В соответствии с ГОСТ Р 57580.1-2017. Сегментация и межсетевое экранирование

В соответствии с ГОСТ Р 57580.1-2017. Сегментация и межсетевое экранирование

Финансовым организациям необходимо соответствовать большому количеству различных стандартов по защите информации. Эксперты BIS Journal рассказывают, как реализовать и проверить требования ГОСТ Р 57580.1–2017 в контексте мер процесса «Обеспечение защиты вычислительных сетей».

ОСНОВНЫЕ СЛОЖНОСТИ

При выстраивании работы по соблюдению требований ГОСТ Р 57580.1–2017 финансовые компании сталкиваются со множеством проблем и вопросов. Основные из них:

1. Что такое «контур безопасности» согласно ГОСТ Р 57580.1–2017 вообще и как его выделить в своей сети?
2. Какие сегменты сети будут входить в контур безопасности, а какие остаются за его пределами и какой трафик может ходить между этими сегментами?
3. Как правильно настроить межсетевые экраны и доказать соответствие требованиям, когда в сети десятки межсетевых экранов от разных производителей?
4. Как обеспечить не разовую проверку, а постоянное соответствие требованиям?
5. Можно ли это всё автоматизировать и когда без этого никак?

Сегодня мы подробно рассмотрим эти вопросы и постараемся найти ответы на каждый из них.

О ГОСТ Р 57580.1–2017

Начнём с азов. ГОСТ Р 57580.1–2017. «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» — отраслевой стандарт, который содержит требования к созданию системы защиты для финансовых организаций.

Полный текст ГОСТ Р 57580.1–2017 можно посмотреть по ссылке.

Положения Банка России (851-П, 821-П, 757-П, 802-П) делают его обязательным для следующих организаций:

• кредитные финансовые организации (банки);
• страховые организации, негосударственные пенсионные фонды;
• операторы по переводу денежных средств, операторы электронных платформ и многие другие.

ОПРЕДЕЛЕНИЕ КОНТУРОВ БЕЗОПАСНОСТИ

Первоочередная задача — это определение контура безопасности и требуемого для него уровня защиты информации (рис. 1). В сети выделяются сегменты (подсети), в которых размещаются защищаемые финансовые системы.

Рисунок 1. Требования ГОСТ Р 57580.1-2017 по выделению контуров безопасности

Какие системы являются защищаемыми — это отдельная большая тема. Например, в Положении № 821-П указано, что объектами защиты являются все автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, которые эксплуатируются и используются при осуществлении переводов денежных средств. Таким образом, все средства и системы, используемые для переводов денежных средств, будут входить в контур безопасности.

После определения перечня защищаемых систем анализируется состав сегментов корпоративной сети и выделяются те, которые войдут в контур безопасности (Contour):

• сегмент хранения и обработки данных — серверы систем;
• сегмент управления — рабочие места администраторов;
• сегмент пользователей — рабочие места пользователей.

Помимо контура безопасности, в сети выделяются следующие сегменты:

• сегмент для банкоматов и платёжных терминалов — Terminal;
• сегмент разработки и тестирования — DevOps;
• сегмент беспроводной сети — Wi-Fi;
• сегмент мобильных устройств — Mobile;
• остальные внутренние сегменты локальной вычислительной сети — LAN.

Важно отметить, что не все перечисленные сегменты обязательно должны присутствовать в сети. Их наличие зависит от конкретной структуры и процессов организации.

ФОРМИРОВАНИЕ МАТРИЦЫ ДОСТУПА

Меры ГОСТ Р 57580.1–2017 определяют требования к взаимодействию между сегментами сети. Например, мера «СМЭ.7» запрещает взаимодействие между сегментом разработки и тестирования и внутренними сетями (рис. 2).

Рисунок 2. Мера «СМЭ.7» из ГОСТ Р 57580.1-2017

На основе анализа всех требований стандарта для соответствующего уровня защиты составляется матрица доступа. Эта матрица будет основой для настройки межсетевых экранов и фильтрации трафика между сегментами.

На рисунке (рис. 3) приведён пример матрицы доступа, составленной для второго (стандартного) уровня защиты, где:

• allow — разрешённое взаимодействие;
• deny — запрещённое взаимодействие;
• знак со стрелками обозначает, что взаимодействие разрешено только для конкретного ограниченного трафика.

Рисунок 3. Матрица доступа

Настройка межсетевых экранов должна осуществляться в соответствии с разработанной матрицей доступа.

АУДИТ И ПОДДЕРЖАНИЕ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ

В рамках аудита проверяются настройки межсетевых экранов. Анализ правил одного или нескольких межсетевых экранов на соответствие установленным требованиям безопасности не представляет сложности. Однако ситуация кардинально меняется в условиях распределённой корпоративной сети с большим количеством филиалов, где функционирует множество межсетевых экранов. И всё это осложняется «зоопарком» из кучи оборудования разных производителей.

Для того чтобы гарантировать соответствие установленным требованиям, необходимо провести анализ правил каждого межсетевого экрана. Кроме того, необходимо не только провести однократную проверку или аудит, но и обеспечить постоянное соответствие требованиям. Важно следить за тем, чтобы добавление новых правил в политики межсетевых экранов не противоречило созданной матрице доступа.

В таких условиях без автоматизации процесса уже невозможно обойтись, поскольку ручные методы управления становятся неэффективными и могут привести к ошибкам и нарушению требований.

КАК АВТОМАТИЗИРОВАТЬ

Политики безопасности межсетевых экранов — это набор правил, которые определяют, как межсетевой экран обрабатывает сетевой трафик для определённых IP-адресов, номеров портов и протоколов (рис. 4).

Рисунок 4. Пример правил межсетевого экрана

По опыту аудита в финансовых организациях можно сказать, что эти политики иногда содержат десятки и даже сотни тысяч правил. А в больших банках количество правил может достигать нескольких миллионов!

Для решения задач управления политиками межсетевых экранов и упрощения процесса проверки могут использоваться автоматизированные инструменты. Инструменты бывают разные, и у них есть свои плюсы и минусы (рис. 5).

Рисунок 5. Сравнение инструментов управления политиками межсетевых экранов

Выбор инструмента для автоматизации зависит от конкретных потребностей организации, а также от таких факторов, как поддержка вендоров межсетевых экранов, функциональность и стоимость.

РЕПОЗИТОРИЙ АФТ

ГОСТ Р 57580.1-2017 требует от финансовых компаний внимательно подходить к выбору ИТ-решений и оценке их безопасности. Для поиска таких решений компания может обратиться напрямую к вендорам, а может использовать доверенные репозитории. Так, на российском финансовом рынке уже существует отраслевой репозиторий для финансовой отрасли — Репозиторий ИТ-решений Ассоциации ФинТех (АФТ). В нём реализован многофакторный интуитивный поиск, а размещаемые решения проходят всестороннюю проверку.

ЗАКЛЮЧЕНИЕ

При соблюдении мер, прописанных в ГОСТ Р 57580.1–2017, у представителей отрасли возникают вопросы и проблемы, основные из которых мы сегодня разобрали. В частности, мы выяснили, что меры процесса «Обеспечение защиты вычислительных сетей» ГОСТ Р 57580.1–2017 транслируются в матрицу доступа, которая должна быть применена на межсетевых экранах.

В небольших организациях проверка корректности настроек и их соответствия матрице доступа может осуществляться вручную, путём анализа политик межсетевых экранов. Однако в крупных сетях не обойтись без автоматизации. Внедрение автоматизированных решений класса NSPM облегчает аудит и позволяет поддерживать постоянное соответствие требованиям ГОСТ Р 57580.1–2017 в условиях распределённой сетевой инфраструктуры.

В заключение следует подчеркнуть, что грамотная сегментация сети и настройка межсетевых экранов играют ключевую роль в обеспечении сетевой безопасности. Это важно не только для соблюдения требований регуляторов, но и для обеспечения реальной безопасности сетей.