Исполнение требований Центробанка с помощью ПК Efros Defence Operations
Финансовые организации обладают большим количеством конфиденциальной информации, такой как персональные данные, сведения о финансовых транзакциях, банковские реквизиты, что делает их привлекательной целью для киберпреступников. Поэтому к безопасности инфраструктуры и данных таких организаций предъявляются строгие требования. Как с их исполнением поможет Efros DefOps?
Какие есть требования
Начнём с того, что в финансовой сфере существуют как общие требования к информационной безопасности, так и специфичные отраслевые. Эти требования и регламенты касаются и организационных мер, и технических, например, идентификации и аутентификации пользователей. Для финансовой сферы описаны требования по защите информации и информационных систем, требования к защите виртуализации, контролю целостности ПО, защите персональных данных, так как практически любой банк, а также его возможные подрядчики являются операторами информационных систем персональных данных (ИСПДн).
Основные документы, которые описывают требования к безопасности и защите данных, следующие:
ГОСТ Р 57580.1–2017;
СТО БР ИББС-1.0–2014;
РС БР ИББС-2.8–2015;
Приказ ФСТЭК России № 76 от 02.06.2020;
Письмо Банка России от 30.01.2009 № 11-Т;
Письмо Банка России от 08.07.2020 № ИН-01–56/110;
Приказ ФСТЭК № 21 от 18.02.2013.
Как исполнять эти требования
Для исполнения требований в банках и других финансовых организациях применяются различные решения: это и ручные проверки, и автоматизированные, выполняемые с помощью программных продуктов.
В последнее время наблюдается тенденция на сознательный подход к вопросам информационной безопасности. Если раньше организации закрывали вопросы ИБ «на бумаге», то по ряду причин (например, увеличивающееся количество атак на объекты КИИ и банки в том числе) сейчас возрастает спрос на решения, которые могут предотвратить атаку или её развитие на ранней стадии. И тут многие организации используют комплексный подход, который включает в себя применение сразу нескольких методов и инструментов.
Один из таких инструментов — программный комплекс по защите системно-технической инфраструктуры Efros Defence Operations (Efros DefOps). Это многофункциональный комплекс, состоящий из нескольких функциональных подсистем (рис. 1)
Рис. 1. Структура программного комплекса Efros DefOps
Чем поможет Efros Defence Operations
Рассмотрим несколько примеров требований, которые можно закрыть с помощью Efros DefOps.
Требования в СТО БР ИББС-1.0–2014
Обратимся к документу СТО БР ИББС-1.0–2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», а именно к требованию:
»В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети».
Эти процессы реализуются в ПК Efros DefOps с помощью EDO-агента (рис. 2), который устанавливается на конечных точках (АРМ), и модуля NAC. При первичном подключении к комплексу EDO NAC необходимо настроить правила / политики доступа и блокирования пользователей и устройств к сети. При этом прописываются правила аутентификации и авторизации устройств в сети.
Рис. 2. Отображение EDO-агента
Каждая политика настраивается с помощью правил с логическими операторами И/ИЛИ (рис. 3, 4). Например, можно настроить доступ для конечных устройств с ОС определённых версий. В дальнейшем, если на конечном устройстве меняются параметры версии ОС, то можно осуществлять отзыв доступных прав и блокировать доступ.
Рис. 3. Просмотр требований по несоответствию политики безопасности
Рис. 4. Настройка политики доступа в сеть по соответствию требованиям безопасности (NAC-агент)
В том же СТО БР ИББС-1.0–2014 предъявляется и другое требование, которое в ПК Efros DefOps реализуется посредством подключения объектов защиты к модулю EDO ICC:
«В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры ограничения действий пользователей по изменению параметров настроек АБС и реализации контроля действий эксплуатационного персонала по изменению параметров настроек АБС».
Модуль ICC выявляет изменения в конфигурациях программного обеспечения, подключенного в качестве объекта защиты к комплексу, и сообщает о выявленных изменениях (несоответствиях с эталонной версией). Это осуществляется путём сравнения хеш-сумм эталонной и текущей версии файлов/параметров. Реализованная compliance-проверка политик безопасности прав доступа позволяет отслеживать ошибки в правах доступа и даёт возможность администратору проанализировать найденные ошибки в выданных правах и исправить их. Это, в свою очередь, позволяет предотвратить внутренние атаки, связанные с получением повышенных прав доступа.
На рис. 5 показан пример проверки корректной настройки прав для файлов пользовательских идентификаторов, групп и паролей. При некорректной настройке прав доступа пользователи могут получить доступ к критически важным файлам и директориям, списку пользователей и паролей, или возможность создания пользователя с правами администратора. Это может привести, к примеру, к краже данных или внутренней атаке.
Рис. 5. Проверка политик безопасности прав доступа для Linux (пример)
Требования в стандарте Банка России РС БР ИББС-2.8–2015
Стандарт Банка России РС БР ИББС-2.8–2015 описывает меры по обеспечению информационной безопасности организаций банковской системы РФ при использовании технологии виртуализации. С помощью модуля ICC можно закрыть следующие меры:
1. «При создании базовых образов виртуальных машин рекомендуется проводить процедуры, необходимые для выполнения последующего контроля их целостности».
ПК EDO (модуль ICC) может осуществлять контроль целостности любых файлов и образов. Контроль целостности обеспечивается путём сравнения контрольных сумм файлов: при подключении объекта защиты к комплексу Efros собирает отчёты с хеш-суммами поставленных на контроль файлов, эти суммы принимаются за эталонные, после чего по предзаданному расписанию проходят периодические проверки по сравнению хеш-сумм эталонной версии и текущей версии. В случае выявления несоответствий администратор получает уведомление о нарушении целостности.
2. «Для каждого базового образа виртуальной машины рекомендуется выполнять регламентированные процедуры контроля:
~ соответствия настроек, включенных в образ программных компонентов СЗИ, требованиям, установленным эксплуатационной документацией;
~ целостности ПО, включенного в образ виртуальной машин».
С помощью модуля Efros ICC осуществляется контроль целостности любых текстовых файлов программного обеспечения, конфигурационных файлов, а также отдельных настроек для поддерживаемых типов объектов защиты (рис. 6, 7).
Рис. 6. Отображение найденных изменений в аппаратной составляющей KVM
Рис. 7. Отображение найденных изменений в списке пользователей KVM
Также реализована возможность создания пользовательских compliance-проверок, что позволяет контролировать конфигурации устройств, для которых в комплексе не предусмотрено коробочных политик безопасности (рис. 8, 9).
Рис. 8. Создание стандарта безопасности для системы виртуализации
Рис. 9. Создание требования в стандарте безопасности для системы виртуализации
Требования в приказах ФСТЭК
Если говорить о приказах ФСТЭК № 17, 21, 31, 239, то тут Efros также может стать одним из инструментов для выполнения таких требований, как УПД, РСБ, АНЗ, ОЦЛ, ЗСВ и др. Они выполняются за счёт не только автоматизированных compliance-проверок, но и возможностей контроля целостности ПО и неизменности конфигураций устройств, ведения и хранения журнала событий, анализа уязвимостей и построения векторов атак и других функций.
Вместо выводов
Как видно, ПК Efros DefOps может выступать в качестве инструмента комплексного подхода к обеспечению безопасности инфраструктуры финансовых организаций.
Сейчас в комплексе реализованы коробочные проверки для ОС, СУБД, АСО, среды виртуализации и контейнеризации, что позволяет автоматизировать проверки практически для всех типов устройств. А благодаря возможности добавления собственных требований безопасности можно выйти за рамки коробочных стандартов и расширить список требований в автоматизированных compliance-проверках для программного обеспечения.
О ПК Efros DefOps
Efros DefOps в текущем виде соответствует многим отраслевым требованиям по обеспечению информационной безопасности в организациях финансового сектора.
Преимущества:
Сертифицирован ФСТЭК по 4 уровню доверия;
Внесён в Единый реестр российских программ для электронных вычислительных машин и баз данных;
Импортонезависимое решение, совместимое с отечественной СУБД;
В перечне поддерживаемого оборудования более 50 вендоров, как отечественных, так и зарубежных;
Интерфейс продукта разворачивается в веб-браузере, в том числе российском «Яндекс.Браузере», что делает возможным доступ к комплексу из любой точки;
Централизованная консоль управления предоставляет доступ ко всем модулям и функциям комплекса в едином интерфейсе.
Недостатки:
Не может разворачиваться на ОС семейства Windows, но несмотря на это ОС Windows может выступать объектом защиты для программного комплекса;
Не подходит для аудита облачных сред;
Поставляется только пакетными лицензиями.
В настоящий момент ПО динамично развивается. В активной разработке находятся несколько модулей: для автоматизации применения изменений конфигураций оборудования (МЭ), автоматизации внесения изменений в правила МЭ, аудита потоков данных в сети (netflow), защиты протокола DNS.
Автор статьи: Юлия Парфенова, помощник менеджера по продукту компании «Газинформсервис»
