Обзор Стандарта Банка России версии 1.3. Основные положения и советы по применению

Недавно Банк России выпустил новый стандарт по обеспечению информационной безопасности при осуществлении переводов денежных средств (СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств»).

Данный стандарт вступил в действие 1 января 2017 года и касается всех организаций банковской сферы Российской Федерации, которые занимаются переводами денежных средств, а также операторов платежной инфраструктуры. СТО БР ИББС-1.3-2016 является логическим продолжением семейства отраслевых стандартов, выпущенных регулятором в банковской сфере РФ за последнее время (Комплекс БР ИББС).

Полезная информация в Стандарте для ИБ-специалиста

Как хорошо известно, многие нормативные документы, подготавливаемые регуляторами в области информационной безопасности, мало помогают практикам «на местах». Но, проанализировав данный документ, мы обнаружили немало полезных моментов для специалиста в сфере расследования инцидентов информационной безопасности в БС РФ.

Если в предыдущих Стандартах, например, СТО БР ИББС-1.0 и др., определены общие положения о деятельности по выявлению инцидентов информационной безопасности и реагированию на инциденты ИБ, то в данном стандарте упор делается на конкретные методики расследования инцидентов, именно при осуществлении переводов денежных средств.

В Стандарте классифицированы основные виды инцидентов ИБ, которые возможны в БС РФ, а именно: инциденты, связанные с несанкционированным доступом к инфраструктуре клиента, спам-рассылки и социальный инжиниринг, атаки типа «отказ в обслуживании» (DDOS-атаки), воздействие компьютерных вирусов на информационную инфраструктуру банка, внутренние инциденты с участием инсайдеров и т.д.

Хочется отметить, что в этом документе уделяется большое внимание противодействию мошенничеству в системах дистанционного банковского обслуживания (ДБО). Как следует из аналитики по зафиксированным инцидентам ИБ, в последнее время ущерб организаций БС от атак на системы ДБО значительно вырос и может достигать нескольких миллионов рублей. Причем риск возникновения таких инцидентов зависит не от вида программного обеспечения, применяемого в ДБО, а от степени защищенности информационной системы банка и соблюдения персоналом банка «Политики безопасности организации».

Для специалиста по информационной безопасности будет полезным ряд инструкций, например, инструкция по осуществлению сбора и анализа технической информации, причем, как в «режиме ежедневной работы» (т.е. до совершения инцидента), так и в случае, когда инцидент уже произошел. В качестве приложений к Стандарту даны образцы протоколов обработки технических данных, протоколы создания криминалистической копии жесткого диска и т.д. Регулятором детально прописаны инструкции по реагированию на инциденты ИБ в системах ДБО, предложен перечень программного обеспечения для сбора и обработки технических данных, которые необходимо знать специалистам служб ИБ банковской сферы, ответственным как за предотвращение инцидентов ИБ, так и расследование уже свершившихся инцидентов.

Следует принять к сведению, что непосредственно реализация системы менеджмента инцидентов ИБ детально описана в РС БР ИББС-2.5, а вот сама методика сбора и анализа технических данных изложена регулятором именно в данном Стандарте.

СТО БР ИББС-1.3-2016 в системе IRP R-Vision

Ряд положений СТО БР ИББС-1.3-2016 уже реализован в системе R-Vision IRP. Прежде всего, система позволяет осуществлять документирование обзорной информации об инцидентах ИБ. Каждому инциденту соответствует отдельная запись, благодаря чему технические данные и протоколы их сбора могут быть прикреплены к каждому конкретному инциденту в виде свидетельств. Категории инцидентов, способы их реализации, а также поля описания, требуемые Стандартом, заносятся в систему при помощи гибкой структуры настроек профиля инцидентов. Впоследствии они будут отображены в качестве возможных вариантов выбора при заполнении описания инцидента. В случае необходимости пользователь может создать шаблоны с предустановленным значением отдельных полей или задать условия для их автоматического ввода в правилах автозаполнения. Данные функции упрощают регистрацию инцидентов, освобождая часть времени ответственных лиц для выполнения других задач.

Раздел «Документы» системы R-Vision IRP обеспечит централизованное хранение общих регламентов, инструкций и положений, упоминаемых в Стандарте, с возможностью настройки прав доступа для каждого конкретного пользователя.

Мероприятия по сбору, обработке и анализу технических данных могут быть оформлены в виде отдельных задач с указанием их уровня критичности, сроков исполнения и ответственного лица. Пользователю доступны два варианта реализации данной функции: при помощи занесения мероприятий в раздел «Задачи» вручную и посредством добавления новой записи в раздел свойств инцидента «Предпринятые действия». В первом случае задачу может создать любой пользователь, но она не будет привязана к конкретному инциденту. Действия, напротив, имеют строгую привязку к отдельным инцидентам и могут контролироваться как непосредственно из их профиля, так и из раздела «Задачи». Дополнительная функция «Правила реагирования» позволит автоматически добавлять действия к инцидентам в соответствии с заданными пользователем условиями.

Автоматическая регистрация событий ИБ, необходимых для поиска и анализа семантической информации, осуществляется посредством интеграции с SIEM системами, такими как QRadar и Arcsight, а интеграция со сканерами уязвимостей, антивирусными системами и другими средствами защиты (Infowatch Device Monitor, Kaspersky Security Center, MaxPatrol, Nessus, Qualys и др.) позволяет отслеживать появление уязвимостей и изменений в информационной инфраструктуре, а также контролировать фактический состав технических средств и систем.

Наконец, специальный функционал создания схем взаимосвязей может использоваться аналитиками для визуализации и реконструкции сетевых взаимодействий различных объектов системы при реализации рекомендаций СТО БР ИББС-1.3-2016 по выделению содержательной информации.

В заключении хочется отметить, что положения СТО БР ИББС-1.3-2016 пока носят рекомендательный характер, обязательность применения Стандарта будет устанавливаться договорами, заключенными организациями БС РФ.

Поделиться записью:
Scroll Up