24 ноября, 2014, BIS Journal №4(15)/2014

Устранение уязвимостей


Выборнов Андрей

начальник отдела методологии обеспечения безопасности информационных ресурсов ГУБиЗИ (Банк России)

Рекомендации Банка России по обеспечению ИБ на стадиях жизненного цикла АБС направлены на повышение безопасности и качества их работы

На сегодняшний день существенные возможности для возникновения инцидентов, связанных с нарушением информационной безопасности (ИБ), в том числе в рамках оказания платёжных услуг, создает наличие уязвимостей в обеспечении защиты информации автоматизированных банковских систем (АБС). В первую очередь это касается систем, применяемых при осуществлении переводов денежных средств.

 

ПРИОРИТЕТ – ПОВЫШЕНИЕ КАЧЕСТВА И БЕЗОПАСНОСТИ

По данным Банка России, полученным в результате мониторинга применения информационных технологий в национальной платёжной системе, изучения аналитических материалов и обзоров, можно установить наличие уязвимостей в АБС, используемых при осуществлении переводов денежных средств. В том числе в системах дистанционного банковского обслуживания и мобильного банкинга, которые в большинстве случаев позволяют злоумышленнику осуществить успешную атаку, связанную с несанкционированным переводом денежных средств.

Обобщенные данные в области разработки безопасных приложений и оценки уязвимостей показывают следующую статистику:

  • в 2014 году злоумышленник, действующий со стороны информационно-телекоммуникационной сети интернет, оказался способен получить доступ к узлам внутренней сети субъекта национальной платежной системы, в том числе АБС кредитной организации, в 9 случаях из 10, в то время как в 2012 году аналогичное соотношение составляло 7 из 10;
  • для проведения успешной атаки в 82% случаев достаточно иметь среднюю или низкую квалификацию;
  • уязвимости web-приложений обнаружены в 93% исследованных систем;
  • более половины АБС, используемых для осуществления переводов денежных средств, в том числе систем дистанционного банковского обслуживания, содержат критические уязвимости;
  • причинами возникновения уязвимостей в АБС, используемых для осуществления переводов денежных средств, являются ошибки (недостатки) разработки (23%) и (или) отсутствие эффективных защитных механизмов (43%);
  • уязвимости приложений являются одним из наиболее распространенных факторов, способствующих проникновению в корпоративные сети.

Активное внедрение информационных технологий для предоставления услуг перевода денежных средств приводит к существенному росту количества уязвимостей. Связаны они с разработкой и возникновением специфических ошибок, связанных с бизнес-логикой систем, и приводят к возможности осуществления несанкционированных операций перевода денежных средств.

Одним из приоритетных направлений повышения эффективности и безопасности оказания услуг по переводу денежных средств является повышение качества и безопасности АБС, применяемых в национальной платежной системе. Основными приоритетными векторами деятельности, направленными на повышение качества и безопасности АБС, являются:

  • контроль реализации в АБС установленных требований к обеспечению ИБ;
  • анализ программного кода и оценка защищённости АБС;
  • минимизация рисков нарушения ИБ, связанных с наличием уязвимостей ИБ в АБС;
  • контроль обеспечения ИБ в рамках эксплуатации АБС;
  • снижение рисков нарушения ИБ, в том числе рисков утечки информации, на этапе сопровождения, модернизации и вывода из эксплуатации АБС;
  • оперативная модернизация АБС в случае выявления недопустимых рисков нарушения ИБ, связанных с их эксплуатацией.

ЭТАПЫ ЖИЗНЕННОГО ЦИКЛА

С целью установления методологической основы для повышения качества и ИБ применяемых в национальной платежной системе АБС Банком России разработаны и введены в действие рекомендации в области стандартизации РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем».

Разработка этих рекомендаций осуществлялась при участии банковского сообщества и ведущих экспертных организаций в области разработки безопасных приложений и оценки уязвимостей в рамках деятельности подкомитета №1 «Безопасность финансовых (банковских) операций» Технического комитета №122 «Стандарты финансовых операций».

Документ РС БР ИББС-2.6-2014 формулирует рекомендации по организации работ на этапах жизненного цикла АБС, в том числе обеспечивающей возможность контроля с целью установления доверия к проведению указанных работ и, соответственно, доверия к реализации обеспечения ИБ в АБС. Также документ определяет рекомендации для АБС, осуществляющих как платёжные, так и информационные технологические процессы.

