В этой статье мы определим суть требований изложенных в постановлении №95 Национального Банка Украины от 28 сентября 2017 года. Данный документ регламентирует требования к организации мероприятий по обеспечению информационной безопасности в банковской среде Украины. Помимо этого, мы попытаемся понять предпосылки и своевременность появления данного положения, а также сравним его требования с другими подобными европейскими и мировыми нормами.
Современные тенденции развития банковского сектора предполагают наличие широчайшего спектра услуг предоставляемых потребителям, которые они получают в реальном времени. Хорошо развитая конкуренция не позволяет получать большую маржинальность. Значит, успешно функционировать при таких условиях возможно только при эффективном и широком применении автоматизированных компьютерных систем и средств.
Повсеместная компьютеризация, помимо удобств, имеет и недостатки, т.к. корпоративная инфраструктура подвержена удаленным анонимным атакам. Разнообразие видов и целей атак постоянно увеличивается. Все об этом наслышаны, но, к сожалению, вопросы кибербезопасности были подняты на качественно новый уровень только после масштабной хакерской атаки на предприятия и учреждения Украины в 2017 году.
Вот мы и разобрались с глобальными предпосылками появления Положения №95 от НБУ и что конкретно послужило триггером этого процесса.
Давайте пошагово разберем весь документ и определим несет он пользу или только головную боль для сотрудников банка.
I. Общие положения
Первые 7 пунктов описывают сам документ, его назначение, область действия и терминологию. Они носят информационный характер.
Пункт 8: Банк обязан внедрить систему управления информационной безопасностью (Далее — СУИБ).
Давайте разберемся, что это такое. Сразу в голову приходит некое универсальное программное средство, которое решит все проблемы информационной безопасности, но авторы постановления имеют в виду некий набор связанных между собой документов. Об этом говорит пункт 22.
22. Банк имеет право разрабатывать документы СУИБ в форме отдельных документов или объединенных по типу (тематике) в Общие документы, С указанием в них разделов, которые отвечают определенным направлениям (вопросам) информационной безопасности.
СУИБ — часть общей системы управления, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности банков.
Система менеджмента включает в себя организационную структуру, политику, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.
Стандарты СУИБ носят управленческий характер и направлены на внедрение процессов, позволяющих обеспечить надлежащий уровень информационной безопасности банка.
Пункт 9: Должен быть внедрен процессный и риск-ориентированный подход.
Процессный подход к организации и анализу деятельности компании, основан на выделении и рассмотрении ее бизнес-процессов, каждый из которых взаимосвязан с другими бизнес-процессами компании или внешним миром.
Риск-ориентированный подход позволяет выбрать из огромного количества требований, предписаний и средств защиты информации те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям. Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, которые влияют на возможность осуществления угроз безопасности, и степени воздействия этих угроз на бизнес.
Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов.
Пункт 11: Банк обязан сформировать коллективный руководящий орган по вопросам внедрения и функционирования СУИБ, разработать положение, в котором определить задачи, функции и обязанности данного органа.
Пункт 13: Национальный банк имеет право осуществлять проверку состояния внедренияе СУИБ банка и полноту выполнения мер безопасности информации, установленныхе настоящим Положением.
Данная формулировка не дает четкий ответ на вопросы о регулярности проверок и степени ответственности за полное или частичное несоблюдение данного Положения.
| Читайте также: Что следует знать о безопасности корпоративных Wi-Fi сетей
II. Требования по внедрению СУИБ
Пункт 17: Банк обязан разработать и внедрить политику информационной безопасности.
Пункт 20: Банк обязан разработать и утвердить стратегию развития информационной безопасности.
III. Криптографическая защита информации в информационных системах НБУ
Пункты 23 и 24 говорят нам, что с информационными системами Национального банка Украины надо работать с почтением, а именно не DDoS-ить их, использовать шифрование, следить за аккаунтами. Пункты носят информативный характер, т.к. если не использовать шифрование, которое требует НБУ, то возникнут проблемы с подключением, а при пренебрежении другими предостережениями можно вообще “потерять” доступ к этим системам.
IV. Меры по обеспечению безопасности информации
Пункт 25: Банк обязан назначить лицо ответственное за информационную безопасность банка (Chief information security officer, CISO), которое имеет полномочия, достаточные для принятия управленческих решений (должность не ниже заместителя председателя правления банка).
Пункт 26: Банк обязан сформировать подразделение по информационной безопасности не менее чем из двух работников из состава штатных работников банка. Данное подразделение непосредственно подчиняется ответственному за информационную безопасность банка.
Пункты 27-29 регламентируют функции и взаимоотношения подразделений банка, вовлеченных в процессы, связанные с информационной безопасностью.
Подразделение по информационной безопасности банка должно осуществлять разработку требований и осуществлять контроль за выполнением мероприятий по обеспечению безопасности информации.
