Соблюдение СТО БР ИББС 1.0-2010 требует нового подхода к реализации системы обеспечения информационной безопасности (СОИБ) банка

Соблюдение СТО БР ИББС 1.0-2010 требует нового подхода к реализации системы обеспечения информационной безопасности (СОИБ) банка

Использование решения, осуществляющего мониторинг информационных активов, предполагает не только сбор и хранение данных о состоянии систем, но и наличие полноценных механизмов управления уязвимостями, возможности построения векторов атак, формирования отчетов с возможностью проведения сравнительного анализа, обнаружения аномалий в работе оборудования, на основе статистических данных.

Оценка состояния ИБ в банковской сфере, проводимая внешними аудиторскими организациями, доказывает, что внедрение подобной системы позволяет не только обеспечить требования стандартов, но и решает вопрос управления ИБ Банка на принципиально ином, более высоком уровне.

В связи с этим, руководство Банка приходит к пониманию о необходимости создания и развития автоматизированной системы управления информационной безопасности нового поколения Security information and event management (SIEM).

ВОЗМОЖНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ ИБ TENABLE NETWORK SECURITY

Колоссальный объем информации в современной ИТ-инфраструктуре предприятия предъявляет серьезные требования к функционалу ПО, отвечающему за мониторинг событий ИБ, включающему:

• Сбор информации о событиях с различных систем и сетевых устройств;
• Сканирование сервисов Банка на наличие уязвимостей и анализ рисков использования систем;
• Визуализация критичных событий ИБ на карте сети в режиме реального времени;
• Поддержка сигнатурных и «поведенческих» методов обнаружения аномалий и атак;
• Возможность создания собственных правил корреляции;
• Возможность управления активными сетевыми устройствами для блокировки вредоносного трафика;
• Поддержка ролевой модели и разделение полномочий в управлении СОИБ;
• Единая консоль управления для распределенных структур;
• Фокусировка внимания на приоритетных узлах;
• Автоматическое определение статуса события (атака, сканирование и т.п.);
• Прогнозирование результатов атаки;
• Встроенная система работы с инцидентами, возможность интеграции с существующей системой анализа рисков;
• Автоматическое реагирование на инциденты: отправка оповещений, передача информации в автоматизированные системы обновления ПО;
• Проверка соответствия стандартам ИБ: PCI DSS, SANS, CERT, CIRT и т.д.;
• Совместимость с решениями производителей сетевого оборудования: Cisco, IBM, Sun, Juniper и т.д.;
• Интеграция с действующими системами защиты и обнаружения атак: Snort, IBM ISS Proventia, CheckPoint и т. д.

АРХИТЕКТУРА СИСТЕМЫ

Комплекс имеет модульную архитектуру и состоит из следующих компонентов:

• SecurityCenter (SC) является основным компонентом Комплекса, содержит базу данных событий ИБ и позволяет управлять всеми компонентами посредством Центральной консоли.
• Nessus Vulnerability Scanner (NVS) позволяет проводить аудит систем и сетевого оборудования, на предмет наличия уязвимостей.
• Passive Vulnerability Scanner (PVS) позволяет анализировать трафик в режиме реального времени.
• Log Correlation Engine (LCE) позволяет агрегировать, нормализовывать и коррелировать события систем. Схема взаимодействия компонентов имеет иерархию звезды.

Схема 1. Архитектура Tenable Network Security

Центральная консоль управления имеет веб-интерфейс и размещается в сегменте средств безопасности. Сотрудник ИБ получает доступ к Консоли со своего рабочего места посредством браузера, с использованием алгоритмов шифрования.

SC позволяет управлять фильтрами вывода информации и наблюдать векторы атак, отклонения от корректного поведения систем в режиме реального времени. Также имеются механизмы реагирования, такие как оповещение в консоли управления, оповещение по SMS, отправка отчетов по электронной почте. Соответственно, Администратор ИБ имеет полную и своевременную информацию о текущем состоянии защищенности систем.

Политика доступа в систему на основе ролей позволяет гибко разделить полномочия сотрудников ИБ при доступе к ресурсам. Назначение и распределение ролей для пользователей в SIEM системе осуществляет Администратор ИБ.

Таким образом, можно сделать вывод, что Комплекс позволяет охватить следующий функционал информационных активов предприятия:

• банковские платежные технологические процессы;

• банковские технологические процессы, в рамках которых обрабатываются персональные данные (ИСПД);

• автоматизированные системы, реализующие технологические процессы;

• порядок обработки персональных данных;

• процессы менеджмента ИБ предприятия.

По итогам внедрения системы управления ИБ в рамках выполнения требований Стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее - СТО БР ИББС-1.0) с использованием стандартов Банка России СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0» и СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» такие показатели как М3, М6, М19 и М21 будут выполнены на первом же этапе внедрения, что позволит достигнуть как минимум второго уровня по оценке внешних аудиторских организаций.

BIS-КОММЕНТАРИЙ

Кирилл Владимирович СЕРЕГИН,
руководитель направления Отдела информационной безопасности, ОАО «МДМ Банк»:

?  Наше сотрудничество с компанией Tenable насчитывает более 5 лет. Следует отметить, что решения, внедренные в нашем банке, благодаря своевременной поддержке и модернизации, позволяют получать актуальную и точную информацию о защищенности систем и оборудования.