ВАЛЕРИЙ ЛЕДОВСКОЙ, эксперт, аналитик компании «Доктор Веб» по вирусной обстановке
На уровне стандарта
Каковы требования к антивирусным продуктам?
Банковская сфера – одна из немногих, если не единственная, жестко регламентируемая область деятельности
В частности, системы информационной безопасности банков должны соответствовать требованиям стандарта Банка России СТО БР ИББС-1.0-2010, федерального закона «О защите персональных данных» и другим стандартам, описывающим требования в области безопасности (например, ГОСТ Р ИСО/МЭК 13569).
Жестко регламентируется работа с пластиковыми картами. Процедуры обслуживания, по возможности, должны соответствовать требованиям стандартов ITIL.
Реализация всех необходимых требований приводит к созданию многоуровневой системы безопасности, включающей регламентируемые процедуры, обучение пользователей, закупку и настройку соответствующего стандартам программного обеспечения. Не следует также забывать, что банковские сети в отличие от сетей подавляющего большинства предприятий и организаций – это разветвленный набор подсетей, действующих подчас по всей России и за ее пределами и включающих в себя, кроме обычных рабочих станций и серверов, многочисленные встроенные устройства, в том числе банкоматы.
К сожалению, рассмотреть все аспекты создания сети, соответствующей требованиям действующих стандартов, в рамках одной статьи невозможно. Поэтому остановимся на требованиях стандарта (а точнее, группы стандартов) Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», введенного в действие в июне 2010 года.
Существует три редакции этого стандарта. Сегодня он:
- определяет терминологию и основные модели угроз и задачи организаций по их выявлению;
- перечисляет основные типы подлежащих защите объектов, прав доступа и соответствующих им ролей персонала;
- дает рекомендации по конфигурации сети;
- определяет требования к антивирусной защите и политике использования ресурсов Интернета на различных этапах жизненного цикла сети.
Что касается программного обеспечения, то согласно требованиям стандарта должна быть обеспечена защита от:
- умышленного либо неумышленного раскрытия, модификации или уничтожения защищаемых данных. Это подразумевает необходимость использования средств ограничения доступа к различным ресурсам – офисного контроля;
- установки средств защиты кем-либо, кроме администратора, несанкционированного внесения изменений в порядок функционирования системы защиты, изменения ее возможностей. Данное требование приводит к необходимости разграничения прав доступа к настройкам системы, защите ее от несанкционированного воздействия. Это подразумевает использование в локальной сети только тех программных продуктов, которые поддерживают ролевой принцип доступа, а также применение уже упомянутых функций офисного контроля.
Антивирусная защита должна быть эшелонированной, а средства безопасности – устанавливаться как на рабочие станции, так и на серверы.
В организации, соответствующей требованиям стандарта, почта обязательно должна быть защищена. Вместе с защитой от вирусов и спама это подразумевает установку средств антивирусной фильтрации почтовых сообщений. В связи с тем, что в соответствии со стандартом все серверы (в том числе и почтовые) не должны иметь непосредственного выхода в Интернет, система антивирусной защиты может быть разделена на две части:
- антивирусный шлюз, имеющий выход в Интернет или вынесенный в демилитаризованную зону;
- почтовый сервис.
Такая конфигурация позволяет снизить нагрузку на сервер благодаря возможности отсечения потока спама до его поступления внутрь сети.
Дополнительное требование к почтовому сервису – обеспечение архивации всех почтовых сообщений. Архивировать сообщения можно с помощью сервиса антивирусной защиты (в случае поддержки им данного функционала) или специализированного ПО.
В свою очередь доступ в Интернет в банках должен использоваться только в рабочих целях. Это подразумевает применение как средств офисного контроля – для ограничения списка доступных ресурсов глобальной сети, так и средств проверки трафика – для предотвращения проникновения вирусов с доступных, но взломанных ресурсов. Дополнительным требованием является наличие системы защиты от хакеров, то есть как минимум качественного брандмауэра.
Все используемые в организации средства защиты должны быть лицензионными.
Суммируя вышеперечисленное, можно утверждать, что антивирусный продукт для банковской сферы должен отвечать следующим требованиям:
- Возможность обеспечения централизованной защиты сети.
- Поддержка ролей с различным уровнем доступных прав – как администраторов, так и обычных пользователей.
- Возможность защиты всех узлов сети – рабочих станций и серверов вне зависимости от используемой на них операционной системы. В стандарте не оговариваются требования к защите внешних и встроенных систем, в том числе банкоматов. Однако логично, что в случае использования на них операционных систем, для которых существуют вирусы, они тоже должны быть защищены от возможных угроз.
- Наличие не только функции защиты от вирусов, но и системы защиты от спама, офисного контроля, брандмауэра, системы контроля трафика.
- По возможности должна быть доступна функция архивации почтовых сообщений.
- Возможность обеспечения антивирусной защиты в локальной сети, не имеющей прямого доступа в Интернет, в том числе получения и распространения обновлений в такой сети, вынесения ряда сервисов в демилитаризованную зону.
В стандарте не оговариваются проблемы защиты филиалов. Но, поскольку они важны, кратко остановимся и на них. Основные проблемы в данном случае связаны с уровнем квалификации персонала, который должен поддерживать функционирование сети, и качеством каналов связи.
Поэтому требования к продукту должны дополнительно включать:
- возможности работы при использовании медленных каналов связи, ограничения полосы пропускания на данных каналах и назначения расписания обновлений на время минимальной загрузки канала;
- возможность поставки продукта производителем в предустановленном виде как программно-аппаратного комплекса, готового к работе, – это значительно упрощает развертывание антивирусной сети.
Положения стандарта СТО БР ИББС-1.0-2010 развивают и уточняют:
- СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит ИБ».
- СТО БР ИББС-1.2-2010 «Обеспечение ИБ организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение ИБ организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения ИБ».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения ИБ».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения ИБ».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций банковской системы РФ. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.4-2010 «Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банков банковской системы РФ».
Исполнение положений данных стандартов носит рекомендательный характер, и в соответствии с текстом их исполнение или неисполнение остается на усмотрении кредитных организаций. Однако де-факто именно на основании этих стандартов проводится аттестация подразделений банков.
В общем случае процедура приведения системы информационной безопасности в соответствие требованиям стандарта Банка России включает:
- выявление несоответствий требованиям стандарта, а также определение порядка действий по приведению системы информационной безопасности в соответствие с требованиями;
- разработку требуемой нормативной документации, закупку и настройку необходимых технических решений, обучение персонала;
- введение в практику необходимых управленческих процедур;
- проведение итоговой оценки и, при необходимости, повторение процедуры.
В результате выполнения данной процедуры в компании будет создана работающая эффективная и надежная система информационной безопасности, включающая как технические средства, так и алгоритмы действий в тех или иных случаях.
- http://www.abiss.ru/doc.