Как выполнить новые требования ЦБ РФ по защите информации при осуществлении онлайн-операций

Подготовили новость для ресурса Cyber Media, но материала набралось несколько больше новостного формата, поэтому публикуем в виде статьи у себя на сайте.

С.В. Вихорев, советник Генерального директора ООО «ИТ-Экспертиза»

Ну, насчет новых требований – это я погорячился. Требования-то не новые, но вступили они в силу с 1 октября 2022 года, когда клиентам разрешили самостоятельно устанавливать в банке, в котором они обслуживаются, запрет на онлайн-операции либо ограничивать их параметры. В связи с этим, Банк России издал указание от 18.02.2022 № 6071-У «О внесении изменений в Положение Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». То есть, как ни крути, а все упирается в Постановление № 683-П.

Я хотел бы остановиться только на одном аспекте нововведений. Пункт 5.2.1 Постановления № 683-П дан в новой редакции. Согласно этой новелле, «технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце втором подпункта 5.2, дополнительно должна обеспечивать идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций [1]». Проще говоря, для дополнительной защиты клиентов от действий кибермошенников с 1 октября этого года банки обязаны проводить идентификацию всех устройств, с которых граждане совершают онлайн-операции. Но это только декларация, а как это сделать на практике? Ответ, наверное, можно найти в рекомендациях ФСТЭК России [2]: «Идентификация устройств в информационной системе обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, MAC-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства».

Достаточно ли этого? Даже идентифицировав компьютер клиента тем или иным способом, банк не может быть уверен в том, что на этом компьютере нет ничего лишнего, что может навредить информационной системе самого банка. Ведь компьютер клиента банка расположен неизвестно где, администрируется неизвестно кем, ранее был подключен неизвестно к какой сети, чем заражен – неизвестно и еще много–много чего не известно. А администратор безопасности банка ничего проверить не может: территория и зона ответственности – не его, он сюда доступа не имеет. При использовании технологий удаленного доступа в полный рост встает проблема не только идентификации самого пользователя, но и оценки доверия к тому устройству, на котором пользователь проводит процедуру идентификации – аутентификации – авторизации. Администратор безопасности банка должен иметь инструмент, позволяющий определить, что подключаемое к системе устройство действительно то, которое принадлежит клиенту и что этому устройству можно доверять. Вот тут-то может помочь комплекс САКУРА , который наряду с процедурами идентификации устройства, с которого совершается вход в систему банка, реализует концепцию априорного мониторинга рабочего места пользователя. В процессе такого мониторинга собирается информация об управляемом объекте, сопоставляется с заранее определенными параметрами и в случае выявления отклонений, принимается решение о корректирующих воздействиях. Система мониторинга работает как бы в триггерном режиме: есть отклонения от установленных параметров – принимается решение о применении корректирующего воздействия, нет отклонений – все нормально.

Давайте посмотрим, что может САКУРА и как это поможет в реализации требований Банка России по защите информации при осуществлении онлайн-операций.

• Контроль IP-адреса удаленного устройства до начала взаимодействия с ним

• Контроль MAC-адрес удаленного устройства до начала взаимодействия с ним

• Контроль многофакторной аутентификации удаленных пользователей

• Регистрация событий защиты информации

• Запрет использования учетных записей с незаданными аутентификационными данными

• Блокировка учетной записи после ряда неуспешных попыток аутентификации

• Контроль изменения базовой конфигурации оборудования

• Контроль смены паролей пользователей

• Регистрация осуществления субъектами идентификации и аутентификации

• Контроль обновления ПО и средств защиты информации

• Обеспечение восстановления эталонных копий ПО и средств защиты информации

• Контроль состава разрешенного для использования на удаленном устройстве ПО

• Исключение возможности установки и запуска не разрешенного для использования ПО

• Контроль реализации защиты от вредоносного кода

• Контроль использования отчуждаемых носителей информации

И это еще не все функции, которые может реализовать комплекс САКУРА. А если учесть, что этот комплекс позволяет реализовать ряд обязательных мер, требуемых для защиты информации финансовых организаций [3] (таких как УЗП.2, УЗП.8, УЗП.9, УЗП.18, РД.16, ВСА.5, ЦЗИ.5, ЦЗИ.13, ЦЗИ.20, ЦЗИ.21, ЦЗИ.23, ЦЗИ.24,ЦЗИ.29, ЦЗИ.30, ЦЗИ.31, ЦЗИ.32, ЦЗИ.33, ЦЗИ.34, ЗУД.2, ЗУД.3, РЗИ.3), то комплекс САКУРА становится просто незаменимым при организации защиты информации в учреждениях и организациях кредитной сферы.

[1] Указание от 18.02.2022 № 6071-У, п. 1.2

[2] Методический документ. Меры защиты информации в государственных информационных системах.
(утв. ФСТЭК России 11.02.2014), мера ИАФ.2

[3] ГОСТ Р 57580.1. «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации»