Новые рекомендации Банка России
Комплект рекомендаций в области стандартизации Банка России в мае пополнился двумя новыми документами:
- РС БР ИББС-2.8-2015. Обеспечение информационной безопасности при использовании технологии виртуализации;
- РС БР ИББС-2.7-2015. Ресурсное обеспечение информационной безопасности».
Первый документ содержит детальные рекомендации по безопасному использованию технологии виртуализации при реализации банковских технологических процессов.
В основе рекомендаций ЦБ РФ лежит понятие «контура безопасности» — совокупности аппаратно-программных средств и информационных ресурсов, сгруппированных в зависимости от использования при реализации банковских процессов, и для которых установлены единые требования по безопасности. Примером контура безопасности могут служить технические средства и информационные ресурсы, используемые для выполнения процессов, в рамках которых обрабатываются ПДн. Такой контур безопасности в документе называется контуром безопасности ИСПДн.
Рекомендации по реализации технических мер защиты приводятся для всех основных компонентов виртуализации: виртуальных машин и их образов, серверов виртуализации, АРМ пользователей, СХД.
Среди рекомендуемых мер можно отметить наиболее интересные:
- физическое отделение (на уровне хост-серверов) виртуальных машин, относящихся к разным контурам безопасности;
- запрет на копирование образов виртуальных машин, использующих средства криптографической защиты информации, с загруженными криптографическими ключами;
- выполнение процедур контроля целостности ПО серверных компонентов виртуализации;
- исключение возможности одновременной работы пользователя с разными виртуальными машинами, относящихся к разным контурам безопасности, при использовании технологии виртуализации рабочих мест
- выделение отдельных логических разделов в СХД для разных контуров безопасности;
- использование двухфакторной аутентификации для организации защищенного доступа к средствам управления и администрирования СХД.
Для реализации предлагаемых мер защиты рекомендуется использовать встроенные средства (настройки) сертифицированного гипервизора, а также сертифицированные:
- сетевые технические средства:
- СрЗИ от НСД, размещаемые на физических СВТ;
- антивирусные средства, в том числе функционирующие на уровне гипервизора без установки агентского ПО на виртуальные машины.
Наряду с детальными техническими рекомендациями по обеспечению ИБ различных компонентов виртуализации документ определяет рекомендуемый состав ролей и полномочий эксплуатационного персонала, а также процедуры мониторинга ИБ, которые должны быть автоматизированы.
Второй документ носит менее технический характер и направлен на определение потребностей организаций банковской системы РФ в финансовых и кадровых ресурсах, необходимых для обеспечения ИБ, и контроль эффективности использования этих ресурсов.
В соответствии с документом потребности в финансовых ресурсах рекомендуется определять на основе предполагаемой величины возможного ущерба в случае реализации актуальных рисков ИБ с учетом текущего уровня зрелости организации в части ИБ, всего их выделяется шесть: от «нулевого» до «пятого». Для определения необходимых ресурсов в документе приведены методики определения текущего уровня зрелости и оценивания рисков ИБ. А потребности в кадровых ресурсах подразделений ИБ предлагается формировать отдельно по каждому из следующих направлений:
- методология;
- реализация и сопровождение;
- контроль;
- криптографическая защита.
Для разъяснения положений рекомендаций в приложении к документу приведен пример расчета ресурсов ИБ.
Несанкционированные переводы денежных средств в цифрах
Центробанк представил общественности сводный отчет по инцидентам в сфере переводов денежных средств за 2014 год.
В 2014 году было совершено более 300 тыс. несанкционированных операций на общую сумму более 3,5 млрд руб., из которых 1,58 млрд руб. приходится на несанкционированные операции с использованием платежных карт. Средняя сумма одной несанкционированной операции с платежными картами составила 5,7 тыс. руб. для внутрироссийских операций.
По количеству и объему совершенных несанкционированных операций лидирует Москва и Московская область — 565,5 млн. руб. Для сравнения в нашем Уральском округе — всего 40,9 млн. руб.
Наибольшее число несанкционированных операций с использованием платежных карт осуществляется посредством сети «Интернет» и устройств мобильной связи.
Что касается несанкционированных операций, которые были совершены с использованием интернет-банков, то за 2014 год зафиксировано 4890 случаев общим объемом 1,64 млрд руб. И по этому показателю Уральский округ занимает второе место после Москвы и Московской области.
Интересно, что из всех зарегистрированных случаев 825 операций на сумму около 900 млн руб. были остановлены в полном объеме до наступления окончательности перевода денежных средств. Однако более 80% (на сумму более 700 млн руб.) всех попыток осуществить несанкционированный перевод денежных средств прошли успешно.
Денежные средства, размещенные на корреспондентских счетах, также подвергались несанкционированному списанию. Всего в 2014 году были предприняты попытки списания денежных средств на общую сумму 213,4 млн. руб.