Информационные сообщения ФСТЭК России
За прошедший месяц ФСТЭК России выпустил сразу четыре новых информационных сообщения. Первое из них, информационное сообщение № 240/24/1208 «О применении сертифицированной по требованиям безопасности информации операционной системы Windows XP в условиях прекращения ее поддержки разработчиком», было опубликовано на сайте ФСТЭК России 7 апреля. В сообщении указывается на возможность реализации угроз безопасности конфиденциальной информации, обусловленной прекращением выпуска обновлений сертифицированных версий ОС Windows XP, а также повышение интереса к данной операционной системе (ОС) со стороны отдельных категорий нарушителей.
Согласно сообщению, в связи с широким использованием сертифицированных версий ОС Windows XP до декабря 2016 года устанавливается переходный период, в течение которого выданные ранее сертификаты соответствия на операционную систему Windows XP будут действительны. При этом для снижения рисков ИБ рекомендуется реализовать ряд дополнительных мер защиты, включающих:
— установку всех актуальных обязательных сертифицированных обновлений сертифицированных версий ОС Windows XP;
— исключение подключения к сети Интернет и локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционной системы Windows XP, либо применение сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, DLP — систем для защиты периметра информационной системы и выделенных сегментов;
— проведение периодического анализа уязвимостей с использованием сертифицированных средств контроля (анализа) защищенности информации;
— проведение мониторинга общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционной системе Windows XP и принятие соответствующих мер защиты.
В сообщении ФСТЭК России также говорится о необходимости учета дополнительных угроз безопасности информации при проведении аттестации по требованиям защиты информации информационных систем, работающих под управлением операционной системы Windows XP. При этом повторная аттестация информационных систем, работающих под управлением операционной системы Windows XP, аттестованных до 8 апреля 2014 года, не требуется.
23 апреля были опубликованы следующие информационные письма, связанные с предоставлением и переоформлением лицензий:
— № 240/24/1433 «О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации», включающее перечень типичных ошибок;
— № 240/13/1434 «О некоторых вопросах предоставления лицензий на проведение работ, связанных с созданием средств защиты информации, осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации и (или) противодействия иностранным техническим разведкам)»;
— № 240/13/1435 «О некоторых вопросах переоформления лицензий на право проведения работ, связанных с созданием средств защиты информации, осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам и (или) технической защиты информации)».
Приведенные информационные сообщения ФСТЭК России содержат краткое описание порядка получения или переоформления лицензий со ссылкой на нормативно-правовые акты РФ и методические документы ФСТЭК России.
Защита от вредоносного кода в банках
В связи с участившимися случаями воздействия вредоносного кода на автоматизированные банковские системы и сети кредитных организаций, Банк России опубликовал Письмо от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». Документ определяет комплекс мер по защите от вредоносного ПО, обеспечивающих выполнение требований Положения Банка России от 9 июня 2012 № 382-П и СТО БР ИББС-1.0-2010.
Согласно рекомендациям Банка России организационные меры защиты от вредоносного кода, кроме прочего, должны включать:
— проведение обучения и контроля знаний у работников банка по тематике защиты от вредоносного кода;
— доведение до руководства банка результатов осуществления мер защиты от вредоносного кода;
— сбор и анализ информации о распространении вредоносного кода;
— тестирование совместимости приобретаемых средств защиты от вредоносного кода с используемыми средствами вычислительной техники (СВТ) и программного обеспечения (ПО), с другими средствами защиты;
— контроль целостности и работоспособности защитного ПО;
— разработка и тестирование планов по локализации объектов, подвергшихся воздействию вредоносного кода;
— заключение договоров с Интернет-провайдерами в части фильтрации вредоносного кода.
В части использования средств антивирусной защиты, в документе определяется необходимость обеспечения:
— функционирования и обновления баз данных средств антивирусной защиты в автоматическом режиме;
— использования средств централизованного контроля и управления средствами антивирусной защиты;
— использования средств антивирусной защиты разных производителей;
— применения средств антивирусной защиты для электронной почты;
Помимо использования средств антивирусной защиты Банк России рекомендует использовать средства:
— анализа и корреляции событий;
— контроля доступа к съемным носителям;
— контроля состава и целостности ПО и СВТ;
— сегментирования сети;
— анализа защищенности;
— терминального доступа.
Кроме того, в документе содержится описание функций органов управления банка в части организации защиты от вредоносного кода, включающих оценку рисков связанных с недостаточной защищенностью от вредоносного кода и разработку внутренних документов, регламентирующих проведение мероприятий защиты от вредоносного кода. В целях обеспечения надежности и эффективности защиты от вредоносного кода органам управления банка рекомендуется определить:
— лицо, ответственное за организацию защиты от вредоносного кода;
— структурные подразделения, участвующие в осуществлении защиты от вредоносного кода;
— порядок информирования органов управления банка о возможном возрастании угрозы атак вредоносного кода;
— обязанности, подотчетность и подконтрольность работников, ответственных за организацию постоянного применения мер защиты от вредоносного кода.
Отдельный раздел документа посвящен мерам защиты от вредоносного кода автоматизированных рабочих мест клиентов банка, которые также могут оказаться подверженными атакам вредоносного кода. Соответствующие рекомендации Банка России включают набор организационных мер, направленных на информирование и повышение осведомленности клиентов по вопросам защиты от вредоносного кода.
Последний раздел документа определяет рекомендации по включению в состав договоров на обслуживание с провайдерами, обеспечивающими функционирование систем дистанционного банковского обслуживания, положений, определяющих обязательства и ответственность провайдеров по осуществлению защиты от вредоносного кода, а также возможность банка по контролю выполнения данных обязательств.