В РС БР ИББС-2.6-2014 в соответствии с требованиями СТО БР ИББС 1.0 жизненный цикл АБС разделяется на следующие стадии:

  • разработка технического задания;
  • проектирование;
  • создание и тестирование;
  • приёмка и ввод в действие;
  • эксплуатация;
  • сопровождение и модернизация;
  • снятие с эксплуатации.

Доверие к реализации обеспечения ИБ в АБС возможно только при наличии определённых свидетельств полноты и корректности проведения мероприятий по обеспечению ИБ на стадиях жизненного цикла компонентов АБС. В качестве свидетельств доверия в РС БР ИББС-2.6-2014 рассматриваются:

  • регламенты, используемые для организации деятельности по обеспечению ИБ на этапах жизненного цикла АБС;
  • документированные результаты выполнения деятельности по обеспечению ИБ на этапах жизненного цикла АБС.

РС БР ИББС-2.6-2014 на каждой стадии жизненного цикла рекомендует формировать собственный набор свидетельств доверия, по результатам оценки которых может быть принято решение о полноте и корректности реализации требований к обеспечению ИБ, предъявляемых к АБС. Для каждого этапа жизненного цикла в РС БР ИББС-2.6-2104 приведены рекомендации к формированию свидетельств доверия и их содержанию.

РАРЗРАБОТКА, ПРОЕКТИРОВАНИЕ, ТЕСТИРОВАНИЕ

На этапе разработки технического задания свидетельством доверия в соответствии с РС БР ИББС-2.6-2014 является само техническое задание, в состав которого рекомендуется включать положения о:

  • необходимости и целесообразности применения средств защиты информации, сертифицированных по требованиям безопасности информации;
  • необходимости и целесообразности привлечения для проведения работ по созданию, модернизации, эксплуатации и выводу из эксплуатации АБС организации, имеющей лицензии на деятельность по технической защите конфиденциальной информации.

Кроме того в РС БР ИББС-2.6-2014 установлены рекомендации по включению в техническое задание следующих требований:

  • требования к обеспечению ИБ, связанные с назначением и распределением ролей в АБС;
  • требования к обеспечению ИБ, связанные с управлением доступом и регистрацией;
  • требования к обеспечению ИБ, связанные с защитой от воздействия вредоносного кода;
  • требования к обеспечению ИБ, связанные с использованием общедоступных сетей и каналов передачи данных;
  • требования к обеспечению ИБ, связанные с использованием средств криптографической защиты информации;
  • требования к обеспечению ИБ, связанные с реализацией контроля эксплуатации применяемых защитных мер;
  • требования к обеспечению ИБ, связанные с реализацией мониторинга ИБ, в том числе для выявления инцидентов ИБ в АБС;
  • требования к безопасным технологиям обработки информации (технологическим мерам защиты информации).

На этапе проектирования в соответствии с РС БР ИББС-2.6-2014 свидетельством доверия является архитектура подсистемы ИБ АБС, в которую рекомендуется включать описание:

  • предполагаемой реализации требований технического задания к обеспечению ИБ компонентами проектируемой АБС;
  • предполагаемого использования функций обеспечения ИБ разделяемых обеспечивающих компонентов АБС;
  • предполагаемого взаимодействия компонентов АБС для обеспечения ИБ в АБС.

Разработку архитектуры АБС для обеспечения ИБ в соответствии с РС БР ИББС-2.6-2014 рекомендуется осуществлять на основе:

  • данных о разделении АБС на компоненты, составе и функциях специализированных банковских приложений и обеспечивающих компонентов АБС;
  • идентификации (для стандартных) или описания (для разрабатываемых в составе АБС или самостоятельно разрабатываемых) интерфейсов взаимодействия между компонентами АБС;
  • данных о программном обеспечении АБС, в том числе системном, которое является покупным – «коробочным» (для АБС, создаваемых путем адаптации специализированного прикладного обеспечения, – на основе данных о пакетах специализированных прикладных программ).

На этапе создания и тестирования АБС в соответствии с РС БР ИББС-2.6-2014 свидетельством доверия являются результаты независимого или совместного с разработчиком программного обеспечения полного тестирования, проводимого с целью проверки полноты и корректности реализации всех требований технического задания на подсистему ИБ АБС применительно ко всем компонентам АБС.

