Журнал "Безопасность Деловой Информации" №1

!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012

ÊÎËÎÍÊÀ ÐÅÄÀÊÒÎÐÀУважаемые читатели!Перед вами первый выпуск нового журнала «!Безопасность деловой информации», идея которого: интересно рассказать о самых последних трендах информационной безопасности.

Хочется верить, что наша задумка удалась, тем более что работа над этим номером шла парал-лельно с подготовкой к конференции DLP-Russia. У нас была возможность изучить и проанали-зировать самые актуальные темы ИБ, часть из которых мы попросили раскрыть наших авторов в этом выпуске.

Первый номер получился с «банковским» уклоном: в эпоху, когда информация приобрела вполне реальную ценность, вопрос о её защите в банках стоит наиболее остро.Защита от внешних атак, случаев мошенничества в системах дистанционного банковского обслу-живания, утечек данных о пользователях – вот краткое содержание этого номера.

Надеюсь, что ваше чтение будет интересным и полезным!

ÀÂÒÎÐÛ

ДЕНИСГУНДОРИН

МИХАИЛЕМЕЛЬЯННИКОВ

НАТАЛЬЯ КАСПЕРСКАЯ

АНДРАШЧЕР

ДМИТРИЙ КУЗНЕЦОВ

КОНСТАНТИНМАЛЮШКИН

2

ÎÒ ÐÅÄÀÊÖÈÈ

ÍÀÒÀËÜß ÌÓÒÅËÜ

Главный редактор журнала«!Безопасность деловой информации»

ÂÍÈÌÀÍÈÅ! ÏÐÈÃËÀØÀÅÌ ÀÂÒÎÐÎÂ Ê ÑÎÒÐÓÄÍÈ×ÅÑÒÂÓ ÍÀ ÁÅÇÂÎÇÌÅÇÄÍÎÉ ÎÑÍÎÂÅ

По вопросам размещения статей и рекламных материалов просим обращаться к главному редактору издания Наталье Мутель:

Тел.: 8 903 724 33 10e-mail: [email protected]

АЛЕКСЕЙЛУКАЦКИЙ

МИХАИЛПЛАХУТА

ИЛЬЯСАЧКОВ

ОЛЕГСМОЛИЙ

АРТЕМСЫЧЕВ

ЮРИЙЧЕРКАС

ÒÅÌÀ ÍÎÌÅÐÀ

ÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉî òîì, êàê ïîâëèÿëè èçìåíåíèÿ çàêîíîäàòåëüñòâà íà ÈÁ ÁÑ ___________ 9

…ËÅÃÊÎ Â ÁÎÞCase study

ÈÃÎÐÜ ÁÓÐÖÅÂ È ÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍ î ðåàëèçàöèè òðåáîâàíèé çàêîíîäàòåëüñòâà ïî ÈÁ ÁÑ ________________ 15

ÈËÜß ÑÀ×ÊÎÂ îá óòå÷êàõ èíôîðìàöèè ___________________________________________ 17

ÌÈÕÀÈË ÅÌÅËÜßÍÍÈÊÎÂ î ââåäåíèè ðåæèìà êîììåð÷åñêîé òàéíû __________________________ 21

ÂÇßÒÛÅ ÂÛÑÎÒÛSuccess stories

ÎËÅÃ ÑÌÎËÈÉ îá îïàñíîñòè âíóòðåííèõ óãðîç äëÿ áàíêîâ _________________________ 24

ÀÊÀÄÅÌÈß ÃÅÍØÒÀÁÀÎáçîðû, àíàëèòèêà, òðåíäû

ÄÌÈÒÐÈÉ ÊÓÇÍÅÖÎÂ î áåçîïàñíîñòè ïðè ðàáîòå ñ ÄÁÎ __________________________________ 28

ÄÅÍÈÑ ÃÓÍÄÎÐÈÍ È ÌÈÕÀÈË ÏËÀÕÓÒÀ î çàùèòå BYOD â êðåäèòíûõ îðãàíèçàöèÿõ _________________________ 32

ÊÓÐÑ ÌÎËÎÄÎÃÎ ÁÎÉÖÀÎñíîâû ÈÁ

ÞÐÈÉ ×ÅÐÊÀÑ îá èíôîðìàöèîííîé áåçîïàñíîñòè â ýïîõó compliance ______________ 35


DLP-RUSSIA´2012 –ÍÎÂÛÉ ÂÇÃËßÄ ÍÀ DLP

4

Ценность информации в глазах ее владельцев все чаще обретает денежное выраже-ние. Это касается и государственных организаций, и коммерческих компаний. Все понимают, что потеря конфиденциальной информации грозит не только ущербом для репутации (который непросто оценить), но и прямыми финансовыми потерями.

21 сентября 2012 года в центре Digital October под эгидой ассоциации «DLP-Эксперт» прошло одно из самых значимых мероприятий по пробле-мам защиты корпоративной информации – DLP-Russia’2012. В этом году организаторы DLP-Russia расширили охват аудитории, адресовав мероприя-тие не только специалистам по информационной безопасности, но и владельцам бизнеса, высшему менеджменту компаний.Пленарная часть конференции была посвящена наиболее заметным тенден-циям в сфере ИБ. С докладами выступили Наталья Касперская, руководитель ГК InfoWatch, Андраш Чер, ведущий аналитик Forrester Research, Владимир Андриенков, исполнительный директор ООО «Трафика».

Заседания секций прошли в три потока: «Бизнес, законодательство, практи-ка», «Главные тренды ИБ» и «Безопасность информации в современном мире». В ходе секций представители аналитических компаний, разработчи-ки систем защиты и практикующие эксперты рассказали о подходах к обеспечению безопасности информации в эпоху стремительного роста объемов данных внутри компаний, тотальной «мобилизации» современно-го бизнеса, «безграничности» информационного пространства.

Особого внимания заслуживает доклад М. Емельянникова, управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры». Михаил Юрьевич затронул тему защиты интересов технологичного бизнеса в суде. Выступление было озаглавлено так: «История одного судебного процесса: а если бы была DLP-система?».

О том, как показать бизнесу преимущества систем DLP, рассказал Кирилл Викторов, начальник отдела Центра Информационной безопасности «Инфо-системы Джет». Своим видением новых тенденций в информационной

безопасности поделился бизнес-консультант по безопасности Cisco Алексей Лукацкий. С докладами выступили представители ЦБ РФ, Microsoft, Oracle, Group-IB. Все выступления пленарной части можно увидеть на сайте конференции. Генеральным спонсором конференции стала компания InfoWatch, которая уже несколько лет подряд поддерживает данное мероприятие и принимает самое активное участие в его организации. В качестве спонсоров конферен-ции выступили ведущие отечественные и международные компании-про-изводители программного обеспечения и оборудования для защиты конфиденциальной информации: Symantec, Positive Technologies, «Инфоси-стемы Джет», «Лаборатория Касперского», «Информзащита».

О различных ИБ-решениях и практике их применения представители компаний рассказали в ходе продуктовых докладов. В демозоне была организована выставка, где разработчики получили возможность «вживую» представить собственные продукты потенциальным клиентам.

Конференция прошла при поддержке Генерального медиапартнера – делового портала BFM.RU и Генерального ИТ-партнера – еженедельника PC WEEK. Золотыми информационными партнерами конференции стали портал CNEWS, Национальный банковский журнал, журнал IT Manager, журнал CIO.

Информационные партнеры: портал anti-malware.ru, портал comnews.ru, Computerworld, RISSPA, портал Security Lab, журналы BIS Journal, PC Magazine, Аналитический банковский журнал, Банковское обозрение, ИКС, Директор информационной службы, Персональные данные, ПЛАС.

ÑÂÎÄÊÈ íîâîñòè


ÏÎÄÂÎÄß ÈÒÎÃÈпрошедшей конференции DLP Russia, мы приводим выдержки из интервью с ключевым экспертами российского и мирового рынка ИБ, принявшими участие в прошедшем мероприятии.

3 ÂÎÏÐÎÑÀ ÀÍÄÐÀØÓ ×ÅÐÓÂåäóùèé àíàëèòèê Forrester ResearchАндраш, что сейчас происходит с общемировым рынком DLP? Каковы последние тенденции? Куда эволюционирует рынок?А. Чер: DLP движется от принудительного применения сетевых и end-point-решений к многоуровневому контро-лю, от одного большого продукта к набору Endpoint, Email, Web, Network/NAV и Gateway решений и процессов (обнаружение, категоризация, консолидация, создание политик, принудительное применение).

Среди других трендов следует упомянуть контекстно ориентированные DLP-решения, DLP, распознающие подлинность документов, авторизация как часть расширенных политик, включающих DLP на разветвленных предприятиях, а также использование DLP на мобильных устройствах.

