Информационная безопасность банков (соответствие стандартам ГОСТ Р 57580.1 – 2017 и ГОСТ Р 57580.2 – 2018)

Информационная безопасность — один из важнейших вопросов для банков. И не только потому, что контролирующие органы уделяют им особое внимание. Дело в том, что информационная защита непосредственно влияет на финансовые показатели. Кроме того, с 1 сентября вступят в действие ГОСТ Р 57580.1 — 2017 и ГОСТ Р 57580.2 — 2018. Как подготовиться к этому моменту с помощью системы Staffcop Enterprise?

ГОСТ Р 57580.1 — 2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2 — 2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» предписывают банкам многочисленные меры, которые, с одной стороны, помогают организовать систему информационной защиты, с другой стороны, сами по себе достаточно сложные и требуют применения технологических и программных средств. В ГОСТ Р 57580.1 — 2017 приводится 8 процессов, которые отражают различные аспекты защиты информации:

процесс 1 «Обеспечение защиты информации при управлении доступом»:

• управление учетными записями и правами субъектов логического доступа;
• идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа;
• защита информации при осуществлении физического доступа;
• идентификация, классификация и учет ресурсов и объектов доступа;

процесс 2 «Обеспечение защиты вычислительных сетей»:

• сегментация и межсетевое экранирование вычислительных сетей;
• выявление сетевых вторжений и атак:
• защита информации, передаваемой по вычислительным сетям;
• защита беспроводных сетей;

процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»

процесс 4 «Защита от вредоносного кода»;

процесс 5 «Предотвращение утечек информации»;

процесс 6 «Управление инцидентами защиты информации»:

• мониторинг и анализ событий защиты информации;
• обнаружение инцидентов защиты информации и реагирование на них;

процесс 7 «Защита среды виртуализации»;

процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».

С помощью системы мониторинга Staffcop Enterprise финансовые организации могут выполнять требования ГОСТа по процессам 5, 6 и 8.

Процесс 5 «Предотвращение утечек информации» предписывает банкам:

• блокирование неразрешенных к использованию и контроль разрешенных к использованию потенциальных каналов утечки информации;
• контроль (анализ) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации:
• организацию защиты машинных носителей информации (МНИ);
• регистрацию событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации.

Система мониторинга Staffcop Enterprise — это программный комплекс для решения задач информационной безопасности. Он дает возможность мониторить движение информации внутри компании, а также при обмене информации с адресатами за пределами компании. С помощью системы Staffcop Enterprise можно блокировать особо важные документы для отдельных категорий пользователей. Кроме того, документы конфиденциального характера, отмеченные специальными метками, могут быть заблокированы для перемещения, отправки по электронной почте, вывода на печать, записи на съемные носители;пр. Также система классифицирует сетевые ресурсы с целью определения типов сайтов, на основе которых сайты и мессенджеры блокируются или являются доступными. Протоколы сетевого взаимодействия, используемые для взаимодействия с сетью и электронной почтой, также подлежат классификации на разрешенные и запрещенные. В системе создается единый архив электронных сообщений с настраиваемым сроком архивного и оперативного доступа. запуск и установка программного обеспечения кем-либо, кроме определенного круга людей (системных администраторов). Для той корреспонденции и документации, которая относится к категории разрешенной, действует контент-анализ: система анализирует содержание документов и применяет к ним тот или иной уровень контроля, фиксирует вывод на печать и запись на съемные носители, контролирует доступ к устройствам печати по паролям или персональным карточкам доступа. И в любом случае система полностью контролирует, кто, когда и куда направил тот или иной документ, а также регистрирует посещение каких бы то ни было сайтов, вывода документов на печать, использования портов ввода-вывода информации, фиксирует результаты контентного анализа.

Процесс 6 «Управление инцидентами защиты информации»

С помощью такой системы мониторинга любое движение информации станет известно сотруднику отдела безопасности. Таким образом, будет собрана вся информация для выполнения процесса 6: служба безопасности сможет восстановить как движение документов, так и вовлеченных сотрудников. А учитывая, что злоумышленники, как правило, дублируют информацию по нескольким каналам, можно с уверенностью сказать, что ни один инцидент не пройдет незамеченным. Так, система сможет восстановить всю последовательность действий, чтобы выяснить, кто и кому отправил информацию, и какую именно:

• Что именно делали сотрудники с привилегированным доступом, не злоупотребили ли они своим положением;
• Кто и когда создавал файлы на флешках и вообще использовал флешки и другие съемные носители, с указанием даты, времени и других технических параметров и идентификаторов устройства;
• Когда работники выходили в Интернет, какие сайты посещали и сколько времени там проводили;
• Все движения информации, которые могут быть связаны с нарушением режима безопасности.

Когда сотрудники работают в Интернете, изображения их экранов сохраняются с заданной частотой, а информация, которую они отправляют, копируется (создаются так называемые теневые копии). Так же копируется информация, которую записывают на съемные носители, и проводится анализ контента. Сигнал о несанкционированных действиях поступает оперативным сотрудникам, так что они смогут в случае необходимости принять экстренные меры. Всё это позволяет компании проследить движение информации во всех подробностях и установить степень вины сотрудника, нарушившего режим безопасности. При этом контент в системе Staffcop Enterprise не блокируется.

Процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»

Для выполнения этого процесса в системе Staffcop Enterprise предусмотрены возможности администрирования рабочих мест и инвентаризации компьютеров. Администрирование рабочих мест может производиться как с уведомлением, так и без уведомления пользователя, то есть можно в критической ситуации перехватить управление компьютером. Эта функция удобна как для ИТ-специалистов, так и для службы ИБ. Что касается инвентаризации компьютеров, можно получить полную картину использования программных продуктов и аппаратного обеспечения. Оно анализируется как на предмет интенсивности использования, так и с точки зрения архива состояний.

Требования предписывают банкам устанавливать системы DLP, блокирующие контент в случае нарушения. Но DLP — дорогая система, и ее лучше устанавливать на особо критичные рабочие места. Такие места определяются в ходе аудита, который можно провести во время тестового периода. Такой период мы предоставляем финансовым организациям сроком на три месяца. Это делается для того, чтобы можно было оценить, насколько информативны отчеты, предоставляемые системой, и насколько удобно с ней работать в рабочих режимах. Во время тестового периода вы сможете подвергнуть вашу систему безопасности аудиту:

• вы узнаете, какие информационные риски грозят вашей системе безопасности;
• сможете наметить оптимальную конфигурацию будущей системы;
• поймете, на какие рабочие места следует установить DLP-систему.