Банк России поднимает требования по борьбе с утечками информации на уровень отраслевого стандарта

BIS Journal №2(25)/2017

26 мая, 2017

Банк России поднимает требования по борьбе с утечками информации на уровень отраслевого стандарта

Защита информации в банковском бизнесе регулируется целым рядом нормативных актов и надзорных органов. Наиболее важными нормативами, регулирующими информационную безопасность в российской банковской отрасли, являются Стандарты Банка России группы «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Весной 2016 г. эти стандарты были существенно расширены новыми рекомендациями по предотвращению утечек информации.

Несмотря на то, что стандарты Банка России группы СТО БР ИББС носят рекомендательный характер, де-факто многими действующими в России банками они рассматриваются как обязательные. Некоторые финансовые организации уже реализовали соответствие требованиям Стандартов, другие – находятся в начале этого пути.

Весной 2016 г. Банк России выпустил новый ключевой документ, также имеющий рекомендательный характер - «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ИНФОРМАЦИИ» (РС БР ИББС-2.9-2016), где прямо указано, что организациям банковской системы РФ следует принимать меры по обеспечению конфиденциальности обрабатываемой информации. Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ и ее клиентам в части возможного нарушения конфиденциальности обрабатываемой информации обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации, – возможные внутренние нарушители информационной безопасности. При этом утечка информации является одной из наиболее актуальных угроз нарушения информационной безопасности, которую могут реализовать внутренние нарушители ИБ.

Собственно, утечкой информации Банк России именует несанкционированное предоставление или распространение информации конфиденциального характера, не контролируемое организацией. При этом подразумевается, что пользователь обладает правами доступа к информации. Другой важный термин, именованный в документе - защита информации от утечки. Таковой признается деятельность, направленная на предотвращение неконтролируемого предоставления или распространения информации конфиденциального характера.

Среди рекомендаций, указанных Банком России, выделяются следующие:
  • определение потенциальных каналов утечки информации конфиденциального характера;
  • выполнение процессов системы обеспечения ИБ, которые обеспечивают непосредственный мониторинг и контроль информационных потоков, т.е. потенциальных каналов утечки информации конфиденциального характера (информационных потоков).
Организациям БС РФ рекомендуется рассматривать следующие значимые потенциальные каналы утечки информации:
  • передача информации за пределы контролируемой информационной инфраструктуры с применением электронной почты;
  • передача информации с применением сервисов сети Интернет, в том числе социальных сетей и форумов;
  • размещение информации конфиденциального характера на объекте информационной инфраструктуры организации, не предназначенном для ее хранения;
  • удаленный доступ к информационной инфраструктуре организации с использованием сети Интернет;
  • копирование информации на переносные носители информации;
  • печать и (или) копирование информации на бумажные носители;
  • использование и (или) утеря переносных носителей информации;
  • визуальное (включая фотографирование и видеосъемку) и слуховое ознакомление с информацией.
Особая ценность Рекомендаций заключается в том, что помимо перечисления категорий нарушителей и потенциальных каналов утечки информации Банк России приводит также Перечень угроз утечки информации конфиденциального характера, где в табличной форме увязывает потенциальные каналы утечки с категориями нарушителей, актуальные для различных типов объектов среды – от серверного оборудования до бумажных носителей информации.

Кроме того, в документе приводится широкий перечень действий, рекомендуемых для обеспечения необходимого и достаточного уровня предотвращения утечек информации. В частности, организациям рекомендуется обеспечить мониторинг и контроль использования различных сервисов и каналов электронных (сетевых) коммуникаций, канала печати, а также мониторинг, контроль, блокирование копирования информации на переносные носители информации.

Особо отмечается, что режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля рекомендуется определять в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей. При этом применение режима блокирования возможности использования потенциальных каналов утечки информации не отменяет целесообразность проведения службой информационной безопасности организации БС РФ регулярного контроля, направленного на корректность реализации процессов мониторинга и контроля потенциальных каналов утечки информации.

Кроме того, Рекомендации указывают, что для большей эффективности в решении задачи предотвращения утечки информации рекомендуется реализация автоматизированного протоколирования и (или) блокирования передачи информации на основе контентного анализа передаваемой (переносимой) информации – в частности, при передаче информации на внешние адреса электронной почты, публикации в сети Интернет, включая социальные сети и форумы; при печати, сохранении на переносные носители информации и др. Что важно, контентный анализ рекомендуется использовать именно и непосредственно для реализации процессов мониторинга, контроля, блокирования использования каналов передачи информации – а не только для анализа архива электронных сообщений и файлов.

Возможности DeviceLock DLP применительно к РС БР ИББС-2.9-2016

Согласно ключевой парадигме Стандартов, наибольшие угрозы ИБ исходят от собственных сотрудников компаний. Программный комплекс DeviceLock DLP ориентирован на предотвращение утечек данных, связанных с нарушениями со стороны именно внутренних пользователей корпоративных ИС и потому является необходимым инструментом обеспечения информационной безопасности организаций, желающих успешно реализовать требования и пройти аудит соответствия Стандартам Банка России.

DeviceLock DLP контролирует перемещение (передачу) данных через локальные порты рабочей станции, съемные носители и каналы сетевых коммуникаций на основе гибких, персонализированных политик с использованием технологий контентной фильтрации. Каждый раз решение о том, чтобы разрешить или запретить доступ к устройству или сетевому протоколу, чтобы разрешить, запретить или сделать теневую копию передаваемого файла или документа, принимается автоматически на основании контекстных параметров и, при необходимости, анализа содержимого перемещаемых данных.

Использование DeviceLock DLP позволяет обеспечить комплексный контроль действий пользователей непосредственно на их рабочих станциях, что в свою очередь существенно упрощает моделирование угроз и действий нарушителей. Например, если политика безопасности компании запрещает копирование информации на съемные устройства, использование DeviceLock DLP минимизирует риск утечки через данный канал в рамках общей модели угроз. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через порты рабочих станций, беспроводные сети, принтеры, мобильные устройства, а также электронную почту, мессенджеры, файлообменные сервисы и другие каналы сетевых коммуникаций. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность фактов попыток доступа и копирования конкретных данных.

Внедрение разработанного компанией Смарт Лайн Инк программного комплекса DeviceLock DLP помогает организациям БС РФ обеспечить соответствие их информационных систем отраслевым Стандартам СТО БР ИББС. 
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных