24 сентября, понедельник 03:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Софт необходимый для соответсвия старндарту ИББС!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Софт необходимый для соответсвия старндарту ИББС!

    Предлагаю в этой теме обсудить весь спектр ПО необходимого для соответсвия стандарту ИББС.
    Начну

    Стандарт обязывает хранить почтовую переписку - Необходимо решение, сервер и ПО(пока не делал срез в этой области)

    Стандарт ясно указывает на то что максимальный ущерб могут нанести собственные сотрудники банка. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации - Внедрение средства защиты информации от утечек.
    (InfoWatch, Дозоры, Websense, McAfee, Verdasys и многие другие)

    Предлагаю продолжить, обсуждаем только софт - нормативную базу не трогаем

  • #2
    Zdisk, TrueCrypt - Средство защиты компьютера (рабочей станции) от несанкционированного доступа к информации на его жестких дисках,позволяет создавать и использовать защищенные логические диски, которые представляют собой специальные файлы-контейнеры на жестком, съемном или сетевом диске, где информация хранится в зашифрованном виде и для посторонних недоступна даже при изъятии диска или компьютера.

    Комментарий


    • #3
      Добавлю еще одно средсва для защиты мобильных пользователей - Atlantsys Bastion Pro

      Ребят почему в теме не учавствуете?

      Комментарий


      • #4
        Сообщение от barmalei Посмотреть сообщение
        Ребят почему в теме не учавствуете?
        Признаться, я например, и не знаю чего сюда и писать

        Софт необходимый для соответствия стандарту ИББС!
        "необходимый" - значит, что без него, никак не обойтись?
        "соответствия стандарту" - а какие требования стандарт предъявляет к софту?

        Комментарий


        • #5
          Сообщение от barmalei Посмотреть сообщение
          Добавлю еще одно средсва для защиты мобильных пользователей - Atlantsys Bastion Pro

          Ребят почему в теме не учавствуете?
          Потому что для соответствия стандарту софт имеет где-то третьестепенное значение

          Комментарий


          • #6
            Конкретных требований очень мало, в основном исходя из общих формулировок можно прийти к тому что необходим софт. Явно он обязывает бороться со спамом

            Средства защиты от спама:
            McAfee Secure Internet Gateway
            Panda GateDefender Performa
            Barracuda Spam Firewall
            Symantec Gateway Security
            IBM Proventia Network Multi-Function Security
            Alladin(eSafe Gateway)

            Средства защиты от НСД:
            SecretNet
            Аккорд

            Комментарий


            • #7
              2malotavr - не соглашусь. Софта необходимо использовать прилично, чисто политиками и прочими мерами стандарт не внедрить. В стандарте полно моментов в которых невозможно обойтись без ПО или спец. аппаратуры.
              Тот же самый почтовый архив - для того что бы хранить всю почту за год потребуються не малые деньги.

              Комментарий


              • #8
                Цель поста сформировал - определить список ПО необходимый для соответсвия ИББС и посчитать ориентировочную стоимость внедрения ПО в банк среднего масштаба. Если набереться много участником - будет очень интересно, какой у нас получиться бюджет

                Комментарий


                • #9
                  Сообщение от barmalei Посмотреть сообщение
                  2malotavr - не соглашусь. Софта необходимо использовать прилично...
                  С этим никто не спорит. Вопрос в том, какой софт считать необходимым. Необходимость определяется анализом рисков. А риски у каждого свои. Поэтому то, что необходимо мне может быть лишним для вас и наоборот.

                  Комментарий


                  • #10
                    Да соглашусь софт бывает разный, но так же бывает софт хороший и плохой.
                    Я предлагаю для каждого пункта стандарта который требует софт - вписывать софт который мог бы быть использован для закрытия этого пункта. С комментариями. К слову о плохом софте, я категорически настроен на наши разработки в области защиты от утечек. Они не эффективны.

                    Пару пунктов из стандарта ИББС, где без софта никак:

                    5.10 .........При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться.

                    8.2.4.2. В составе АБС должны применяться встроенные механизмы защиты информации, а также могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД.

                    8.2.4.3..................
                    регистрация действий персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности поддержки данного режима эксплуатирующимися в организации БС РФ аппаратно-программными средствами реализация данного требования должна быть обеспечена организационными и/или административными мерами.

                    8.2.6.4. Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен.

                    8.2.6.6. При взаимодействии с сетью Интернет должно обеспечиваться противодействие атакам хакеров и распространению спама.

