Банк России: борьба с утечками информации необходима

Банк России: борьба с утечками информации необходима

Защита информации в банковском бизнесе регулируется целым рядом нормативных актов и надзорных органов. Наиболее важными нормативами, регулирующими информационную безопасность в российской банковской отрасли, являются Стандарты Банка России группы «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Весной 2016 г. эти стандарты были существенно расширены новыми рекомендациями по предотвращению утечек информации.

 

 

 

1. Введение

2. Основные рекомендации РС БР ИББС-2.9-2016

3. Рекомендации к определению потенциальных каналов утечки информации

4. Возможности DeviceLock DLP применительно к РС БР ИББС-2.9-2016

 

 

Введение

Несмотря на то, что стандарты Банка России группы СТО БР ИББС носят рекомендательный характер, де-факто многими действующими в России банками они рассматриваются как обязательные. Некоторые финансовые организации уже реализовали соответствие требованиям Стандартов, другие – находятся в начале этого пути.

Стандарт Банка России СТО БР ИББС-1.0-2014 совершенно справедливо обращает внимание на проблему инсайдеров. Некоторые банки пытаются не замечать угрозы со стороны внутренних нарушителей, однако игнорирование риска утечки персональных и/или финансовых сведений клиентов или злоупотребление ими может привести к многомиллионным потерям и испорченной репутации.

Весной 2016 г. Банк России выпустил новый ключевой документ, также имеющий рекомендательный характер - «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ИНФОРМАЦИИ» (РС БР ИББС-2.9-2016), где прямо указано, что организациям банковской системы РФ следует принимать меры по обеспечению конфиденциальности обрабатываемой информации. Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ и ее клиентам в части возможного нарушения конфиденциальности обрабатываемой информации обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации, – возможные внутренние нарушители информационной безопасности. При этом утечка информации является одной из наиболее актуальных угроз нарушения информационной безопасности, которую могут реализовать внутренние нарушители ИБ.

 

Основные рекомендации РС БР ИББС-2.9-2016

Документ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» является логическим продолжением базового стандарта Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Он содержит в себе высокоуровневые рекомендации, выполнение которых обеспечивает снижение рисков утечки информации путем мониторинга и контроля информационных потоков техническими способами в сочетании с организационными мерами.

Уже во вводной части Рекомендаций указывается, что одним из направлений деятельности организации БС РФ по обеспечению конфиденциальности обрабатываемой информации являются мониторинг и контроль информационных потоков, осуществляемые для предотвращения утечек информации.

Собственно, утечкой информации Банк России именует несанкционированное предоставление или распространение информации конфиденциального характера, не контролируемое организацией. При этом подразумевается, что пользователь обладает правами доступа к информации. Другой важный термин, именованный в документе - защита информации от утечки. Таковой признается деятельность, направленная на предотвращение неконтролируемого предоставления или распространения информации конфиденциального характера.

Банк России указывает, что для защиты конфиденциальной информации от возможных утечек организации рекомендуется обеспечивать:

  • идентификацию и формирование перечня категорий информации конфиденциального характера;
  • идентификацию и учет информационных активов (информационных ресурсов), содержащих информацию конфиденциального характера и объектов среды информационных активов, используемых для обработки и (или) хранения информации конфиденциального характера;
  • определение категорий возможных внутренних нарушителей и актуальных угроз, связанных с их действиями,
  • определение потенциальных каналов утечки информации конфиденциального характера;
  • выполнение процессов системы обеспечения ИБ, которые обеспечивают непосредственный мониторинг и контроль информационных потоков, т.е. потенциальных каналов утечки информации конфиденциального характера (информационных потоков).

 

Рекомендации к определению потенциальных каналов утечки информации

Организациям БС РФ рекомендуется рассматривать следующие значимые потенциальные каналы утечки информации:

  • передача информации за пределы контролируемой информационной инфраструктуры с применением электронной почты;
  • передача информации с применением сервисов сети Интернет, в том числе социальных сетей и форумов;
  • размещение информации конфиденциального характера на объекте информационной инфраструктуры организации, не предназначенном для ее хранения;
  • удаленный доступ к информационной инфраструктуре организации с использованием сети Интернет;
  • копирование информации на переносные носители информации;
  • печать и (или) копирование информации на бумажные носители;
  • использование и (или) утеря переносных носителей информации;
  • визуальное (включая фотографирование и видеосъемку) и слуховое ознакомление с информацией.

Особая ценность Рекомендаций заключается в том, что помимо перечисления категорий нарушителей и потенциальных каналов утечки информации Банк России приводит также Перечень угроз утечки информации конфиденциального характера, где в табличной форме увязывает потенциальные каналы утечки с категориями нарушителей, актуальные для различных типов объектов среды – от серверного оборудования до бумажных носителей информации.

Кроме того, в документе приводится широкий перечень действий, рекомендуемых для обеспечения необходимого и достаточного уровня предотвращения утечек информации. В частности, организациям рекомендуется обеспечить мониторинг и контроль использования различных сервисов и каналов электронных (сетевых) коммуникаций, канала печати, а также мониторинг, контроль, блокирование копирования информации на переносные носители информации.

Особо отмечается, что режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля рекомендуется определять в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей. При этом применение режима блокирования возможности использования потенциальных каналов утечки информации не отменяет целесообразность проведения службой информационной безопасности организации БС РФ регулярного контроля, направленного на корректность реализации процессов мониторинга и контроля потенциальных каналов утечки информации.

Кроме того, Рекомендации указывают, что для большей эффективности в решении задачи предотвращения утечки информации рекомендуется реализация автоматизированного протоколирования и (или) блокирования передачи информации на основе контентного анализа передаваемой (переносимой) информации – в частности, при передаче информации на внешние адреса электронной, публикации в сети Интернет, включая социальные сети и форумы; при печати, сохранении на переносные носители информации и др. Что важно, контентный анализ рекомендуется использовать именно и непосредственно для реализации процессов мониторинга, контроля, блокирования использования каналов передачи информации – а не только для анализа архива электронных сообщений и файлов.

 

Возможности DeviceLock DLP применительно к РС БР ИББС-2.9-2016

Согласно ключевой парадигме Стандартов, наибольшие угрозы ИБ исходят от собственных сотрудников компаний. Программный комплекс DeviceLock DLP ориентирован на предотвращение утечек данных, связанных с нарушениями со стороны именно внутренних пользователей корпоративных ИС и потому является необходимым инструментом обеспечения информационной безопасности организаций, желающих успешно реализовать требования и пройти аудит соответствия Стандартам Банка России.

DeviceLock DLP контролирует перемещение (передачу) данных через локальные порты рабочей станции, съемные носители и каналы сетевых коммуникаций на основе гибких, персонализированных политик с использованием технологий контентной фильтрации. Каждый раз решение о том, чтобы разрешить или запретить доступ к устройству или сетевому протоколу, чтобы разрешить, запретить или сделать теневую копию передаваемого файла или документа - принимается автоматически на основании контекстных параметров и, при необходимости, анализа содержимого перемещаемых данных.

Использование DeviceLock DLP позволяет обеспечить комплексный контроль действий пользователей непосредственно на их рабочих станциях, что, в свою очередь существенно упрощает моделирование угроз и действий нарушителей. Например, если политика безопасности компании запрещает копирование информации на съемные устройства, использование DeviceLock DLP минимизирует риск утечки через данный канал в рамках общей модели угроз. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через порты рабочих станций, беспроводные сети, принтеры, мобильные устройства, а также электронную почту, мессенджеры, файлообменные сервисы и другие каналы сетевых коммуникаций. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность фактов попыток доступа и копирования конкретных данных. Как результат внедрение разработанного компанией Смарт Лайн Инк программного комплекса DeviceLock DLP помогает организациям БС РФ обеспечить соответствие их информационных систем отраслевым Стандартам СТО БР ИББС. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru