свою деятельность на территории Российской Федерации. На текущий момент Банк России не наделен законодательным правом нормативного регулирования, однако, выдвигая высокоуровневые и гибкие требования, стандарт позволяет создавать и внедрять решения, учитывающие специфику бизнес-процессов банка и его информационной инфраструктуры.
С появлением СТО БР ИББС кредитно-финансовые организации встали перед выбором: принять стандарт СТО БР ИББС в полном объеме и приступить к обеспечению информационной безопасности при поддержке основного регулятора – Банка России, либо не принимать его и работать со ФСТЭК, ФСБ и Роскомнадзором на общих основаниях. Очевидно одно: проводить работу по приведению в соответствие стандарту СТО БР ИББС нужно. С одной стороны, это бесспорно повысит уровень обеспечения безопасности организации, так как стандарт основан, в том числе, и на положениях международных стандартов, таких как ISO 27001. С другой стороны, через какое-то время, когда будет превышен определенный порог соответствующих стандарту организаций банковского сектора, данный стандарт с высокой долей вероятности станет обязательным для всех. Отдельно следует отметить, что все процедуры по принятию стандарта СТО БР ИББС, в частности, приведение информационных систем организации, а также дальнейшая проверка соответствия системы требованиям стандарта, должны проводиться организацией самостоятельно либо с привлечением внешних консультантов.
Защита персональных данных в контексте виртуализации
С каждым годом технологии виртуализации получают все большее распространение среди организаций банковской сферы. Использование виртуализации позволяет банкам получать ряд бесспорных преимуществ, среди которых эффективное использование ресурсов и, как следствие, снижение затрат на эксплуатацию инфраструктуры. С большим сожалением приходится констатировать, что большинство проектов по виртуализации до сих пор осуществляются без привлечения специалистов по информационной безопасности. В то время как эти технологии несут с собой не только выгоды, но и ряд дополнительных рисков, связанных, в первую очередь, с защитой информации в виртуальной среде.
На сегодняшний день, требования СТО БР ИББС не делают различий между физической и виртуальной средой обработки. Тем не менее, обработка данных в виртуальной среде имеет свои особенности, которые должны быть учтены при выполнении требований. Выполнение требований СТО БР ИББС по приведению в соответствие положениям по защите персональных данных при использовании технологий виртуализации имеет следующие особенности:
- выполнить некоторые требования в условиях виртуальной среды не всегда просто и возможно;
- к защищаемым информационным ресурсам также следует отнести все основные объекты виртуальной инфраструктуры;
- обязательным является составление частной модели угроз, где нужно отразить новые специфичные угрозы безопасности.
Рассмотрим каждую из обозначенных особенностей. Согласно одному из пунктов СТО БР ИББС должна осуществляться «очистка носителей информации и «освобождаемых областей памяти на носителях, ранее использованных для хранения персональных данных». Учитывая архитектуру виртуальной среды, данное требование должно выполняться для систем хранения данных и освобождаемых областей памяти в случае удаления виртуальной машины, на которой обрабатывались персональные данные. Возникает вопрос - какие именно области памяти и какое хранилище должны быть очищены при удалении виртуальной машины? Ответ на этот вопрос пока остается открытым, ведь виртуальная машина может в любой момент переместиться посредством таких технологий как vMotion или Fault Tolerance на другой сервер виртуализации или ее файлы могут быть перемещены в другое хранилище.
Согласно действующему стандарту все информационные системы персональных данных (ИСПДн) кредитно-финансовых организаций относятся к специальным системам. Классификация таких систем осуществляется на основании модели угроз персональных данных. При этом может использоваться модель угроз, приведенная в отраслевом документе БР ИББС 2.4-2010, или может разрабатываться частная модель угроз. При переносе ИСПДн в виртуальную среду появляются новые угрозы безопасности. Поэтому составление частной модели угроз можно считать обязательным и новые угрозы безопасности должны быть в ней учтены. К примеру, гипервизор (составная часть сервера виртуализации) и средства управления виртуальной инфраструктурой — потенциальные каналы утечки, посредством которых нарушитель может получить доступ к обрабатываемым на виртуальных машинах данным. С помощью гипервизора или средств управления виртуальной инфраструктурой злоумышленник может перехватить потоки данных, идущие с виртуальных машин на устройства (HDD, USB и т.п.) или получить непосредственный доступ к дискам хранилища с файлами виртуальных машин, даже при использовании традиционных средств защиты информации. Злоумышленнику доступны диски хранилищ даже тогда, когда виртуальные машины выключены или не работают. Администраторы виртуальной инфраструктуры, обладающие широкими полномочиями по манипуляции с виртуальными машинами и их файлами (клонирование виртуальных машин, получение доступа к хранилищу виртуальных машин, просмотр и копирование файлов виртуальных машин и т. д.), являются по сути «суперпользователями», проконтролировать действия которых зачастую сложно или практически невозможно. А ведь системные администраторы, как и остальные сотрудники, не застрахованы от простых человеческих ошибок. Поэтому в виртуальной среде обработки к «защищаемым информационным ресурсам», помимо традиционных ресурсов, также следует отнести все основные объекты виртуальной инфраструктуры: виртуальные машины, хранилища файлов виртуальных машин, сервера виртуализации и средства управления виртуальной инфраструктурой.
Какие средства защиты информации использовать банкам?
При выборе средств защиты для виртуальной инфраструктуры организация может применять уже используемые средства защиты, либо создавать комплекс из традиционных средств защиты и решений, которые могут обеспечить защиту от новых специфичных угроз среды виртуализации. К сожалению, традиционные средства защиты информации не позволяют обеспечить полноценную защиту от новых специфичных угроз, присущих виртуальной среде. Поэтому вариант использования специальных средств защиты является наиболее правильным. Кроме того, следует отметить, что согласно пункту 6.3.2 РС БР ИББС-2.3-2010 «выполнение функций обеспечения безопасности персональных данных в ИСПДн должно обеспечиваться средствами защиты информации, прошедшими в установленным порядке процедуру оценки соответствия». Поскольку одной из стандартных и наиболее эффективных процедур оценки соответствия средств защиты информации является их сертификация, то все применяемые в организациях банковской сферы средства защиты информации персональных данных должны быть сертифицированы. Таким образом, в условиях виртуальной среды необходимы новые сертифицированные средства защиты информации, обеспечивающие прозрачное выполнение текущих требований отраслевых документов и защиту от новых специфичных угроз, присущих виртуальной среде.
Одним из таких средств защиты является решение vGate, разработки компании «Код Безопасности». Представляя собой средство защиты информации от несанкционированного доступа, vGate позволяет обеспечить:
- защиту от утечек через специфические каналы среды виртуализации;
- разделение объектов инфраструктуры на логические группы и сферы администрирования через мандатное и ролевое управление доступом;
- усиленную аутентификацию, разделение ролей и делегирование полномочий;
- управление и контроль над конфигурацией системы безопасности;
- автоматическое приведение инфраструктуры в соответствие требованиям (продукт содержит набор встроенных шаблонов по требованиям РС БР ИББС 2.3-2010) и постоянный контроль соответствия.