Работникам подразделения ИБ и CISO запрещается иметь полномочия по разработке, производству, администрированию и эксплуатации информационных систем банка, кроме тех, которые используются для обеспечения безопасности информации.
Подразделению информационных технологий банка запрещается быть владельцем информационных систем банка, которые непосредственно обеспечивают автоматизацию банковской деятельности.
Последний абзац может быть интерпретирован неоднозначно.
Пункты 30-33 беспокоятся о том, чтобы работники были ознакомлены с политикой информационной безопасности, которая разработана в пункте 17. В контракте с сотрудником должны быть отражены обязанности по соблюдению ИБ. Также банк должен ознакамливать работников с внутренними документами по ИБ и обучать их в данном направлении.
Пункты 34-35 регламентируют работу со сменными носителями.
Что!? Сменные носители в банке? Так это же гигантский источник уязвимостей в информационной безопасности банка. На простой флешке возможно вынести информацию по всем клиентам и их операциям за все время существования банка и еще место останется. Даже если нет желания идти на преступление, то можно случайно принести полную охапку зловредов.
Совет один: запретить все сменные носители, а порты отключить, если они не нужны, например для ЭЦП. Весь документооборот осуществлять в рамках специальной системы или по электронной почте.
| Читайте также: Социальная инженерия: как это работает
Пункты 36: Банк обязан разработать и утвердить внутренние документы, устанавливающие требования по использованию, предоставлению, отмене и контролю доступа к информационным системам банка.
Пункт 45: Банк обязан разработать и утвердить документы, описывающие процесс управления криптографическими ключами.
Пункты 46-57: определяют конкретные требования и параметры использования криптографических алгоритмов в банке.
Пункты 58-60: описывают требования к структурированной кабельной системе (СКС).
В пунктах 61-68 подробно изложены требования к антивирусному программному обеспечению (ПО) и его обновлениям.
Пункты 69-70: Операционные системы и ПО должны поддерживаться производителем, т.е. иметь актуальные версии.
Сие означает, что пиратские версии антивирусников и устаревшая операционная система Windows XP не должны использоваться в банке.
Пункт 75: Банк обязан поддерживать в актуальном состоянии перечень ПО, используемого в банке.
Пункт 77: Банк обязан разработать и утвердить процесс управления обновлениями. Данный процесс должен содержать следующие стадии:
- подготовка тестовой среды (тестовых клиентов);
- подготовка перечня обновлений;
- применение обновлений в тестовой среде;
- применение обновлений на пилотной группе пользователей;
- применение протестированных обновлений.
Данный пункт особенно важен, т.к. это простой и эффективный способ выявлять на ранних стадиях проблемные обновления и попытки атак на банковскую инфраструктуру.
Хотелось бы отметить, что тестовая среда должна быть изолированной от рабочей среды банка.
Пункты 78-82 описывают требования к ПО систем управления базами данных (СУБД) и серверам баз данных (БД).
Пункты 83-88 описывают повышенные требования к рабочим станциям и учетным записям (парольной политике) администраторов и других привилегированных пользователей.
Пункты 89-107 описывают требования к сети, сетевому оборудованию, кабельной системе, а также необходимость построения единого места управления сетью, поддержания документации в актуальном состоянии.
Пункт 108. Банк обязан выполнять проверку эффективности мер защиты периметра сети банка путем выполнения периодических тестов на проникновения.
Кто должен делать эту проверку?
Пункты 109-111 об использовании электронной цифровой подписи только от аккредитованных центров сертификации ключей.
Пункты 112-114: Не за что не догадаетесь, о чем тут пойдет речь. А она идет о контроле за МФУ (устройствами, сочетающими в себе функции принтера, сканера, факсимильного устройства, копировального модуля), факсами и другой телекоммуникационной техникой.
Также надо взять под контроль оборот в банке кофемашин и чайников ). Ну а если серьезно, то каждый сотрудник банка обладает полным шпионским набором, который может фотографировать, записывать звук и видео, а отправка любых данных может быть осуществлена за считанные минуты. Догадались? Речь идет об обычном мобильном телефоне, а вот контроль над ними не регламентирован в документе.
Пункты 115-116: про телефонную связь.
Пункты 117-123: про сервера и требования к программному обеспечению серверов электронной почты.
Пункты 124-129: регламентируют порядок тестирования, документирования, ввода в эксплуатацию нового программного обеспечения и порядок вывода из эксплуатации информационных систем банка.
Финальные пункты (130-132) 4-го раздела описывают порядок фиксации инцидентов безопасности информации.
| Читайте также: BYOD: о будущем лучше подумать сегодня
V. Дополнительные меры безопасности информации
Последние 18 пунктов включают:
- запрет использования радиотелефонов без шифрования,
- регламент по использованию сменных носителей,
- требования по применению централизованных систем управления учетными записями пользователей, обновлению безопасности для операционных систем, учета инцидентов безопасности информации,
- порядок маркировки и документирования элементов СКС,
- рекомендации по распределению серверов и наличию промежуточного сервера для усложнения проникновения злоумышленниками в сеть банка,
- пункт про необходимость борьбы с DoS/DDoS-атаками,
- требования использования сертификатов открытых ключей.