                    Комментарий


                    • #11
                      to barmalei
                      +1
                      в отдельную ветку
                      как справочник по софту с сылками на производителей
                      если заполнится, то можно будет ветку прикрепить

                      Комментарий


                      • #12
                        Сообщение от barmalei Посмотреть сообщение
                        8.2.4.2. В составе АБС должны применяться встроенные механизмы защиты информации, а также могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД.
                        Встроенные - нет вопросов. Сертифицированные:
                        - электронные замки Соболь, Аккорд
                        - СЗИ НСД SecretNet, Страх-NT.
                        Только толку от них как от козла молока, поскольку контролировать доступ нужно на прикладном уровне, а приложения с ними интегрироваться не хотят (и дорого, и невыгодно, и геморроя не оберешься).

                        Сообщение от barmalei Посмотреть сообщение
                        8.2.4.3..................
                        регистрация действий персонала и пользователей в специальном электронном журнале.
                        На уровне приложения рагистрация действий делается средствами ацудита приложений. Контроль действий на уровне ОС - экзотика. InfoWatch Net Monitor, из сертифицированных - разве что Урядник. Опять же, толку от нних (собирать информацию мало, ее еще и анализировать нужно).

                        Сообщение от barmalei Посмотреть сообщение
                        8.2.6.4. Электронная почта должна архивироваться.
                        А чем вас IMAP-папки Exchange не устраивают? Из специализированных - InfoWatch Traffic Monitor, Позор-Джет. Из дешевых решений - ставите MTA линуксовый и настраиваете sendmail так, чтобы он сообщения из входящих очередей в архив кидал. Цена вопроса - две копейки.

                        Опять же, толку от них - что вы с этим архивом делать будете. Просмотр мы уже обсуждали , а тупо копить - смысл?

                        Сообщение от barmalei Посмотреть сообщение
                        8.2.6.6. При взаимодействии с сетью Интернет должно обеспечиваться противодействие атакам хакеров и распространению спама.
                        Опять же, зависит от потребностей. Даже если ограничиться только Cisco - кому-то достаточно PIXа, кому-то Catalyst 6500 под завязку забитый security-модулями подавай. Разница в цене несопоставимая.

                        Комментарий


                        • #13
                          Встроенные - нет вопросов. Сертифицированные:
                          - электронные замки Соболь, Аккорд
                          - СЗИ НСД SecretNet, Страх-NT.
                          Только толку от них как от козла молока, поскольку контролировать доступ нужно на прикладном уровне, а приложения с ними интегрироваться не хотят (и дорого, и невыгодно, и геморроя не оберешься).
                          Не забываем что СЗИ от НСД должны выполнять свою первоочередную задачу - а имено защита от НСД. Связка Пароль + Токен. Очень эффективно!

                          На уровне приложения рагистрация действий делается средствами ацудита приложений. Контроль действий на уровне ОС - экзотика. InfoWatch Net Monitor, из сертифицированных - разве что Урядник. Опять же, толку от нних (собирать информацию мало, ее еще и анализировать нужно).
                          Средств аудита приложений иногда бывает не достаточно. И не все они могут логировать. Согласен что нужны средства анализа - но эта другая песня, в стандарте ничего про это не сказано, по минимуму этого достаточно. Если руководство даст бюджет то можно и средства анализа внедрить.
                          Между прочим
                          хранения и резервного копирования только администратору ИБ
                          Такой функционал встроенный в ПО большая редкость. Вывод - покупка ПО.
                          А чем вас IMAP-папки Exchange не устраивают? Из специализированных - InfoWatch Traffic Monitor, Позор-Джет. Из дешевых решений - ставите MTA линуксовый и настраиваете sendmail так, чтобы он сообщения из входящих очередей в архив кидал. Цена вопроса - две копейки.
                          В банке обычно не два сотрудника обмениваються почтовыми сообщениями. Поэтому необходимы большие хранилища данных, что бы содержать многотерабайтную переписку сотрудников хотя бы год.
                          А это далеко не копеечка. И софт необходим специальны - ибо
                          Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ
                          Толк есть. Прошел инцидент (для примера буду приводить Инфоватч),
                          Инфоватч его застукал, нашли инсайдера, руководство дает комманду, поднять его почтовые сообщения за период с января по декабрь. Вот для таких случаев это необходимо. Или для избирательного разбирательства.
                          Опять же, зависит от потребностей. Даже если ограничиться только Cisco - кому-то достаточно PIXа, кому-то Catalyst 6500 под завязку забитый security-модулями подавай. Разница в цене несопоставимая.
                          ПИКс и циски не могут закрыть этот пункт, т.к. не обладают средствами защиты от спами и достойными средствами URL-фильтрации.

