Финансовые организации обладают большим количеством конфиденциальной информации, такой как персональные данные, сведения о финансовых транзакциях, банковские реквизиты, что делает их привлекательной целью для киберпреступников. Поэтому к безопасности инфраструктуры и данных таких организаций предъявляются строгие требования. Как с их исполнением поможет Efros DefOps?

Какие есть требования

Начнём с того, что в финансовой сфере существуют как общие требования к информационной безопасности, так и специфичные отраслевые. Эти требования и регламенты касаются и организационных мер, и технических, например, идентификации и аутентификации пользователей. Для финансовой сферы описаны требования по защите информации и информационных систем, требования к защите виртуализации, контролю целостности ПО, защите персональных данных, так как практически любой банк, а также его возможные подрядчики являются операторами информационных систем персональных данных (ИСПДн).

Основные документы, которые описывают требования к безопасности и защите данных, следующие:

• ГОСТ Р 57580.1-2017;

• СТО БР ИББС-1.0-2014;

• РС БР ИББС-2.8-2015;

• Приказ ФСТЭК России № 76 от 02.06.2020;

• Письмо Банка России от 30.01.2009 № 11-Т;

• Письмо Банка России от 08.07.2020 № ИН-01-56/110;

• Приказ ФСТЭК № 21 от 18.02.2013.

Как исполнять эти требования

Для исполнения требований в банках и других финансовых организациях применяются различные решения: это и ручные проверки, и автоматизированные, выполняемые с помощью программных продуктов.

В последнее время наблюдается тенденция на сознательный подход к вопросам информационной безопасности. Если раньше организации закрывали вопросы ИБ «на бумаге», то по ряду причин (например, увеличивающееся количество атак на объекты КИИ и банки в том числе) сейчас возрастает спрос на решения, которые могут предотвратить атаку или её развитие на ранней стадии. И тут многие организации используют комплексный подход, который включает в себя применение сразу нескольких методов и инструментов.

Один из таких инструментов – программный комплекс по защите системно-технической инфраструктуры Efros Defence Operations (Efros DefOps). Это многофункциональный комплекс, состоящий из нескольких функциональных подсистем (рис.1)

Чем поможет Efros Defence Operations

Рассмотрим несколько примеров требований, которые можно закрыть с помощью Efros DefOps.

Требования в СТО БР ИББС-1.0-2014

Обратимся к документу СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», а именно к требованию:

«В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети».

Эти процессы реализуются в ПК Efros DefOps с помощью EDO-агента (рис. 2), который устанавливается на конечных точках (АРМ), и модуля NAC. При первичном подключении к комплексу EDO NAC необходимо настроить правила / политики доступа и блокирования пользователей и устройств к сети. При этом прописываются правила аутентификации и авторизации устройств в сети.

Каждая политика настраивается с помощью правил с логическими операторами И/ИЛИ (рис. 3, 4). Например, можно настроить доступ для конечных устройств с ОС определённых версий. В дальнейшем, если на конечном устройстве меняются параметры версии ОС, то можно осуществлять отзыв доступных прав и блокировать доступ.

В том же СТО БР ИББС-1.0-2014 предъявляется и другое требование, которое в ПК Efros DefOps реализуется посредством подключения объектов защиты к модулю EDO ICC:

«В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры ограничения действий пользователей по изменению параметров настроек АБС и реализации контроля действий эксплуатационного персонала по изменению параметров настроек АБС».

Модуль ICC выявляет изменения в конфигурациях программного обеспечения, подключенного в качестве объекта защиты к комплексу, и сообщает о выявленных изменениях (несоответствиях с эталонной версией). Это осуществляется путём сравнения хеш-сумм эталонной и текущей версии файлов/параметров. Реализованная compliance-проверка политик безопасности прав доступа позволяет отслеживать ошибки в правах доступа и даёт возможность администратору проанализировать найденные ошибки в выданных правах и исправить их. Это, в свою очередь, позволяет предотвратить внутренние атаки, связанные с получением повышенных прав доступа.

На рис. 5 показан пример проверки корректной настройки прав для файлов пользовательских идентификаторов, групп и паролей. При некорректной настройке прав доступа пользователи могут получить доступ к критически важным файлам и директориям, списку пользователей и паролей, или возможность создания пользователя с правами администратора. Это может привести, к примеру, к краже данных или внутренней атаке.