При этом факт выполнения теста должен подтверждаться протоколом тестирования, содержащим дату тестирования, указание на методику тестирования, использованные при выполнении теста исходные данные, полученный результат и решение об успешном или неуспешном выполнении теста. Также установлена рекомендация по включению в тестирование контроля исходного кода.

ОТ ВВОДА ДО ЗАВЕРШЕНИЯ ЭКСПЛУАТАЦИИ

На этапе приёмки и ввода АБС в действие в соответствии с РС БР ИББС-2.6-2014 свидетельством доверия является отчёт о проведении опытной эксплуатации, в части обеспечения ИБ и устранения выявленных в ходе опытной эксплуатации недостатков. При этом рекомендуется проведение проверки корректности функционирования подсистемы ИБ АБС в промышленной среде, а также проверки возможности реализации на этапе эксплуатации положений проектной и эксплуатационной документации в части:

  • контроля эксплуатации технических защитных мер, включая правила их обновления, управления и контроля параметров их настройки;
  • контроля реализации организационных защитных мер;
  • требований к кадровому обеспечению подсистемы ИБ АБС.

Дополнительно в рамках проведения опытной эксплуатации в РС БР ИББС-2.6-2014 установлены рекомендации к проведению комплексной оценки защищённости, включающей проведение:

  • тестирования на проникновение, проводимого без уведомления персонала, задействованного в опытной эксплуатации АБС, что, среди прочего, позволяет оценить готовность персонала к выполнению требований документов организации БС РФ в части реагирования на инциденты ИБ;
  • выявления известных уязвимостей компонентов АБС.

На этапе эксплуатации АБС в соответствии с РС БР ИББС-2.6-2014 свидетельством доверия является результат выполнения следующих мероприятий:

  • периодическая оценка защищённости АБС (проведение мероприятий по выявлению типичных уязвимостей программных компонентов АБС, тестирование на проникновение);
  • мониторинг сообщений об уязвимостях АБС и реагирование на них;
  • контроль состава, мест размещения и параметров настроек технических защитных мер.

На этапе сопровождения и модернизации АБС в соответствии с РС БР ИББС-2.6-2014 свидетельством доверия является результат выполнения следующих мероприятий:

  • обеспечение проверки в тестовой среде работоспособности подсистемы ИБ АБС после обновления компонентов АБС, выполненного в рамках сопровождения АБС;
  • обеспечение доработки эксплуатационной документации при изменении применяемых версий обеспечивающих компонентов АБС;
  • предотвращение утечки информации в рамках работ по сопровождению АБС, в том числе с участием сторонних организаций;
  • предотвращение утечки информации при передаче средств вычислительной техники на ремонт в сторонние организации;
  • обеспечение контроля полноты проведения мероприятий на стадиях жизненного цикла АБС при ее модернизации.

На этапе снятия АБС с эксплуатации в соответствии с РС БР ИББС-2.6-2014 свидетельством доверия является результат выполнения следующих мероприятий:

  • контроль соблюдения правил и процедур обеспечения информационной безопасности при снятии с эксплуатации АБС;
  • архивирование информации, содержащейся в АБС, в случае необходимости ее дальнейшего использования;
  • гарантированное уничтожение (стирание) данных и остаточной информации с машинных носителей информации АБС и (или) уничтожение машинных носителей информации АБС в случаях, предусмотренных законодательством РФ, в том числе, нормативными актами Банка России, внутренними документами организации БС РФ.

В настоящее время процедура оценки сформированного набора свидетельств доверия пока не определена. Вследствие чего в качестве основного направления дальнейшего развития методологической основы по повышению качества и ИБ АБС, применяемых в национальной платёжной системе, рассматривается формирование и регламентация процедур и механизмов подтверждения качества и безопасности АБС, применяемых в национальной платёжной системе.

В роли отмеченных процедур и механизмов подтверждения качества и ИБ АБС, применяемых в национальной платежной системе, могут выступить такие процедуры как самооценка, проводимая организациями БС РФ, аудит внешних аудиторских компаний или сертификация, осуществляемая регулирующими органами. При этом формирование и регламентация отмеченных процедур и механизмов должны осуществляться совместно организациями банковской системы РФ и регулирующими органами –  поступательно и с применением детального планирования.

 

Смотрите также

Крымские мысли

1 августа, 2014
Подпишись на новости!
Подписаться