                          Софт просто необходим, вопрос выбора. Дешего, сердито, не надежно и гемморно или дорого и качественно.

                          Комментарий


                          • #14
                            to barmalei malotavr

                            Требования по хранению архива эл. почты есть в Basel II и в госте по архивному делу. Только сроки там упоминаются не год, а 3-5 лет.

                            Коммерческие средства по аудиту приложений обычно обладают функционалом создания отчетов (анализа).

                            Комментарий


                            • #15
                              Сообщение от box_roller Посмотреть сообщение
                              to barmalei malotavr

                              Требования по хранению архива эл. почты есть в Basel II и в госте по архивному делу. Только сроки там упоминаются не год, а 3-5 лет.
                              Это где это в Basel II такое требование есть, если не секрет? Там вообще нет технических аспектов. И ГОСТы по делопроизводству и архивному делу тут не при чем - они распространяются только на документированную в рамках делопроизводства информацию.

                              Комментарий


                              • #16
                                Сообщение от barmalei Посмотреть сообщение
                                Не забываем что СЗИ от НСД должны выполнять свою первоочередную задачу - а имено защита от НСД. Связка Пароль + Токен. Очень эффективно!
                                Защита от НСД к чему? К ОС? У нас любой сотрудник может залогиниться на любую рабочую станцию и при этом будет видеть ровно то. что положено видеть именно ему. Никакие сертифицированные поделки такого не обеспечат, потому что эта проблема решается только на прикладном уровне.

                                По поводу всего остального - я уже говорил, что то, что необходимо вашему банку можеь быть абсолютно бессмысленно для нашего Риски разные

                                Комментарий


                                • #17
                                  to malotavr

                                  Это где это в Basel II такое требование есть, если не секрет? Там вообще нет технических аспектов. - я не вижу технического аспекта в требовании по архивному хранению электронных писем.

                                  Требование косвенное придумал не я, но с логикой рассуждений согласен.
                                  644 и т.д.
                                  Система управления операционными рисками - > это СУИБ -> в основе СУИБ лежит процесс Управления Инцидентами -> который обязательно опирается на регистрацию событий и хранению различных хистори - > а там как раз и наш архив с почтой

                                  Комментарий


                                  • #18
                                    Сообщение от box_roller Посмотреть сообщение
                                    я не вижу технического аспекта в требовании по архивному хранению электронных писем.
                                    Технический аспект возникает вместе со словом "электронный". Third pillar Базельского соглашения и сопровождающие его рекомендации формулируют очень простую мысль: все, что делается в банке, должно происходить исключительно с ведома совета директоров, так что извольте создать эффективную систему внутреннего контроля. А что такое "эффективная система внутреннего контроля" должны определить национальные центробанки. Все, больше ничего в Базельском соглашении нет.

                                    Сообщение от box_roller Посмотреть сообщение
                                    Требование косвенное придумал не я, но с логикой рассуждений согласен.
                                    644 и т.д.
                                    Система управления операционными рисками - > это СУИБ -> в основе СУИБ лежит процесс Управления Инцидентами -> который обязательно опирается на регистрацию событий и хранению различных хистори - > а там как раз и наш архив с почтой
                                    Последний вывод никак не следует из предыдущих. В стандарте ISO 18044 вы не найдете ни слова о том, что процесс управления инцидентами "обязательно опирается на регистрацию событий и хранению различных хистори", и, тем более, что "там как раз и наш архив с почтой". К примеру, в схеме, которую делаю я, нет инцидента "пользователь отправил по почте конфиденциальные данные". Есть инцидент "пользователь сумел экспортировать значительный объем конфиденциальных данных в вид, пригодный для выноса". А при такой постановке вопроса архивирование и просмотр электронной почты становится уже незначимым довеском к СУИБ.

                                    Комментарий


                                    • #19
                                      to malotavr
                                      по iso 18044
                                      п. 8.5.5
                                      - анализ журналов регистрации...
                                      - анализ электронной почты....
                                      - определение деятельности пользователя...

                                      или этот пункт для общего развития включен?

                                      Комментарий


                                      • #20
                                        to malotavr

                                        по iso 18044
                                        8.2 Обзор ключевых процессов.
                                        ...
                                        - обеспечение сбора и надежного хранения электронных свидетельств .....