Напомню, что дополнительные меры безопасности должны быть внедрены до 1 сентября 2019 года, а первый этап мероприятий должен быть проведен до 1 марта 2018 года.
Через весь документ проходят ряд вопросов, на которые стоит отдельно обратить внимание:
- конфликт интересов, разделение ответственности между отделами,
- запрет единоличного принятия решений в сфере ИБ,
- принцип предоставления минимального уровня полномочий, все, что не разрешено, то запрещено,
- периодические самопроверки и актуализация данных,
- протоколирование доступа к ресурсам, изменений привилегий доступа,
- использование криптографических средств для защиты информации,
- программные средства должны быть последних версий,
- централизованное управление: временем, обновлениями ПО, параметрами контроллера домена.
| Читайте также: Вирус-шифровальщик – платить или нет
Отдельное слово о многофакторной аутентификации в документе.
Не будем скрывать, вопрос строгой аутентификации для компании Протектимус, которая является поставщиком решений многофакторной аутентификации полного цикла, очень интересен. Данный вопрос рассматривается в следующих пунктах документа: 3, 40, 88, 103, 147.
3.1. Многофакторная аутентификация — аутентификация, которая осуществляется с помощью защищенных механизмов двух или более типов (пароль+токен или биометрия+пароль).
40. Банк обязан использовать механизмы многофакторной аутентификации при предоставлении доступа для выполнения функций администрирования или сопровождения системы автоматизации банка (САБ).
88. Банк обязан определить и ввести усиленные требования по парольной политике для привилегированных учетных записей или применять многофакторную аутентификации для таких учетных записей.
103. Банк обязан применять такие меры безопасности информации как многофакторная аутентификация пользователей для организации удаленного доступа к информационным системам банка.
Это касается только работников банка или пользователей тоже?
147. Банк обязан использовать механизмы многофакторной аутентификации при предоставлении доступа к САБ.
Резюмируя данные требования, можно заключить, что сотрудники, которые имеют привилегированные учетные записи и/или администрируют САБ, а также получают удаленный доступ к системам банка, должны использовать многофакторную аутентификацию. На втором этапе (с 1 сентября 2019 года), все сотрудники работающие с САБ должны быть подвергнуты строгой аутентификации.
| Читайте также: Одноразовые пароли: алгоритмы генерации и обзор основных видов токенов
Был ли толк в этом документе?
Беспорно, Постановление НБУ №95 об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины несет разумные и необходимые требования к организации безопасности банков. Стоит отметить, что в документе есть и недоработки, например, не описаны требования по эксплуатации корпоративных и личных смартфонов, а они могут нести куда большую угрозу, чем факсы и МФУ. Но тут есть риск, если включить еще дополнительные требования в документ, то их все за один-два этапа будет очень сложно реализовать.
Уверен, что недостатки будут учтены в следующих версиях документа и тут подойдет цитата “Не ошибается тот, кто ничего не делает…”
Также хочу отметить, что добросовестное выполнение требований данного документа сделало бы невозможным организацию кибератаки, которая имела место в 2017 году.
Вопросы, которые остаются открытыми:
- Какие будут требования к провайдерам кибербезопасности, которые будут иметь право поставлять свои услуги в корпоративный или гос. сектор?
- Кто будет проверять соответствие данным требованиям?
- Не превратится ли этот процесс в банальную бюрократию и формализм и как следствие в выкачивание средств из поставщиков ПО, которое потом ляжет дополнительным бременем на банки, повысит стоимость их услуг?
И помните: устойчивое развитие систем информационной безопасности возможно только в случае наличия необходимых ресурсов, в том числе финансовых.
Дополнительные материалы:
- Постановление НБУ №95
- Побудова системи управління інформаційною безпекою (СУІБ)
- Еще раз о преимуществах риск-ориентированного подхода к управлению информационной безопасностью
- Вирус Petya.A — как это было
- Подпись данных в деталях
- Кража денег с банковских карт — самые распространенные способы
- Visa повышает ответственность банков перед клиентами
- Двухфакторная аутентификация в стандарте PCI DSS
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
12-06-2018
Согласен, хороший документ. Чувствуется что сам нбу к нему шел не один год.
Порадовали пункты 34,35. Кто в теме тот знает почему они присутствуют.)
77-й актуально. Но практика показала что в центре редко удается собрать тестовый бутерброд. Потому падения после автопатчей были, есть и будут.(( Медок скорее всего тоже тестировали).
Ну а 108-й вообще песня!