Член АРСИБ Николай Носов: «ЦБ поможет банкам осознать опасность утечек»

01.06.2016

Коллеги, представляем вашему вниманию статью члена АРСИБ Николая Носова о мерах предотвращения утечек информации в банковской сфере. Оригинал был опубликован на сайте издания PC Week/RE 30 мая 2016 года.


 Центробанк продолжает работы, направленные на обеспечение информационной безопасности банковской системы. С первого мая вступили в действия рекомендации в области стандартизации Банка России РС БР ИББС-2.9-2016 «Предотвращение утечек информации», которые дополнили действующий сейчас стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0).

Этот документ — приятная новость для разработчиков DLP-систем. Он может существенно повлиять на рынок ИБ в банковской сфере. Документ является и хорошим подспорьем для служб ИБ банков. Не надо в каждом банке изобретать велосипед. Достаточно взять стандарт РС БР ИББС-2.9-2016 и на его базе разработать политику по утечкам, регламенты и инструкции.

Большое внимание в рекомендациях уделяется внутренним нарушителям. В документе говорится: «Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ и (или) ее клиентам в части возможного нарушения конфиденциальности обрабатываемой информации обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации, — возможные внутренние нарушители информационной безопасности». С этим трудно спорить. Особенно после серии успешных атак на наши банки.


Тема утечек — очень актуальная, особенно в условиях кризиса и снижения реальной зарплаты, когда лояльность сотрудников падает. Да и увольняемые сотрудники представляют угрозу и вполне могут прихватить с собой часть конфиденциальной информации банка. Так что проблема есть, и появление нового стандарта является весьма своевременным.

Документ активно обсуждается в профессиональной среде. Ему было уделено большое внимание и на круглом столе, проведенном 26 мая компанией InfoWatch. В целом — оценка документа положительная. «В нем отлично проанализированы как технические решения, связанные с защитой информации, так и организационные процессы. Как показывает практика, одно без другого просто не работает. Стандарт красиво и грамотно расставляет необходимые акценты, — отметила Мария Воронова, ведущий эксперт InfoWatch по ИБ. — Революционным является то, что Банк России рекомендует контролировать информацию не только внутри своего периметра, но также отслеживать, что попадает в общедоступные источники, например, в Интернет, и регулярно мониторить наличие там своей информации конфиденциального характера, в том числе и в соцсетях».

В стандарте впервые определены каналы потенциальных утечек банка:

· передача информации за пределы контролируемой информационной инфраструктуры организации с применением электронной почты, интернет-сервисов и беспроводных сетей, в том числе социальных сетей и форумов;

· размещение информации конфиденциального характера на объекте информационной инфраструктуры организации, не предназначенном для ее хранения;

· удаленный доступ к информационной инфраструктуре организации через Интернет;

· копирование информации на переносные носители информации;

· передача информации за пределы объектов организации с использованием факсимильной, телефонной и телетайпной связи;

· печать или копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации или передачей с использованием факсимильной связи;

· использование или утеря за пределами информационной инфраструктуры организации переносных носителей информации и портативных средств вычислительной техники;

· вынос средств вычислительной техники за пределы организации, в том числе для технического обслуживания, ремонта или утилизации;

· визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.


Особое внимание Марии Вороновой привлекло упоминание мобильной связи как канала утечки информации. «В последнее время грань между корпоративным и личным стирается и у многих сотрудников, в том числе и банковского сектора, корпоративная почта находится на мобильных устройствах. Помимо всего прочего хочу отметить, что Банк России рекомендует контролировать и телефонные каналы», — отметила она.

Банк России предлагает защищать мобильные телефоны используя MDM-решения. При этом рекомендуется разделить корпоративное и личное и установить запрет для сотрудников на обработку личной информации с использованием корпоративных ресурсов.

На что еще обратили внимание эксперты? В документе предложена простая модель категоризации возможных внутренних нарушителей — легитимных пользователей банка, обладающих той или иной степенью полномочий. Дается четыре категории. Первая — сотрудники банка, среди которых выделяются доверенные пользователи — высшее руководство, пользователи-сотрудники банка и пользователи «в зоне риска». Вторая категория — эксплуатационный персонал (обслуживание АБС и других ИТ-систем). Третья — технический персонал. Четвертая — подрядчики на договорной основе (аутсорсинг) и представители власти.

Важно не только знать, кто может стать нарушителем, но и понимать, что нужно защищать. Защита — это деньги и ресурсы. Нельзя защитить все. Да зачастую и не нужно. Нужно оценивать риски и выбирать объекты защиты и требуемый уровень.

Стандарт предлагает составить перечень активов и объектов среды, подлежащих учету. Провести их маркировку и грифование, решить вопросы распределения ответственности, безопасного уничтожения ненужной информации. Рекомендует документировать и обеспечивать выполнение работниками правил обработки информации конфиденциального характера.

В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:

— базы данных;

— сетевые файловые ресурсы;

— виртуальные машины, предназначенные для размещения серверных компонентов АБС;

— виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатирующего персонала;

— ресурсы доступа, относящиеся к сервисам электронной почты;

— ресурсы доступа, относящиеся к веб-сервисам.

Тем банкам, которые и так уделяют большое внимание обеспечению своей ИБ, стандарт поможет еще раз проанализировать свои системы и понять, чего не хватает.


Есть банки, в которых специалисты по ИБ понимают важность DLP-систем, но им не хватает аргументов перед руководством для выделения бюджета. Этот стандарт дает такие аргументы, несмотря на то что носит рекомендательный характер. Потому что то, что сначала у Центробанка носит рекомендательный характер, через какое-то время становится предметом для проверок.

Есть банки, которые и не задумываются, что утечки для них могут стать реальной угрозой. Стандарт поможет им об этом задуматься.

Есть компании, которые уже столкнулись с серьезными проблемами, вызванными утечками информации. Они готовы внедрять системы и делать это быстро. Стандарт поможет им объединить системы, обеспечивающие предотвращение утечек, соответствующие организационные процессы (идентификация и классификация информационных активов, создание перечня конфиденциальной информации, учет объектов среды информационных активов, построение модели угроз, организационные меры) и технические решения (мониторинг и контроль потенциальных каналов утечки информации конфиденциального характера, мониторинг публикаций информации конфиденциального характера в открытых источниках).

Президент InfoWatch Наталья Касперская отметила, что безопасность должна быть не только на бумаге. Политики, инструкции, регламенты — это важно, но главное — практическая реализация всех положений, написанных на бумагах. В том числе и присутствующими на рынке техническими средствами.


Лица Правления АРСИБ

Весь состав Правления АРСИБ
Минин Виктор Владимирович

Минин Виктор Владимирович

Председатель правления АРСИБ

Терешков Михаил Андреевич

Терешков Михаил Андреевич

МОО "АРСИБ"

член АРСИБ

Тулешов Иван Павлович

Тулешов Иван Павлович

МОО "АРСИБ"

член АРСИБ

Кашаев Михаил Витальевич

Кашаев Михаил Витальевич

МОО "АРСИБ"

член АРСИБ

Партнеры АРСИБ

Информационные партнеры

Мы используем онлайн-офис ONLYOFFICE™ Яндекс.Метрика