Требования в стандарте Банка России РС БР ИББС-2.8-2015

Стандарт Банка России РС БР ИББС-2.8-2015 описывает меры по обеспечению информационной безопасности организаций банковской системы РФ при использовании технологии виртуализации. С помощью модуля ICC можно закрыть следующие меры:

1. «При создании базовых образов виртуальных машин рекомендуется проводить процедуры, необходимые для выполнения последующего контроля их целостности».

ПК EDO (модуль ICC) может осуществлять контроль целостности любых файлов и образов. Контроль целостности обеспечивается путём сравнения контрольных сумм файлов: при подключении объекта защиты к комплексу Efros собирает отчёты с хеш-суммами поставленных на контроль файлов, эти суммы принимаются за эталонные, после чего по предзаданному расписанию проходят периодические проверки по сравнению хеш-сумм эталонной версии и текущей версии. В случае выявления несоответствий администратор получает уведомление о нарушении целостности.

2. «Для каждого базового образа виртуальной машины рекомендуется выполнять регламентированные процедуры контроля:

~ соответствия настроек, включенных в образ программных компонентов СЗИ, требованиям, установленным эксплуатационной документацией;

~ целостности ПО, включенного в образ виртуальной машин».

С помощью модуля Efros ICC осуществляется контроль целостности любых текстовых файлов программного обеспечения, конфигурационных файлов, а также отдельных настроек для поддерживаемых типов объектов защиты (рис. 6, 7).

Также реализована возможность создания пользовательских compliance-проверок, что позволяет контролировать конфигурации устройств, для которых в комплексе не предусмотрено коробочных политик безопасности (рис. 8, 9).

Требования в приказах ФСТЭК

Если говорить о приказах ФСТЭК № 17, 21, 31, 239, то тут Efros также может стать одним из инструментов для выполнения таких требований, как УПД, РСБ, АНЗ, ОЦЛ, ЗСВ и др. Они выполняются за счёт не только автоматизированных compliance-проверок, но и возможностей контроля целостности ПО и неизменности конфигураций устройств, ведения и хранения журнала событий, анализа уязвимостей и построения векторов атак и других функций.

Вместо выводов

Как видно, ПК Efros DefOps может выступать в качестве инструмента комплексного подхода к обеспечению безопасности инфраструктуры финансовых организаций.

Сейчас в комплексе реализованы коробочные проверки для ОС, СУБД, АСО, среды виртуализации и контейнеризации, что позволяет автоматизировать проверки практически для всех типов устройств. А благодаря возможности добавления собственных требований безопасности можно выйти за рамки коробочных стандартов и расширить список требований в автоматизированных compliance-проверках для программного обеспечения.

О ПК Efros DefOps

Efros DefOps в текущем виде соответствует многим отраслевым требованиям по обеспечению информационной безопасности в организациях финансового сектора.

Преимущества:

• Сертифицирован ФСТЭК по 4 уровню доверия;

• Внесён в Единый реестр российских программ для электронных вычислительных машин и баз данных;

• Импортонезависимое решение, совместимое с отечественной СУБД;

• В перечне поддерживаемого оборудования более 50 вендоров, как отечественных, так и зарубежных;

• Интерфейс продукта разворачивается в веб-браузере, в том числе российском «Яндекс.Браузере», что делает возможным доступ к комплексу из любой точки;

• Централизованная консоль управления предоставляет доступ ко всем модулям и функциям комплекса в едином интерфейсе.

Недостатки:

• Не может разворачиваться на ОС семейства Windows, но несмотря на это ОС Windows может выступать объектом защиты для программного комплекса;

• Не подходит для аудита облачных сред;

• Поставляется только пакетными лицензиями.

В настоящий момент ПО динамично развивается. В активной разработке находятся несколько модулей: для автоматизации применения изменений конфигураций оборудования (МЭ), автоматизации внесения изменений в правила МЭ, аудита потоков данных в сети (netflow), защиты протокола DNS. 

Автор статьи: Юлия Парфенова, помощник менеджера по продукту компании «Газинформсервис»