                                        Комментарий


                                        • #21
                                          Есть инцидент "пользователь сумел экспортировать значительный объем конфиденциальных данных в вид, пригодный для выноса".
                                          2malotavr Честно говоря даже затрудняюсь представить как вы определите подобный инцидент без почтового контроля, т.к. инцидент не произошел пока инфу не попытались слить. Если человек экспортировал инфу из БД в файл - это не означает что он инсайдер. А вот если он ее попытался слить - то сдесь уже не отвертеться

                                          Комментарий


                                          • #22
                                            Инцидент произошел в тот момент, когда пользователь попытался слить информацию из АБС. Понимаете, мы исходим из того, что проблемы с ИБ возникли уже тогда, когда пользователь смог слить критический объем информации на комп, имеющий срелдства вывода. Начиная с этого момента боржоми пить поздно - для выноса слитой информации есть масса способов, вплоть до запоминания и фотографирования экранов.

                                            Сответственно, система стротся так, что пользователь (за исключением очень узкого круга доверенных лиц) не может за одну операцию выгрузить такой объем конфиденциальной информации, который мог бы кого-то заинтересовать. Грубо говоря, чтобы получить информацию об операциях клиента, обычный пользователь должен сделать длинную цепочку операций - построить список операций без деталей, запрость детали отдельно по каждой операции и т.д. Разумеется, операции регаются в журналах аудита, и, если такая последовательность нехарактерна для данного пользователя (не прописана в регламентах операций), мы можем начать разбираться.

                                            И, разумеется, обычный пользователь не при каких обстоятельствах не может штатными средствами экспортировать инфу из БД в файл. Только посмотреть в GUI АБС или запросить генерацию стандартизованого отчета - если у него есть полномочия на подобный запрос.

                                            Комментарий


                                            • #23
                                              Сообщение от box_roller Посмотреть сообщение
                                              to malotavr
                                              по iso 18044
                                              п. 8.5.5
                                              - анализ журналов регистрации...
                                              - анализ электронной почты....
                                              - определение деятельности пользователя...

                                              или этот пункт для общего развития включен?
                                              Убедили, читал невнимательно

                                              Комментарий


                                              • #24
                                                ПО "Автоматизация оценки соответствия ИБ кредитных организаций требованиям стандарта Банка России СТО БР ИББС-1.0-2006".

                                                Само ПО : http://www.pacifica.ru/product/eval_soft.php
                                                Описание : http://www.pacifica.ru/dossHelp/index.html

                                                Комментарий


                                                • #25
                                                  box_roller,мы такой написали для себя сразу же после прочтения стандарта за пару дней.
                                                  Чем больше связей, тем меньше степеней свободы.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Чернушка Посмотреть сообщение
                                                    box_roller,мы такой написали для себя сразу же после прочтения стандарта за пару дней.
                                                    Данная информация без ссылки на ПО мало пригодна для публичного форума.
                                                    Может выложите упомянутое ПО?

                                                    Комментарий


                                                    • #27
                                                      Сообщение от barmalei Посмотреть сообщение
                                                      ПИКс и циски не могут закрыть этот пункт, т.к. не обладают средствами защиты от спами и достойными средствами URL-фильтрации.
                                                      Не люблю заниматься своей рекламой, но... у нас со спамом борется CSC-SSM для ASA и IronPort E-Mail Securiry Appliance. URL-фильтрация за счет CSC-SSM, IronPort Web Security Appliance, ICAP/WCCP в ASA/Pix/IOS. Ну и т.д.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от barmalei Посмотреть сообщение
                                                        Да соглашусь софт бывает разный, но так же бывает софт хороший и плохой.
                                                        Я предлагаю для каждого пункта стандарта который требует софт - вписывать софт который мог бы быть использован для закрытия этого пункта. С комментариями.
                                                        Знаю банк, где многие вещи просто закрыты доточенным своими силами opensource системами защиты. Тем же Snort и т.д. И они нормально выполняют требования стандарта ЦБ. И цена ЛИЦЕНЗИЙ на защитный софт почти нулевая. TCO конечно повыше, чем у обычного софта, но все-таки. Список софта будет почти бесконечным и единства никогда не будет ;-(

                                                        Комментарий


                                                        • #29
                                                          Поддерживаю Бармалея!

                                                          Комментарий


                                                          • #30
                                                            Цель поста сформировал - определить список ПО необходимый для соответсвия ИББС и посчитать ориентировочную стоимость внедрения ПО в банк среднего масштаба. Если набереться много участником - будет очень интересно, какой у нас получиться бюджет
                                                            Что подразумевать под банком среднего масштаба?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X