Makves DCAP. Помощь в исполнении требований регуляторов для финансового сектора
Активная цифровизация финансового сектора способствует возникновению новых вызовов и киберугроз. Для соблюдения необходимого уровня информационной и экономической безопасности финансовым учреждениям необходимо соблюдать требования и рекомендации, представленные в законодательных актах и отраслевых стандартах: ФЗ-152, СТО БР ИББС, PCI DSS, ГОСТ-Р 57580.1-2017 и других.
Проблематика
Процесс, направленный на соответствие информационных систем требованиям законодательства и отраслевых стандартов начинается с аудита. В связи с большим объемом работ, включающим описание процессов и оценку рисков, компании часто обращаются за услугами к профильным сервис-провайдерам. В результате заказчик получает комплекс рекомендаций по снижению рисков, возможность разработать внутренние регламенты, а также пройти успешные проверки со стороны регулятора. Но обязанности финансовой организации на этом не заканчиваются — компании необходимо обеспечить постоянное соблюдение разработанных политик.
При выборе мер для поддержания политик безопасности стоит учитывать активный рост неструктурированных данных внутри компании. Сотрудники с определенными правами доступа постоянно взаимодействуют с документами: выгружают таблицы из баз данных, открывают, редактируют, пересылают, перемещают или копируют файлы. В результате файловый массив превращается в хаос. Даже если в компании утверждены правила обращения с информацией и регламенты доступа, отследить их выполнение становится невозможно. Из-за отсутствия контроля сотрудники перемещают корпоративные файлы куда удобно – на локальные хранилища или жесткие диски компьютеров. Таким образом, конфиденциальная информация расползается внутри организации, и контроль доступа теряется. Так как вручную решить эту проблему невозможно, на помощь приходят автоматизированные DCAP-системы (Data Centric Audit and Protection).
В этой статье рассмотрим практику применения системы аудита и управления информационными активами Makves DCAP для поддержки политик обеспечения информационной безопасности и соответствия требованиям законодательства и отраслевых стандартов.
Сценарии применения DCAP для выполнения требований регуляторов
1. Защита конфиденциальной информации и контроль доступа
Makves DCAP анализирует файловые хранилища на наличие данных, соответствующих ФЗ-152, PCI DSS и другим требованиям, распознает сканы документов и изображения, которые содержат персональные данные, данные держателей карт и прочую критичную для бизнеса информацию. В результате анализа определяются места хранения этой информации и права доступа.
В интерфейсе платформы формируется отчет о ситуации в ИТ-инфраструктуре с акцентом на выявленные проблемы. В разделе “Рекомендации” система предлагает устранить риски, связанные с пользователями, хранением и доступом к файлам, содержащим чувствительную информацию, которая попадает под действие стандартов и регуляторов.
Makves DCAP. Раздел «Рекомендации»
Из раздела «Рекомендации» можно сразу перейти в карточку пользователя, файла или папки. Здесь отображается исчерпывающая информация о ресурсе. В карточке папки отображаются: размер, дата создания и последнего изменения, место хранения, эффективные владельцы и другая полезная информация.
Makves DCAP. Карточка папки, содержащей данные, регулируемые стандартом PCI DSS
Список во вкладке «Доступ» отображает уровни доступа к файлу и наследование прав, для которых этот доступ предоставлен. В списке также содержится информация о рисках и рекомендации по исправлению проблем с каждым отдельным правом. Оператор системы может запретить или изменить доступ к ресурсу из интерфейса Makves DCAP.
2. Контроль учетных записей
Для соблюдения требований регуляторов в финансовых учреждениях необходимо контролировать добавление, удаление и изменение учетных записей пользователей, проверять права доступа на соответствие должностным обязанностям, удалять или блокировать неактивные учетные записи в течение определенного отрезка времени.
Makves DCAP собирает информацию из Active Directory и других служб каталогов об изменениях в списках пользователей, группах учетных записей и компьютеров, в параметрах пользователей. В разделе «Пользователи» отображаются данные об объектах — количество пользователей и групп, сводная информация о рисках, отключенных и неактивных учетных записях. Список пользователей отображает дополнительную информацию: домен, должность, дату последней авторизации, уровень риска, данные о смене пароля и неудачной авторизации и другие сведения.
Makves DCAP. Раздел «Пользователи»
Детализация статистики по пользователям помогает оперативно выявить угрозы, которые связаны с учетными записями. В сводном отчете отображаются статистические показатели пользователей по следующим параметрам: отключенные, неактивные, с просроченным паролем и так далее.
Makves DCAP. Статистика по пользователям
В случае выявленных нарушений можно удалить или временно заблокировать учетную запись в интерфейсе платформы. Также можно установить автоматические сценарии для удаления или блокировки пользователя в случае соответствия учетной записи определенным параметрам.
3. Контроль политик обеспечения информационной безопасности
Тонкие настройки политик безопасности в Makves DCAP помогают организовать доступ к информационным ресурсам, которые содержат конфиденциальную информацию, только для конкретных пользователей или групп пользователей.
В случае, если должность сотрудника изменилась и больше не относится к группе безопасности, можно установить запрет на просмотр папок и документов, которые попадают под действие стандартов и регуляторов, и установить уровень риска при нарушении политики безопасности.
Makves DCAP. Отчет по политикам безопасности
4. Непрерывный мониторинг событий и выявление аномалий
Для соблюдения требований регуляторов финансовые организации обязаны внедрять процессы, которые помогают своевременно расследовать инциденты информационной безопасности. Для защиты от внутренних и внешних угроз требуется непрерывный контроль и хранение событий с привязкой к конкретным пользователям, а также защита журналов регистрации событий от несанкционированных изменений. При этом из-за регулярного обновления системных журналов, некоторые события могут быть потеряны.
Makves DCAP помогает сохранить информацию о событиях, анализировать действия внутри информационной системы за разные отрезки времени и использовать эти данные для расследования инцидентов. Система позволяет отслеживать изменения прав, сброс паролей, операции с файлами. С помощью фильтров устанавливаются необходимые для отображения категории событий, регулируемых стандартом, и настраивается видимость колонок в таблице.
Makves DCAP. Раздел «События»
В системе работает непрерывный контроль событий в обход стандартного механизма EventLog. Таким образом можно предотвратить несанкционированную очистку или изменение истории журнала привилегированными пользователями.
Makves DCAP фиксирует аномальные события – подключение к сети в нерабочее время, массовое скачивание, изменение и удаление файлов; контролирует параметры пользователей, компьютеров, файлов, почтовых ящиков и их взаимодействие. Таким образом можно обнаружить подозрительные действия сотрудников, активность вируса-шифровальщика и повторяющиеся события, которые могут являться признаком DDoS-атаки. В случае обнаружения аномального события сотрудник отдела информационной безопасности получает уведомления в консоли, на e-mail или в мессенджер.
Выводы
Использование решений класса DCAP помогает соответствовать требованиям стандартов и регуляторов к финансовым организациям в части пунктов, касающихся защиты конфиденциальных данных, внедрения мер контроля доступа, регулярного мониторинга, а также соблюдения политик информационной безопасности. Внедрение системы позволяет защитить информационные ресурсы, содержащие большие объемы коммерческой тайны и персональных данных, избежать негативных последствий внешних угроз, инсайда, ошибок в бизнес-процессах или в настройках IT-инфраструктуры.