Центробанк продолжает работы, направленные на обеспечение информационной безопасности банковской системы. С первого мая вступили в действия рекомендации в области стандартизации Банка России РС БР ИББС-2.9-2016 «Предотвращение утечек информации», которые дополнили действующий сейчас стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0).
Этот документ — приятная новость для разработчиков DLP-систем. Он может существенно повлиять на рынок ИБ в банковской сфере. Документ является и хорошим подспорьем для служб ИБ банков. Не надо в каждом банке изобретать велосипед. Достаточно взять стандарт РС БР ИББС-2.9-2016 и на его базе разработать политику по утечкам, регламенты и инструкции.
Большое внимание в рекомендациях уделяется внутренним нарушителям. В документе говорится: «Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ и (или) ее клиентам в части возможного нарушения конфиденциальности обрабатываемой информации обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации, — возможные внутренние нарушители информационной безопасности». С этим трудно спорить. Особенно после серии успешных атак на наши банки.
Тема утечек — очень актуальная, особенно в условиях кризиса и снижения реальной зарплаты, когда лояльность сотрудников падает. Да и увольняемые сотрудники представляют угрозу и вполне могут прихватить с собой часть конфиденциальной информации банка. Так что проблема есть, и появление нового стандарта является весьма своевременным.
Документ активно обсуждается в профессиональной среде. Ему было уделено большое внимание и на круглом столе, проведенном 26 мая компанией InfoWatch. В целом — оценка документа положительная. «В нем отлично проанализированы как технические решения, связанные с защитой информации, так и организационные процессы. Как показывает практика, одно без другого просто не работает. Стандарт красиво и грамотно расставляет необходимые акценты, — отметила Мария Воронова, ведущий эксперт InfoWatch по ИБ. — Революционным является то, что Банк России рекомендует контролировать информацию не только внутри своего периметра, но также отслеживать, что попадает в общедоступные источники, например, в Интернет, и регулярно мониторить наличие там своей информации конфиденциального характера, в том числе и в соцсетях».
В стандарте впервые определены каналы потенциальных утечек банка:
· передача информации за пределы контролируемой информационной инфраструктуры организации с применением электронной почты, интернет-сервисов и беспроводных сетей, в том числе социальных сетей и форумов;
· размещение информации конфиденциального характера на объекте информационной инфраструктуры организации, не предназначенном для ее хранения;
· удаленный доступ к информационной инфраструктуре организации через Интернет;
· копирование информации на переносные носители информации;
· передача информации за пределы объектов организации с использованием факсимильной, телефонной и телетайпной связи;
· печать или копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации или передачей с использованием факсимильной связи;
· использование или утеря за пределами информационной инфраструктуры организации переносных носителей информации и портативных средств вычислительной техники;
· вынос средств вычислительной техники за пределы организации, в том числе для технического обслуживания, ремонта или утилизации;
· визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.
Особое внимание Марии Вороновой привлекло упоминание мобильной связи как канала утечки информации. «В последнее время грань между корпоративным и личным стирается и у многих сотрудников, в том числе и банковского сектора, корпоративная почта находится на мобильных устройствах. Помимо всего прочего хочу отметить, что Банк России рекомендует контролировать и телефонные каналы», — отметила она.
Банк России предлагает защищать мобильные телефоны используя
На что еще обратили внимание эксперты? В документе предложена простая модель категоризации возможных внутренних нарушителей — легитимных пользователей банка, обладающих той или иной степенью полномочий. Дается четыре категории. Первая — сотрудники банка, среди которых выделяются доверенные пользователи — высшее руководство, пользователи-сотрудники банка и пользователи «в зоне риска». Вторая категория — эксплуатационный персонал (обслуживание АБС и других ИТ-систем). Третья — технический персонал. Четвертая — подрядчики на договорной основе (аутсорсинг) и представители власти.
Важно не только знать, кто может стать нарушителем, но и понимать, что нужно защищать. Защита — это деньги и ресурсы. Нельзя защитить все. Да зачастую и не нужно. Нужно оценивать риски и выбирать объекты защиты и требуемый уровень.
Стандарт предлагает составить перечень активов и объектов среды, подлежащих учету. Провести их маркировку и грифование, решить вопросы распределения ответственности, безопасного уничтожения ненужной информации. Рекомендует документировать и обеспечивать выполнение работниками правил обработки информации конфиденциального характера.
В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:
— базы данных;
— сетевые файловые ресурсы;
— виртуальные машины, предназначенные для размещения серверных компонентов АБС;
— виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатирующего персонала;
— ресурсы доступа, относящиеся к сервисам электронной почты;
— ресурсы доступа, относящиеся к веб-сервисам.
Тем банкам, которые и так уделяют большое внимание обеспечению своей ИБ, стандарт поможет еще раз проанализировать свои системы и понять, чего не хватает.
Есть банки, в которых специалисты по ИБ понимают важность DLP-систем, но им не хватает аргументов перед руководством для выделения бюджета. Этот стандарт дает такие аргументы, несмотря на то что носит рекомендательный характер. Потому что то, что сначала у Центробанка носит рекомендательный характер, через какое-то время становится предметом для проверок.
Есть банки, которые и не задумываются, что утечки для них могут стать реальной угрозой. Стандарт поможет им об этом задуматься.
Есть компании, которые уже столкнулись с серьезными проблемами, вызванными утечками информации. Они готовы внедрять системы и делать это быстро. Стандарт поможет им объединить системы, обеспечивающие предотвращение утечек, соответствующие организационные процессы (идентификация и классификация информационных активов, создание перечня конфиденциальной информации, учет объектов среды информационных активов, построение модели угроз, организационные меры) и технические решения (мониторинг и контроль потенциальных каналов утечки информации конфиденциального характера, мониторинг публикаций информации конфиденциального характера в открытых источниках).
Президент InfoWatch Наталья Касперская отметила, что безопасность должна быть не только на бумаге. Политики, инструкции, регламенты — это важно, но главное — практическая реализация всех положений, написанных на бумагах. В том числе и присутствующими на рынке техническими средствами.