Где сейчас на карте DLP располагается Россия? Сильно ли мы отличаемся от остального мира или шагаем в ногу с другими странами? А. Чер: В гиперподключенной плоской сети, которой мир по сути является сегодня, все страны и организации нуждаются в продвинутых технологиях, таких как DLP. И не важно, где вы находитесь. А вот защита частной жизни в каждой стране организована по-своему. В России требования к защите данных являются даже более строгими, чем в других странах мира, видимо, по причине большого числа хакеров. Требуется локализация продуктов и услуг.

Если бы у Вас была своя компания, как бы Вы организовали защиту конфиденциальной информации от утечки?А. Чер: Я бы использовал сеть зрелости DLP.

5

ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ

ÀÍÄÐÀØ ×ÅÐ

Forrester Research

Сеть зрелости DLP смотрите на странице 6

!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 6


Основные принципы защиты: обнаружение, категоризирование, классифицирование, шифрование, соотнесение рисков с теми или иными элементами данных, а также использование контекста (геолокация, приложение, определение подлинности) для уточнения атрибутов данных.

Согласно сети зрелости, DLP состоит из 25 самостоятельных управляемых проектов.

Сеть зрелости DLP

Защита конечных точек

Обнаружение УсилениеДизайнКонсолидацияКлассификация

Защита шлюзов

Защита сети

Защита web

Защита электронной почты

Высокая степень зрелости Низкая степень зрелости

Характеристики уровней зрелости от Forrester Research

5 — Оптимизированный

Процессы управления ИБ проработаны до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Организация использует комплексные меры защиты и способна к быстрой адаптации при изменениях в окружении и бизнесе.

4 — УправляемыйОбеспечиваются мониторинг и оценка соответствия используемых в организации процессов. Процессы управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации управления ИБ используются частично и в ограниченном объеме.

3 — УстановленныйПроцессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены.

2 — ПовторяемыйПроцессы управления ИБ осуществляются различными людьми, решающими одну и ту же задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам,а ответственность возложена на исполнителя.

1 — НачальныйФакт осознания организацией существования проблем обеспечения ИБ организацией документально зафиксирован. Однако используемые процессы управления ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к управлению ИБ не выработан.

0 — Нулевой Процессы управления ИБ в организации отсутствуют, равно как и осознание существования проблем ИБ.

ХарактеристикиУровни



ÍÀÒÀËÜß ÊÀÑÏÅÐÑÊÀß

InfoWatch

3 ÂÎÏÐÎÑÀ ÍÀÒÀËÜÅ ÊÀÑÏÅÐÑÊÎÉÃåíåðàëüíûé äèðåêòîð êîìïàíèè InfoWatch(ãåíåðàëüíûé ñïîíñîð êîíôåðåíöèè DLP-Russia´2012)

В этом году DLP-Russia отпраздновала первый маленький юбилей – конференции 5 лет. Можно подвести небольшой итог – насколько успешно развивается это мероприятие? Чем можно похвастаться? Что еще предстоит сделать?Н. Касперская: Конференция DLP-Russia начиналась как первое и единственное мероприятие на российском рынке, посвященное защите конфиденциальной информации от утечек. 5 лет назад DLP-рынок только зарождал-ся, прошло всего 2 года с момента, когда IDC обозначил этот рынок термином DLP. Поэтому задачей данного мероприятия была максимальная популяризация темы борьбы с утечками кофиденциальных данных. Сегодня можно сказать, что конференция выполнила поставленную перед ней задачу на все 100%! Рынок DLP существен-но вырос, но вместе с ним возросла и конкуренция. Многие российские компании обратились к разработке DLP- решений. Так хорошо мы популяризировали эту тему! Сегодня мы видим, что многие конкурирующие компании стали организовывать свои DLP-мероприятия, штамповать отчеты по типу «Глобального исследования утечек», выпускаемого компанией InfoWatch. На рынке появилось множество экспертов, реальных и мнимых.

За 5 лет у конференции DLP-Russia сформировались устойчивая аудитория и пул спикеров-экспертов, мероприятие стало авторитетным брендом в ИБ-сообществе. Говоря о планах дальнейшего развития DLP-Russia, я хочу отметить устойчивый тренд в сторону расширения тематики мероприятия в смежных с DLP технологических направлениях, таких как защита информации в конечных точках, антивирусная безопасность, анализ и управление репутацией компании, контроль приложений и др.

Как за это время эволюционировала компания InfoWatch? В каком направлении сейчас развиваются DLP-технологии компании?Н. Касперская: В это время InfoWatch преимущественно занималась развитием своих DLP технологий. Однако, согласно тенденции рынка в сторону объединения DLP со смежными технологиями, мы диверсифицировали свой бизнес. В частности в 2010 году компания InfoWatch вместе с компанией «Ашманов и партнеры» создала дочернее предприятие «Крибрум», разрабатывающее сервис для мониторинга и анализа репутации компаний, брендов, персон в интернет-пространстве. В 2011-м с приобретением немецкой компании cynapspro GmbH (позднее преобразована в EgoSecure), которая разрабатывает продукты в области Endpoint protection, InfoWatch преврати-лась в холдинг. Кроме того, компания приобрела стартап по разработке программного обеспечения для контроля приложений, а также развивает несколько новых проектов в области ИБ.

Что касается развития технологий, то в эти годы InfoWatch занималась модернизацией своего флагманского DLP- продукта InfoWatch Tra�c Monitor. Мы полностью поменяли платформу этого решения, упростили его интеграцию с другими программными продуктами. Кардинальные изменения технологии заняли много времени, однако в итоге InfoWatch Tra�c Monitor стал более модульным и комплексным решением. Мы рассчитываем продемон-стрировать заказчикам плоды нашего труда в начале 2013 года.

Может ли современное предприятие обойтись без DLP-систем? Что в таком случае будет происходить с конфиденциальной информацией компании?Н. Касперская: Современное предприятие, которое имеет какую-либо конфиденциальную информацию, без системы ее защиты в настоящее время обойтись не может. Компания, не владеющая конфиденциальными данными, может, но я сомневаюсь, что сегодня такие компании существуют! Современные DLP-системы не только защищают конфиденциальную информацию компаний от утечек, но и позволяют навести порядок во всем объеме информации, существующей в компании. Ведь это серьезная проблема: примерно раз в три года объем неструктурированной информации в компаниях удваивается. DLP-система помогает наводить ясность в огромном массиве корпоративных данных: что происходит с информацией в компании, какая информация является конфиденциальной, как она хранится и используется. Это лучший способ навести информационный порядок на предприятии.


3 ÂÎÏÐÎÑÀ ÀÐÒÅÌÓ ÑÛ×ÅÂÓÇàìåñòèòåëü íà÷àëüíèêà Ãëàâíîãî óïðàâëåíèÿáåçîïàñíîñòè è çàùèòû èíôîðìàöèè Öåíòðàëüíîãî áàíêà Ðîññèè

Каковы, на Ваш взгляд, основные угрозы безопасности информации в платежных системах и уязвимости этих систем?А. Сычев: Сейчас речь идет скорее не об угрозах платежным системам, а о том, что клиенты платежных систем не понимают, что происходит с их платежами с точки зрения безопасности. Для данной области характерна трансгра-ничность, а законодательство в области защиты платежных систем на сегодняшний день крайне несовершенно, и это основная угроза! Никто никогда не задумывался о том, что хищения денежных средств могут переместиться из реального мира в виртуальный, и здесь возникают совершенно другие методы ведения следствия, сбора доказательной базы, представления материалов в суде.

Какие изменения в процессах и процедурах защиты информации произошли в Центральном банке в результате принятия летом текущего года Правительством РФ «Положения о защите информации в платежной системе»?А. Сычев: Во-первых, согласно данному Положению у Центрального банка появились определенные права и обязанности, и это привело к тому, что ЦБ пересмотрел свое видение вопросов регулирования платежных систем. Этот вопрос вошел в зону ответственности соответствующего департамента нашего банка.

Какое место занимают DLP-решения в процедуре защиты информации в платежных системах? Возможно ли их широкое применение в данной области?А. Сычев: Платежные системы – это маленькая часть бизнес-процессов кредитных организаций и организаций, которые занимаются обслуживанием платежных систем. Применение DLP-систем возможно в том числе и для защиты информации в платежных системах. Однако задачи безопасности в банках ставятся значительно шире, они связаны с экономическими интересами конкретной организации, и это далеко не только электронные платежи. Поэтому наш банк, руководствуясь соответствующими стандартами, уделяет большое внимание приме-нению данных средств информационной защиты для различных ИБ-целей.

Без DLP-систем формирование поля информационной безопасности современных финансово-кредит-ных учреждений не представляется возможным!

8


ÀÐÒÅÌ ÑÛ×ÅÂ

Главное управление безопасности и защиты информации Центрального банка России

• В этом году конференцию DLP-Russia посетили свыше 400 специалистов компаний России и СНГ• ONLINE-трансляцию DLP-Russia просмотрели более 300 человек• Материалы конференции находятся на сайте сообщества «DLP-Эксперт» по адресу:

http://dlp-expert.ru/dlp-russia/about/archives/materialy_2012


ÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉî òîì, êàê ïîâëèÿëè èçìåíåíèÿ çàêîíîäàòåëüñòâà íà ÈÁ ÁÑ


ÁÀÍÊÈ ÁÎÃÀÒÛÅ – ÏÓÑÒÜ ÏËÀÒßÒ! ÇÀ ×ÒÎ ÄÎËÆÍÛ ÏËÀÒÈÒÜ ÁÀÍÊÈ?!Пару лет назад на одной банковской конференции в те еще времена первый заместитель начальника 8-го Центра ФСБ Александр Павлович Баранов заявил банкам, жалующимся на обременения, связанные с требованиями по защите персональ-ных данных: «Вы же богатые. Делитесь!» С тех пор ситуация поменялась – число нормативных актов по вопросам информа-ционной безопасности, которые распространяются на банки, возросло. Возросли и затраты на приведение себя в соответ-ствие… Но соответствие чему? Давайте посмотрим, какие нормативные акты должен соблюдать среднестатистический банк в области защиты информации.

ÍÀÖÈÎÍÀËÜÍÀß ÏËÀÒÅÆÍÀß ÑÈÑÒÅÌÀ

Начнем с конца, т.е. с последних нормативных актов, выпущенных Банком России в июне этого года в контексте закона «О национальной платежной системе». Речь идет о Положении от 9 июня 2012 года №382-П «О требовани-ях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осущест-влении переводов денежных средств» и связанном с ним Указании от 9 июня 2012 г. N 2831У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных

систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Первый документ, основанный на комплексе стандартов Банка России (далее - СТО БР ИББС), включает в себя 129 требований по защите, разбитых на 15 блоков, касающихся как технических защитных мер (межсетевые экраны, аутентификация, применение СКЗИ, разграничение доступа и т.д.), так и организационно-процессных (управление инцидентами, организация службы ИБ, оценка выполнения требований и т.д.).

129 требований по защите информации объединяются в 15 блоков

10


ÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉ

Cisco

Назначениеи распределение

прав и обязанностей

Защитаот вредоносного кода

Организацияи функционирование

подразделения ИБ

Этапы жизненногоцикла объектов

информационнойинфраструктуры

Защита при использовании

Интернет

Повышениеосведомленности

сотрудников

Защита отнесанкционированного

доступа

Контроль выполнениятехнологии обработки

защищаемойинформации

Реализация порядкаобеспечения защиты

информации

Доступк объектам

инфраструктуры

ПрименениеСКЗИ

Выявлениеинцидентов и

реагирование на них

Оценкавыполнения требований

Совершенствованиеинфраструктуры

защиты

Информированиеоператора платежной

системы ееучастниками об ИЗО


ÏÎÑÒÀÍÎÂËÅÍÈÅ ÏÐÀÂÈÒÅËÜÑÒÂÀ №584

Данное Постановление устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обраба-тываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе. Оно пусть и не такое детальное, но его требования немного отличаются от требований 382-П. Например, в части наличия требования об анализе рисков и моделировании угроз, а также в требованиях к организациям,

которые будут проводить контроль соответствия. По ПП-584 это может быть только лицензиат ФСТЭК, а по 382-П – любая организация, в т.ч. и не облада-ющая лицензиями на деятельность по технической защите конфиденциаль-ной информации.

На сегодняшний день ни ФСТЭК, ни ФСБ пока не планируют разрабатывать документы во исполнение ПП-584. Поэтому интересно посмотреть, как соотносятся требования данного Постановления Правительства с докумен-тами Банка России, который является основным регулятором по вопросам защиты информации в НПС.

Указание 2831-У обязывает участников национальной платежной системы (НПС) регулярно информировать Банк России об уровне своего соответствия требованиям 382-П (форма отчетности 0403202), а также о выявленных инцидентах, связанных с нарушением требований по защите информации при осуществлении денежных переводов (форма отчетности 0403203).

Появившись чуть больше 2-х месяцев назад, эти два документа заложили фундамент для будущего регулирования информационной безопасности банковской среды (в первую очередь). В отличие от СТО БР ИББС, Положение 382-П носит обязательный характер и предусматривает не только регуляр-ный надзор со стороны Банка России, но и наказание за невыполнение указанных требований. Именно вокруг 382-П и 2831-У будет строить-ся вся будущая нормативная база Банка России в области информа-ционной безопасности, учитывая, что сам Банк России к сфере своего регулирования в рамках НПС относит не только традицион-ную деятельность банков на основе корреспондентских отноше-ний, но и системы трансграничных переводов, использование платежных карт, мобильные платежи и электронные деньги, банкоматы и платежные терминалы. Для всех этих направлений пока отдельных требований по защите информации нет. Да и то, что есть, находится в начале своего развития.

Однако законодательство о НПС не ограничивается только документами Банка России. Согласно 27-й статье закона «О национальной платежной системе», требования к защите информации в НПС устанавливает, наряду с Банком России, Правительство России. И оно такие требования установило в Постановлении Правительства от 3 июня 2012 года №584 «Об утверждении положения о защите информации в платежной системе».


ФЗ-161от 27.06.2011

380-Пот 31.05.2012

381-Пот 09.06.2012

382-Пот 09.06.2012

2831-Уот 09.06.2012

ПП-584от 13.06.2012

ДокументыБанка России

Законодательство о защите информациив национальной платежной системе

Соответствие требований ПП-584 и документов Банка России


ÒÐÅÁÎÂÀÍÈß ÎÏÅÐÀÒÎÐÎÂ ÏËÀÒÅÆÍÛÕ ÑÈÑÒÅÌ

Вернемся к Положению 382-П. Давайте его откроем и посмотрим на пункты 2.13, 2.14 и 2.16, которые говорят нам о том, что, помимо требований, установленных самим 382-П (читай Банком России), еще и оператор платеж-ной системы может устанавливать свои требования – по управлению инцидентами, по отчетности, по информированию, по порядку защиты и т.д. А к скольким платежным системам у нас подключается обычный банк? К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим и т.д. И оператор каждой из них может установить свои требования (но только после регистрации в качестве оператора платежной системы в Банке России). Более того, они уже начали это делать. Из трех зарегистрированных

на момент написания статьи операторов платежных систем, АКБ «Русславбанк» как оператор платежной системы CONTACT, стал рассылать по своим участни-кам первые требования по защите. Вряд ли такие требования со стороны операторов платежных систем будут очень уж отличаться от того, что написано в 382-П, но все-таки это отдельный набор требований, которые должен соблюдать банк-участник платежной системы. И чем в большем количестве систем он участвует, тем больше наборов таких требований у него будет.

Хороший пример таких требований – стандарт PCI DSS, разработанный платежными системами Visa/MasterCard через PCI Council.

ÑÒÀÍÄÀÐÒ PCI DSS

Как и СТО БР ИББС, и Положение 382-П, стандарт PCI DSS делит свои 12 высокоуровневых и свыше 200 детальных требований на 2 блока – технические меры, реализуемые через те или иные защитные технологии (межсетевые экраны, системы предотвращения вторжений, защита при беспроводном доступе или использовании виртуализации), и организационно-процессные меры.

Сейчас ведутся работы по очередному переводу стандарта PCI DSS (на этот раз с желанием придать этому переводу официальный статус). Также ведутся и иные работы по признанию стандарта PCI DSS и результатов его аудита в России, но пока об этом говорить еще рано.

ÒÐÅÁÎÂÀÍÈß ÁÀÍÊÀ ÐÎÑÑÈÈ. ÅÙÅ ÎÄÍÈ?!

Но это не все. Какие требования устанавливает Банк России по безопасности тех, кто подключается к его платежной системе? 382-П, скажете вы и будете не правы. Открываем Положение Банка России 384-П от 29.06.2012 «О платежной системе Банка России». Пункты 1.4 и 1.6 говорят, что «Банк России определяет порядок обеспечения защиты информации в платежной системе Банка России для клиентов Банка России в соответствии с требованиями к

защите информации, установленными договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России». Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне возможно, что требования по ИБ в нем базируются на СТО, но все-таки отсылка идет на совершенно иной набор требований, который устанавливает оператор платежной системы в лице Банка России.

12


12 требований стандарта PCI DSS


ÇÀÊÎÍÎÄÀÒÅËÜÑÒÂÎ Î ÏÅÐÑÎÍÀËÜÍÛÕ ÄÀÍÍÛÕ

Все? Опять нет. Немалый объем переводов денежных средств связан с обработкой персональных данных плательщика или получателя. По каким нормативам должны защищаться такие персональные данные? С одной стороны, Положение 382-П явно говорит, что оно распространяется на «информацию ограниченного доступа, в том числе персональные данные и иную информацию, подлежащие обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемые при осущест-влении переводов денежных средств». С другой стороны, у нас есть Постановление Правительства №584, в котором также говорится, что

именно оно «устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответ-ствии с законодательством Российской Федерации». А традиционные регуляторы по информационной безопасности ФСТЭК и ФСБ утверждают, что защита персональных данных должна осуществляться не по 382-П и не по ПП-584, а по Федеральному закону «О персональных данных» и его подзаконным актам, которые сейчас находятся в очередной стадии обновления.

Â ÇÀÊËÞ×ÅÍÈÅ

Ну, теперь-то все? Если не рассматривать особые требования по информационной безопасности, предъявляемые к некоторым банкам, отнесенным к критически важным объектам, и требования необязательного международного стандарта ISO 27001 (а также готовящейся в специальной редакции ISO 27015 особо для финансовых учреждений), то – да. Подытожим. Положения 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования операторов платежных систем. Немало.

Не случайно банки являются самыми зарегулированными организациями с точки зрения информационной безопасности. И ситуация вряд ли будет смягчаться. Регуляторы вошли во вкус, и за последний год не проходило и недели, чтобы не было выпущено какого-нибудь норма-тивного акта по информационной безопасности, большинство из которых касается именно кредитных организаций.

По каким нормативным документам должны защищаться ПДн в рамках денежных переводов?



Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процен-тов на 80-90, требования всех упомянутых нормативов совпадают. Может, пора опять принять «письмо шести», чтобы не обременять банки (да и других участников НПС) дополнительными затратами, в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы всем, особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки.

14


Число нормативных актов по ИБ по отраслям (с 1 июня 2011 года)

Рост выпуска нормативных актов по ИБ

…ËÅÃÊÎ Â ÁÎÞCase study

ÈÃÎÐÜ ÁÓÐÖÅÂ È ÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍ î ðåàëèçàöèè òðåáîâàíèé çàêîíîäàòåëüñòâà ïî ÈÁ ÁÑ

ÈËÜß ÑÀ×ÊÎÂ îá óòå÷êàõ èíôîðìàöèè

ÌÈÕÀÈË ÅÌÅËÜßÍÍÈÊÎÂ î ââåäåíèè ðåæèìà êîììåð÷åñêîé òàéíû


ÐÅÀËÈÇÀÖÈß ÒÐÅÁÎÂÀÍÈÉ ÇÀÊÎÍÎÄÀÒÅËÜÑÒÂÀ Â ÎÐÃÀÍÈÇÀÖÈßÕ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÔ: ÎÑÍÎÂÍÛÅ ÏÐÎÁËÅÌÛ È ÐÅØÅÍÈßПо статистике Банка России, только за 2011 год объем мошенни-ческих действий, совершаемых с помощью терминалов, банко-матов и других средств дистанционного банковского обслужи-вания, вырос на 40% по сравнению с аналогичным показателем за 2010 год. По данным МВД, ущерб от нелегальных операций с картами в прошлом году вырос на 36% и составил 1,6 млрд руб.Подобная статистика не осталась незамеченной со стороны регуляторов. В результате только за последние годы был принят целый пакет нормативных документов, содержащих большое количество требований, к организаци-ям банковской системы Российской Федерации (организации БС РФ).

Как показывает наш опыт проведения работ по построению систем обеспечения информационной безопасности в таких организациях, при реализации многочисленных требований законодательства подразделения, отвечаю-щие за обеспечение информационной безопасности (ИБ), сталкиваются с рядом проблем, которые мы и хотели бы рассмотреть рамках этой статьи.

ÏÐÎÁËÅÌÀ 1: ÎÁÈËÈÅ ÏÅÐÅÑÅÊÀÞÙÈÕÑß ÌÅÆÄÓ ÑÎÁÎÉ ÒÐÅÁÎÂÀÍÈÉ

В настоящее время к банкам предъявляется достаточно большое количество разнообразных требований по обеспечению информационной безопасности, число которых с каждым годом только увеличивается.

До недавнего времени в вопросах обеспечения информационной безопасности организации БС РФ в основном ориентировались на положения комплекса документов Банка России в области стандартизации информационной безопасности (Комплекс БР ИББС), предлагающих единый подход к обеспечению безопасности различных категорий информации (банковской тайны, персональных данных, коммерческой тайны и др.). Требования и рекомендации Комплекса БР ИББС многие участники банковской системы РФ уже реализовали в своих организациях.

В настоящее же время ситуация в этом направлении несколько изменилась. В 2011 году была принята новая версия ФЗ «О персональных данных», вносящая ряд изменений в регулирование защиты персональных данных, а также принят ФЗ «О национальной платежной системе», который в совокупности с Постановлением Правительства РФ от 13.06.2012 № 584 «О защите информации в платежной системе» и документами Банка России устанавливает дополни-тельные требования в части обеспечения защиты информации при осуществлении переводов денежных средств. Как следствие – возвращение к множеству разрозненных требований различных регуляторов, не объединенных единым подходом, реализация которых требует соответствующего комплекса органи-зационных и технических мероприятий. При этом по опыту можно сказать, что порядка 70-80% всех требований по различным тематикам значительно пересекаются между собой, и лишь в 20% требований привносится что-то индивидуальное.

16

...ËÅÃÊÎ Â ÁÎÞ case study

ÈÃÎÐÜ ÁÓÐÖÅÂ

ÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍ

LETA

ÎÑÍÎÂÍÛÅ ÒÐÅÁÎÂÀÍÈß ÏÎ ÈÁ ÁÑ:

• банковская тайна – ФЗ от 02.12.1990 № 395-1 «О банках и банковской деятельности»;• коммерческая тайна – ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;• персональные данные – ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»;• защита информации при переводах денежных средств – ФЗ от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;• защита данных держателей пластиковых карт – PCI DSS;• защита систем дистанционного банковского обслуживания – документы Банка России.



17

Сейчас на рынке услуг по информационной безопасности существует много предложений по выполнению комплексных проектов по реализации всех необхо-димых требований, когда результаты проекта (процессы ИБ, организационно-распорядительная документация, технические средства защиты) направлены на реализацию всех требований регуляторов.

В рамках подобных проектов оценивается применимость тех или иных требований к конкретной организации и выделяются общие, с точки зрения регулиру-ющих документов, направления ИБ (антивирусная защита, управление инцидентами ИБ, управление доступом, деятельность службы ИБ и т.д.). Последова-тельность реализации направлений ИБ определяется исходя из принципов приоритизированного подхода, основываясь на критичности внедряемых процес-сов ИБ для бизнеса.

Недостаток или отсутствие финансов на реализацию мероприятий по ИБ

Наиболее остро недостаток финансирования ИБ проявляется в средних и малых банках, в которых вопросам ИБ не уделяется должного внимания, а выделяемых средств не хватает на реализацию необходимых мероприятий. В таких условиях службе ИБ приходится рассчитывать в большей степени на свои силы при реализации требований регуляторов. Однако и с этим возникают проблемы, так как низкие заработные платы в таких банках (как следствие недостатка финансирования) не позволяют привлечь на работу квалифицированных специалистов, способных самостоятельно реализовы-вать поставленные перед ними задачи.

Кроме того, на текущий момент в малых и средних банках зачастую вопросами ИБ занимается один человек – собственно сам руководитель службы ИБ. В таких условиях говорить о полноценной реализации всех требований не приходится. Не лучше обстоят дела и в крупных банках, имеющих разветвленную филиальную сеть. При этом только единицы из них имеют региональные подразделения ИБ, поэтому службе ИБ головного офиса приходится постоянно отвлекаться на проблемы безопасности в регионах.

Нехватка людских ресурсов для решения поставленных перед службой ИБ задач

Решение проблемы дефицита кадров решается по-разному:

• одним удается убедить руководство в необходимости расширения службы ИБ• другие идут по пути привлечения внешних консультантов• третьи оптимизируют деятельность за счет внедрения дополнительных средств автоматизации

Но особенно печально дела обстоят, когда две составляющие этой проблемы пересекаются в рамках одного банка, т.е. когда нет ни денег, ни людей. В таком случае обеспечение ИБ в основном заключается в латании текущих дыр и устранении инцидентов ИБ, а также в притянутом соответствии требованиям регуляторов, когда требования если и выполняются, то в большей степени на бумаге. В таких случаях решение найти практически невозможно, так как одна проблема замыкается на другой, и, не разрубив этот узел, достичь поставленных задач не получится.

ÏÐÎÁËÅÌÀ 2: ÍÅÄÎÑÒÀÒÎÊ ÐÅÑÓÐÑÎÂ Â ÁÀÍÊÅ

Второй проблемой, с которой сталкиваются организации БС РФ при реализации законодательных требований в области ИБ, является острая нехватка ресурсов организации для их реализации. Эту проблему можно разбить на две во многом независимые составляющие:

ÏÐÎÁËÅÌÀ 3: ÎÑÎÇÍÀÍÈÅ ÏÐÎÁËÅÌ ÈÁ ÐÓÊÎÂÎÄÑÒÂÎÌ ÎÐÃÀÍÈÇÀÖÈÉ

К сожалению, большинство руководителей организаций до сих пор слабо осознают свою персональную ответственность за безопасность активов. Более того, по их мнению, информационная безопасность необходима только для выполнения требований регуляторов и не может приносить доход организации.

Для решения проблемы руководитель службы ИБ должен освоить язык бизнеса и на нем попробовать обосновать перед руководством необходимость потратить деньги на информационную безопасность.

На практике подготовка экономического обоснования стоимости системы ИБ – это процесс, основанный на оценке метрик информационной безопасности, который требует значительных затрат с точки зрения как людских, так и кадровых ресурсов. Для этого руководитель службы ИБ должен:

• определить ценность активов организации для бизнеса, • выявить и провести анализ угроз нарушения свойств ИБ активов,• оценить возможный ущерб от реализации выявленных угроз,• оценить вероятность возникновения ситуаций, когда ущерб неминуем.

Кроме того, на протяжении всего процесса руководитель службы ИБ должен привлекать высшее руководство для анализа результатов проведенных работ. При этом результаты должны быть экономически направленными и содержать финансовые показатели ценности, ущерба и т.д. Только так руководитель ИБ сможет добиться понимания и осознания со стороны руководства тех задач, которые стоят перед бизнесом в части обеспечения информационной безопасности.

Конечно, рассмотренный в рамках данной статьи перечень проблем реализации законодательных требований по обеспечению ИБ не является полным и зависит от специфики организации. Единого решения для всех в принципе не существует. Однако выявление и анализ существующих проблем, присутствую-щих в рамках конкретной организации, может стать первым шагом на пути к их решению.


ÓÒÅ×ÊÈ ÊÎÍÔÈÄÅÍÖÈÀËÜÍÎÉ ÈÍÔÎÐÌÀÖÈÈ. ÍÅÑÊÎËÜÊÎ ÑËÎÂ Î ÐÀÑÑËÅÄÎÂÀÍÈÈ ÒÀÊÈÕ ÈÍÖÈÄÅÍÒÎÂÈÍÖÈÄÅÍÒÛ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ: ×ÅÃÎ ÑÒÎÈÒ ÎÏÀÑÀÒÜÑß ÊÎÌÏÀ-ÍÈßÌ

Об инцидентах, связанных с информационной безопасностью, и методах борьбы с ними сказано немало. Возникает резонный вопрос: «А стоит ли еще раз обсуждать эту тему?» К сожалению, мне, как и многим моим коллегам по цеху, приходится дать положительный ответ. Большинство руководителей компаний продолжают отказываться воспринимать информационные ресурсы в качестве ключевых активов. Однако уже сегодня понятно, что один компьютерный инцидент может поставить даже крупную корпорацию на порог катастрофы.

18

ÈËÜß ÑÀ×ÊÎÂ

Group-IB


Распределение утечек по организациям. Доля банков, 1-2 кв. 2012г. (по данным Аналитического центра компании InfoWatch)

Прямые убытки кредитно-финансовых организаций от утечек в первом полугодии 2012 года составили чуть более 2 млрд долл.

Скомпрометировано более 2 млн записей, в том числе финансовые и персональные данные

Лидирующий тип утечек – финансовая информация – до 60%

Несмотря на ежегодное снижение доли утечек в коммерческих компаниях по отношению к общему числу утечек, доля «банковских» утечек остается неизменной – 5-7%

В банковском сегменте доля случайных утечек значительно ниже, чем в целом по всем индустриям (20% и 37% соответственно)

Также интересно, что в банках информация практически «не течет» через электронную почту, веб и съемные носители. Зато здесь значительно выше доля утечек через носители резервных копий – 41,7%

24,7% случаев от всех утечек пришлись на российские банки. При этом доля российских утечек в общей картине остается незначительной (см. «Глобальное исследование утечек за 2011 год»)

С точки зрения специалиста по расследованию компьютерных преступлений, можно выделить три основных цели, которые наиболее подвержены атакам со стороны компьютерных злоумышленников. Во-первых, деньги; во-вторых, информация; и, в-третьих, репутация. Думаю, не стоит лишний раз говорить о том, что все упомянутые активы так или иначе между собой тесно взаимосвязаны. Поэтому киберудар по одному из них может привести к возникновению ущерба в смежной области.

ÈÍÔÎÐÌÀÖÈß ÏÎ ÓÒÅ×ÊÀÌ Â ÌÈÐÅ 1-2 Q 2012 Ã. (ÏÎ ÄÀÍÍÛÌ ÀÍÀÒÈÒÈ×ÅÑÊÎÃÎ ÖÅÍÒÐÀ ÊÎÌÏÀÍÈÈ INFOWATCH)



19

Почему эти три актива представляют максимальный интерес для компью-терных злоумышленников? Потому что во всех этих случаях речь идет о возможности получения сверхдоходов.

Например, деньги. Тут и так все понятно. Идейных борцов за денежные знаки немало в виртуальном мире, и атаки на системы интернет-банкинга сегодня самый распространенный тренд на российском рынке киберпре-ступности. В итоге только за прошлый год российским компьютерным мошенниками удалось похитить со счетов юридических лиц 758,5 млн долларов.

А вот сетевые атаки на бренд и иные репутационные активы пока не имеют такого распространения, но все чаще встречаются при разборе инцидентов. Если компании принадлежит популярный бренд, которому массово доверя-ют потребители, мошенники обязательно постараются воспользоваться этим, чтобы под его прикрытием выманить у пользователей деньги. Фальшивый сайт, на главной странице которого расположен логотип той или иной организации, воспринимается большинством пользователей в качестве легального, принадлежащего этой организации, и потому доверенного. Таким образом, все претензии в случае мошеннических действий будут направляться в адрес компании, чей бренд был атакован. И хотя она абсолютно не причастна к нарушениям закона, это не будет особым оправданием в глазах интернет-сообщества, которое живо реагирует на любые подобные инциденты. «Ложечка», конечно, потом найдется, но вернуть прежний уровень доверия будет уже не так просто.

Последним активом, который стоит выделить особо, когда речь заходит о кибератаках на корпоративную инфраструктуру, является информация. Секреты производства, научные разработки, отчетность, финансовая документация, бизнес-планы, договоры, цены, персональные данные сотрудников — все это и многое другое представляет значительный интерес для компьютерных злоумышленников. Что-то можно продать недобросо-вестным конкурентам на черном рынке, что-то можно использовать для шантажа руководства пострадавшей компании, а что-то пригодится для осуществления мошеннических операций. При этом похищенные деньги можно вернуть, честное имя — восстановить, а вот, например, утеря «ноу-хау» действительно может привести к утрате конкурентных преиму-ществ и даже исчезновению бизнеса.

Стоит отметить, что, в отличие от первых двух случаев, расследование инцидентов, связанных с утечками информации, имеет иную специфику. Дело здесь заключается в том, что хищения денежных средств и сетевые атаки на бренды по сути своей являются мошенничествами. То есть присут-ствуют соответствующие квалифицирующие признаки, нанесен определен-ный ущерб и т.д., а значит, при наличии соответствующих доказательств злоумышленников можно привлечь к уголовной ответственности и потребо-вать возмещения причиненного ущерба. Информация защищается законом несколько в ином порядке, и не всегда можно однозначно сказать, является ли она конфиденциальной и несёт ли её утечка какой-либо ущерб для компании. Поэтому в этой статье мне бы хотелось уделить внимание некото-рым особенностям, связанным с расследованиями утечек.

Прежде чем обратиться непосредственно к вопросам расследования подобного рода инцидентов, необходимо остановиться на режиме коммер-ческой тайны, без внедрения которого защитить корпоративную конфиден-циальную информацию в рамках правового поля представляется затрудни-тельным.

У каждой компании, независимо от времени пребывания на рынке, есть свои секреты ведения бизнеса и достижения успеха. В одном случае это оригинальные разработки по организации структуры деятельности; в другом – эксклюзивные методики производства продукции или оказания услуг; в третьем – маркетинговые мероприятия, направленные на продви-жение продуктов и услуг компании. Все вышеуказанное в той или иной степени имеет место как на российском, так и на мировом рынке.

Не стоит забывать и об опыте в сфере ведения бизнеса и уникальном наборе собственных разработок и инструментов, которыми обладает каждая компания. Информация о таких инструментах по естественным причинам является объектом пристального внимания конкурентов, желающих получить сведения о разработках компании для применения в своих интере-сах. Конечно, компания-правообладатель строго следит за тем, чтобы сведения не были раскрыты и не был причинен соответствующий ущерб. Для достижений указанных целей и защиты своих интересов компании устанав-

ÐÅÆÈÌ ÊÎÌÌÅÐ×ÅÑÊÎÉ ÒÀÉÍÛ ÊÀÊ ÏÐÎÔÈËÀÊÒÈ×ÅÑÊÀß ÌÅÐÀ

ливают режим коммерческой тайны.

«Коммерческая тайна» – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоя-тельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерче-скую выгоду. Под информацией, составляющей коммерческую тайну в соответствии с N 98-ФЗ «О коммерческой тайне», понимается любая инфор-мация, содержащая научно-технические, технологические, производствен-ные, финансово-экономические сведения, в том числе составляющие секреты производства («ноу-хау»), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которым нет свободного доступа на законном основании и в отношении которых обладателем такой информации введен режим коммерческой тайны.

Таким образом, при осуществлении защиты информации, составляющей коммерческую тайну, организации имеют возможность обезопасить себя от существенных рисков, например, финансового ущерба, защитить свою репутацию и повысить конкурентоспособность. Если в организации отсутствует введенный режим коммерческой тайны или он введен с нарушением законодательства, то отсутствует и сама коммерческая тайна.

ÏÅÐÅ×ÅÍÜ ÍÅÎÁÕÎÄÈÌÛÕ ÄÅÉÑÒÂÈÉ ÄËß ÂÂÅÄÅÍÈß ÐÅÆÈÌÀ ÊÎÌÌÅÐ×ÅÑÊÎÉ ÒÀÉÍÛÂ ÎÐÃÀÍÈÇÀÖÈÈ: 1. Определить перечень информации, составляющей коммерческую тайну; 2. Ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3. Провести учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;4. Отрегулировать отношения по использованию информации, составляющей коммерческую тайну, с работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;5. Нанести на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, гриф «Коммерческая тайна» с указанием обладателя этой информации.

Стоит отдельно остановиться на одном важном моменте, связанном с определением перечня информации, составляющей коммерческую тайну. Закон дает право самостоятельно определять сведения, которые будут считаться в организации конфиденциальными, исходя из специфики бизнеса и особенностей самой компании, ограничиваясь лишь некоторыми исключениями. Следовательно, в компаниях стараются сделать максималь-но расширенный перечень информации. Но на практике туда попадает и та информация, которая по законодательству не может быть признана коммерческой тайной. В таких случаях при утечке коммерческой тайны защитить интересы организации будет невозможно, так как введенный

Утечка конфиденциальной информации может осуществляться как умышленно (например, из корыстной заинтересованности), так и случайно (оставление документов на рабочем столе). Соотношение умышленных и случайных утечек практически одинаково. Важно, что любую из них необходимо расследовать для выявления нарушителя, привлечения его к ответственности и возмещения нанесенного ущерба.

режим коммерческой тайны будет противоречить законодательству. Поэтому при введении режима коммерческой тайны необходимо обязательно проконсультироваться со сторонними специалистами, которые помогут избежать возможных ошибок и нарушений.

После проведения указанных выше мер режим коммерческой тайны считается введенным, что в целом поможет защитить интересы компании.

Но на практике, когда происходит утечка конфиденциальной информации, организациям приходится сталкиваться с различными сложностями при защите своих прав и интересов в государственных органах, особенно в части возмещения ущерба. Например, при проведении расследования подобного инцидента организации сталкиваются с проблемой доказательства виновно-сти нарушителя и привлечения его к ответственности. Это происходит из-за того, что сам факт введения режима коммерческой тайны еще не гарантиру-ет защиту прав компании в полном объеме, так как дополнительно требует-ся, чтобы в организации полностью было соблюдено трудовое законодатель-ство, а также проведены необходимые организационные меры. Например, издание необходимых приказов о введении режима коммерческой тайны, разработка внутренних положений и соответствующие инструктажи персонала по данному вопросу.

Отдельно хочу заметить, что при требовании возмещения ущерба от утечки конфиденциальной информации возникают проблемы расчета самого ущерба, так как нет точных и общепринятых алгоритмов расчета. Поэтому необходимо предусмотреть в локальных документах организации и догово-рах с контрагентами способ расчета ущерба или фиксированные денежные штрафы в случае утечки информации, составляющей коммерческую тайну. Данные действия способствуют положительному результату при возмеще-нии ущерба.



Соотношение случайных и умышленных утечек (по данным Аналитического центра компании InfoWatch)

ÈÍÖÈÄÅÍÒÛ, ÑÂßÇÀÍÍÛÅ Ñ ÓÒÅ×ÊÀÌÈ ÈÍÔÎÐÌÀÖÈÈ:

• хищения сведений для аутентификации во внутренних системах;• кража интеллектуальной собственности;• использование рабочих компьютеров для сторонней деятельности;• передача сведений ограниченного доступа через программы обмена мгновенными сообщениями и почтовые сервисы/клиенты.



21

Если утечка случилась и данный факт установлен, необходимо, прежде всего, определить носители информации, содержащие интересующие нас сведения. Осмотр, изъятие и иные действия желательно проводить в присутствии независимых компьютерных криминалистов и незаинтересо-ванных лиц, свидетелей, данные которых необходимо занести в соответ-ствующие акты. После этого следует снять полные посекторные копии носителей, дальнейшее криминалистическое исследование которых позволит ответить на максимум вопросов, связанных с инцидентом. Отмечу, что снятие посекторных копий должно проводиться исключительно с использованием программных и аппаратных блокираторов записи. В противном случае копии могут быть не приняты правоохранительными или судебными органами в качестве доказательств при разборе дела. После того как копии будут сняты, следует опечатать сами носители. Опечатывание производится таким образом, чтобы упаковка смогла гарантировать целостность содержимого, а ее нарушение было невосполнимо.

Параллельно с описанными процедурами следует провести выгрузку сведений из имеющихся в компании журналирующих систем (сетевое оборудование, видеонаблюдение, DLP, IPS, иные системы). Стоит отдельно отметить, что использование DLP-систем может значительно упростить проведение расследования. Такие решения имеют систему журналирования и собственные независимые архивы; также DLP-системы предоставляют возможность проводить поиск требуемых данных по заданным критериям.Если в компании используется DLP-система, и в случае регистрации утечки с ее помощью, необходимо зафиксировать полученные сведения и задоку-ментировать сам факт инцидента, параллельно составив соответствующие документы (служебная записка, акт осмотра и т.д.). Сведения из DLP-системы следует выгрузить и записать на носители информации. Одновременно с этими мероприятиями можно начинать аналитические работы по изучению истории работы данного пользователя для того, чтобы определить умысел в его действиях. Это также позволит установить круг пользователей, причастных к инциденту, и устройства, с помощью которых нарушитель осуществлял хищение информации. Как только будут опреде-лены эти устройства и если это возможно, следует осуществить их осмотр с дальнейшим изъятием и опечатыванием, о котором говорилось выше.

Возникает справедливый вопрос о том, что делать с опечатанными носите-лями информации, их посекторными копиями и сведениями из DLP-системы. Наиболее логичный шаг – передать все на исследование в независимую лабораторию компьютерной криминалистики. Это позволит восстановить хронологию события, извлечь необходимые данные, оформить их в качестве допустимых доказательств и подготовить отчет по итогам исследования. Все это потребуется для дальнейшей передачи в правоохранительные и судебные органы для защиты прав и интересов обладателя конфиденциальной информации.

ÓÒÅ×ÊÀ ÊÎÍÔÈÄÅÍÖÈÀËÜÍÎÉ ÈÍÔÎÐÌÀÖÈÈ:ÏÐÀÂÎÂÎÅ ÏÐÅÑËÅÄÎÂÀÍÈÅ

Точка при расследовании любого инцидента информационной безопасности может быть поставлена, только когда нарушитель будет признан виновным и понесет заслуженное наказание. Так и при утечке конфиденциальной информации основной целью пострадавшей компании является привлече-ние виновного лица к ответственности и возмещение причиненного ущерба компании.

«Внутренняя» утечка коммерческой тайны подразумевает распространение сведений работниками компании. В основном на практике такие нарушите-ли несут дисциплинарную и административную ответственность за данные действия, а также возмещают реально причиненный ущерб. Хотя в полови-не случаев утечка информации происходит по вине сотрудников компании, к сожалению, компании стараются не сообщать в правоохранительные органы и не привлекать своих работников к уголовной ответственности, так как это может отразиться на репутации компании.

В случаях «внешних» утечек, когда хищение информации произошло по вине стороннего злоумышленника, необходимо обязательно обращаться в правоохранительные органы для поиска и привлечения виновных лиц к уголовной ответственности и возмещения причиненного ущерба. В настоя-щее время наблюдается активный рост утечек конфиденциальной инфор-мации при неправомерном доступе к компьютерной информации и исполь-зовании вредоносных программ. Подобные преступления можно квалифи-цировать по совокупности статей 183, 272, 273 Уголовного кодекса РФ и уголовное наказание в этом случае может доходить до 7 лет лишения свободы.

ÓÑÒÀÍÀÂËÈÂÀÅÌ ÐÅÆÈÌ ÊÎÌÌÅÐ×ÅÑÊÎÉ ÒÀÉÍÛÏÐÅËÞÄÈß

По опыту общения с руководителями и менеджерами компа-ний, решившими установить у себя режим коммерческой тайны, знаю, что очень часто при оценке целесообразности этого шага исходят только из наличия охраноспособной инфор-мации, которая может быть отнесена к секретам производства. Гораздо реже при этом задумываются над тем, к чему этот шаг приведет в отношении всего созданного за годы существования предприятия массива данных и документов, хранящихся и обрабатываемых как в информацион-ной системе, так и в традиционном, архаичном, но живучем бумажном виде. Ответ на этот вопрос весьма не прост, а шаги, необходимые для реализации выдвигаемых законом требований, могут потребовать немалых ресурсов, как временных, так и денежных, а также серьезной юридической проработки.

Не будем рассматривать в данной статье, зачем и почему руководство предприятия решило устанавливать режим коммерческой тайны. Тема очень интересная, но вполне самостоятельная, да и написано об этом много. Подчеркну лишь, что я не случайно педалирую слова «руководство», «менеджмент» в самом начале статьи. Без их воли и полной поддержки проект по установлению режима коммерческой тайны успешным не будет. «Снизу», от службы безопасности, например, он не растет. Только «сверху», проверено много раз.

ÈÒÀÊ, ÐÅØÅÍÈÅ ÏÐÈÍßÒÎ

Понятно, что предприятие уже имеет свою историю, работает какое-то время, накопило нематериальные активы, хотя, может быть, еще это и само не осознало, и не оформило активы в том смысле, как это подразумевает Налоговый кодекс РФ. Как-то ни разу не сталкивался со стартапом, в котором режим коммерческой тайны устанавливается сразу, с момента учреждения компании и запуска в проработку идеи, послужившей основой для ее создания. Кстати, зря. Практически все стартапы – дети какой-либо «придумки», реализация которой обещает в перспективе большую или очень большую прибыль. То есть с потенциального секрета производства в чистом виде, у которого изначально есть два родовых признака из трех – потенциальная коммерческая ценность в силу неизвестности их третьим лицам и отсутствие у этих самых третьих лиц свободного доступа к этой самой идее на законном основании. А третий родовой признак ноу-хау – это как раз установление в отношении него режима коммерческой тайны.

Но у нас, как уже было сказано, не новорожденное предприятие, а некое поработавшее на рынке, накопившее идеи, технологии, исследования, в отношении которых хочется установить и реализовать исключительные права на объекты интеллектуальной собственности, предусматривающие возможность ограничивать к ним доступ по своему усмотрению, разрешать или запрещать их использование и иными способами получать преимуще-ства на рынке от единоличного владения этими секретами.

ÏÅÐÂÛÅ ØÀÃÈ

Первое, что придется сделать после принятия решения об установ-лении режима коммерческой тайны, – разработать перечень информации, составляющей коммерческую тайну (ИКТ). Без него двигаться куда-либо бессмысленно. И это первый большой, острый и, конечно, подводный камень на пути к конечной цели – снижению рисков утечек и получению правовой помощи государственных институтов в защите своих исключительных прав на секреты.

Подводный – потому что изначально эта задача кажется простой и очевид-ной. Большой и острый – потому что от того, как составлен перечень, в дальнейшем решающим образом зависит, будут ли конкретные сведения и документы относиться к коммерческой тайне их исполнителями и подписы-вающими их руководителями, или режим будет существовать только на бумаге, никак не затрагивая реальную деятельность предприятия.

Изначально перечень ИКТ чаще всего представляют собой одну страницу текста примерно с такими формулировками: «данные управленческого учета», «сведения о предприятии как о торговом партнере» или «информа-ция о направлениях маркетинговых исследований» (все приведенные примеры – абсолютно реальные). Скажите, положа руку на сердце, прочитав это, вы поймете, на каком конкретно документе надо поставить гриф «Коммерческая тайна» с указанием правообладателя? Вот и работники предприятия тоже не поймут. В результате гриф не ставится нигде. А это значит, что нет охраняемой информации, нет в отношении нее исключитель-ных прав и нет правовой защиты. Российские суды неоднократно отказыва-ли в признании незаконными действий конкурентов или бывших работни-ков предприятий, неправомерно использующих чужие наработки только на том основании, что ограничительного грифа и названия правообладателя на технологической документации не было. Не так давно пострадала от этого не последняя в России компания – «Уралвагонзавод», конкуренты которой наладили целое производство комплектующих, используя «позаимствован-ные» чертежи. Предприятие попыталось через суд добиться прекращение противоправной деятельности, но… Суды были непреклонны (цитирую постановление окружного арбитражного суда): «Окружной суд посчитал правомерным вывод предыдущих судов о непринятии ОАО «Уралвагонза-вод» всех необходимых мер для охраны конфиденциальной информации. Как справедливо указали суды, рассматривавшие дело, в ст.10 ФЗ «О коммерческой тайне» установлено, что нанесение на материальные носите-ли (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информа-ции является одной из таких мер. Доказательств нанесения соответствую-щей информации на чертежи своей продукции истец не представил, а потому в удовлетворении соответствующего требования истца отказано обоснованно».

Поэтому перечень ИКТ должен быть максимально конкретным, по прочте-нии которого работник, создавший документ, содержащий некие чувстви-тельные для предприятия сведения, может четко соотнести его с тем или иным положением перечня и принять решение об отнесении сведений к ИКТ и простановке грифа. Дело это, конечно, непростое, но решаемое. Наше агентство, например, использует для этого методики, позволяющие получить по каждой категории сведений, включаемых в перечень ИКТ,

ÌÈÕÀÈË ÅÌÅËÜßÍÍÈÊÎÂ

Консалтинговое агентство«Емельянников, Попова и партнеры»





23

устанавливающий сведения, которые к коммерческой тайне отнесены быть не могут. При этом следует помнить, что такие ограничения содержатся и в других федеральных законах, регулирующих вопросы доступа к информации. Если этим не озаботиться на этапе составления перечня, наличие в нем сведений, охрана которых в режиме коммерческой тайны запрещена законом, может привести к оспариванию перечня в суде, признания его юридически ничтожным со всеми отсюда вытекающими последствиями. Есть в законе о коммерческой тайне одна очень опасная и часто не замечаемая норма: режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 статьи 10 закона. А там первое требование – наличие перечня. Нет его (суд не согласился) – значит, и режима нет, и исключительных прав на секреты производства.

ÊÀÊ ÍÅ ÓÒÎÍÓÒÜ Â ÌÎÐÅ ÈÍÔÎÐÌÀÖÈÈ

Перечень ИКТ сформирован. Теперь надо наладить работу по отнесению к ИКТ вновь создаваемых сведений и документов. При этом перечень должен рассматриваться не как «демон Максвелла», четко фильтрующий докумен-ты и однозначно раскладывающий в их в две корзины – «Общедоступные» и «Содержащие ИКТ», а как светофор, который зажигает желтый свет и заставляет подумать о необходимости и целесообразности ограничения доступа к тем или иным сведениям. Скажем, упоминавшаяся выше категория «Информация о предполагаемых сделках, цена которых превы-шает …» вовсе не означает автоматического отнесения всех договоров на сумму свыше установленной к ИКТ. Например, сведения о проведении косметического ремонта помещений вряд ли имеют ценность в силу неизвестности их третьим лицам, даже если здание большое и ремонт дорогой. И уж точно не позволит обладателю этих сакральных знаний «увеличить доходы, избежать неоправданных расходов, сохранить положе-ние на рынке товаров, работ, услуг или получить иную коммерческую выгоду», что является целью установления режима коммерческой тайны по закону. Но заставит задуматься о том, надо ли относить информацию о заключении договора на установленную перечнем ИКТ сумму к ИКТ.

С вновь создаваемыми сведениями все более-менее просто. А вот что делать с той информацией, что была создана ранее, до установления режима коммерческой тайны? Вопрос совсем не простой.

С одной стороны, ответ кажется очевидным – найти и засекретить. Но это поверхностный, необоснованный и опасный ответ. И вот почему.

Мы помним про родовые признаки коммерческой тайны, в том числе – отсутствие доступа к ней третьих лиц на законном основании. Есть еще один тонкий момент. Статья 1467 Четвертой части Гражданского кодекса РФ коротка и сурова: «Исключительное право на секрет производства действу-ет до тех пор, пока сохраняется конфиденциальность сведений, составляю-щих его содержание. С момента утраты конфиденциальности соответствую-щих сведений исключительное право на секрет производства прекращается у всех правообладателей».

И вот тут надо остановиться и задуматься. А все ли лица, включая уже уволившихся работников предприятия, приняли на себя обязательство хранить в тайне сведения, которые обладатель собирается защищать в режиме коммерческой тайны? И выводы для предприятия как работодате-ля могут оказаться весьма неутешительными. Отношения с работниками, связанные с коммерческой тайной, по закону регулируются исключительно трудовым договором, для обеспечения чего и Трудовой кодекс (ст.57), и Федеральный закон «О коммерческой тайне» (п.4 части 1 ст.10) предусма-тривают соответствующие нормы. Но работник, создавший объект интеллектуальной собственности, формально подпадающий под определе-ние ноу-хау, уже уволился. До установления режима. И никаких обязанно-стей по охране конфиденциальности в соответствии с законом не имеет. Юридическая ловушка здесь заложена серьезная. Опять-таки, нельзя сказать, что не разрешимая, но требующая значительных усилий по ее обходу.

Вторая значительная проблема заключается в том, что сведения, правомер-но относимые к коммерческой тайне, и содержащиеся в конкретном документе, могут быть и в других, пока не загрифованных документах. Их надо найти в бумажных завалах, и, что сложнее, в информационной системе. Найти, проанализировать и, если надо, проставить на них гриф и наименование обладателя.

Вот здесь совершенно неоценимую помощь могут оказать обладателюсекретов DLP-системы, которые могут на лету анализировать содержание документов с использованием методов контентного (лингвистического) анализа или цифровых отпечатков. Но правила анализа (ключевые слова и фразы) придется задавать вручную. Хорошо, если производитель подумал об этой проблеме, и предлагает некие правила фильтрации. Очень хорошо, если они разработаны с учетом специфики отраслевой деятельности. Но все равно, подумать, попотеть и поработать руками придется. Если, конечно, важен результат. Другой распространенный и приемлемый путь – выявляем электронный документ, фиксируем ту его часть, которая содержит ИКТ, делаем «цифровой отпечаток» этого фрагмента и ищем те электронные документы, где он встречается. Оптимальным является сочетание этих двух методов, поскольку позволяет снизить ошибки и первого (ложное срабаты-вание – принять за охраняемые сведения таковыми не являющиеся), и второго (пропустить критичную информацию) рода. И там, и там есть ограни-чения, но в целом методика выглядит примерно так.Конечно, такая работа потребует времени и квалификации (найти – оценить – принять решение), но без этого обойтись при реальной заботе о сохранно-сти секретов будет трудно.

Не забудем, что выявленные электронные документы, содержащие ИКТ, надо загрифовать. Для этого неплохо бы создать шаблоны форматирования, содержащие необходимые реквизиты (гриф, наименование и место нахождения обладателя), чтобы документы наиболее распространенных форматов (MS O�ce, pdf и другие – в зависимости от специфики деятельно-сти предприятия) можно было оформить одним нажатием кнопки в соответ-ствующем приложении (для чего написать плагин) или в системе электрон-ного документооборота (некоторые это уже умеют делать с тем или иным успехом).

Все это крайне важно по причине специфики российского законодательства, требующего нанесения грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц – полного наименования и места нахождения) на все без исключения материальные носители и документы. Не забудем и про базы данных, где сведения хранятся не в виде файлов, а как записи. Как минимум, в базу просится пара-тройка дополнительных полей. В российских судах уже достаточно много прецедентов отказов в защите прав обладателя секретов и привлечении работников к ответственности за неправомерное использование сведений из-за отсутствия грифа именно у данных, хранимых именно в электронном виде.Отметим еще, что работа по анализу содержания информации в системе предприятия – процесс постоянный и никогда не заканчивается в период действия режима коммерческой тайны. Как и совершенствование базы контентной и лингвистической фильтрации, базы цифровых отпечатков. Часто и справедливо говорят, что обеспечение безопасности – это непрерыв-ный, циклический процесс. И в ходе его, особенно в отношении информации, составляющей коммерческую тайну, еще не раз сможет помочь применение DLP-систем. Но это совсем другая история.

Конечно, мы рассмотрели только в самых общих чертах и далеко не все аспекты, связанные с процессом установления режима коммерческой тайны, да и цели такой не стояло. За границами статьи осталось регулирова-ние отношений с работниками и контрагентами, взаимодействие с органами власти в ходе предоставления им защищаемых сведений, учет доступа и осведомленности и многие другие аспекты. Но даже на примере рассмотрен-ных вопросов отнесения сведений к охраняемым видна многогранность, сложность и масштабность проблемы защиты секретов производства.

ÂÇßÒÛÅ ÂÛÑÎÒÛSuccess stories

ÎËÅÃ ÑÌÎËÈÉîá îïàñíîñòè âíóòðåííèõ óãðîç äëÿ áàíêîâ


ÂÇßÒÛÅ ÂÛÑÎÒÛ success stories

25

ÎÏÀÑÍÎÑÒÜ ÂÍÓÒÐÅÍÍÅÃÎ ÍÀÐÓØÈÒÅËßО. Смолий: «Для крупного банка с хорошо организованной защитой информации хакерские атаки равносильны укусу комара. Ущерб от них и от других видов внешних угроз несопо-ставим с ущербом, который банк может понести от внутренних нарушителей».С развитием технических средств обеспечить информационную безопасность становится все сложнее, а возможный ущерб от внутренних утечек становится все больше. О том, как в одном из крупнейших российских банков обеспечивается защита от внешних и внутренних угроз, рассказал Олег Смолий.

ÍÅ ÊÎÍÔÈÄÅÍÖÈÀËÜÍÎÑÒÜÞ ÅÄÈÍÎÉ¾

Последнее время теме информационной безопасности уделяется достаточно много внимания. Существует ли какая-либо специфика обеспечения информационной безопасности в банке?О. Смолий: В любой современной организации необходимо защищать три свойства информации – конфиденциальность, целостность и доступность. В зависимости от специфики работы организации приоритеты этих трех «столпов» могут меняться. В банке очень важны такие параметры, как доступность и целостность информации, поэтому при построении систем их учитывают в первую очередь. В отличие от конфиденциальности, важность которой не меньше, обеспечение защиты должно производиться не в ущерб первым двум.

Приведу конкретный пример. Для контроля почтового трафика мы постави-ли в банке две системы, одна из которых InfoWatch Tra�c Monitor, вторая – Websense DSS. Обе системы позволяют контролировать исходящий трафик на предмет наличия конфиденциальной информации в реальном времени и, в случае обнаружения нарушений, блокировать передачу подозритель-ных сообщений. Поиск конфиденциальной информации в сообщениях системы производят по разным алгоритмам, поэтому мы используем для этой задачи обе системы. Дополнительно система InfoWatch Tra�c Monitor позволяет вести большой архив исходящей электронной почты банка за длительный период времени с возможностью подробного последующего анализа для расследования случаев утечки конфиденциальных данных.

Обычно при внедрении такие системы ставятся «в разрыв». То есть вся исходящая информация перед отправлением проходит через модули контроля. Письмо сначала проверяется, а затем, если не обнаружено нарушение, отправляется адресату. Если же находится чувствительная информация, то передача сообщения блокируется до принятия решения оператором. При этом получаются как значительные задержки в отправке сообщений, так и возможные ложные реагирования системы и блокирова-ние сообщений по информации, похожей на конфиденциальную. Мы выбрали иную схему реализации: письмо отправляется без задержек, а модулю контроля предоставляется копия, которая анализируется на наличие конфиденциальной информации.

Выбирая такую конфигурацию системы, мы руководствовались тем, что в работе банка очень важны безотказность и своевременность доставки сообщений. Потери от ложной тревоги и возникающей при этом длительной задержки могут оказаться гораздо более значительными, чем в случае утечки информации. Поставив систему информационной безопасности в копию трафика, мы не вмешиваемся в работу почтовой системы, но в то же время можем проводить полный анализ исходящей информации без задержки писем.

Таким образом, некоторые особенности в построении архитектуры системы существуют, и возникают они потому, что нам приходится расставлять приоритеты.

А если обнаружится конфиденциальная информация в письме после его отправления?О. Смолий: При должной организационной работе такие случаи происходят очень редко. И в основном не по злому умыслу, а по ошибке сотрудников. Здесь важна тщательная работа с кадрами банка, осведомленность в вопросах безопасности, дисциплина и осознанная ответственность сотрудников.

Кстати, нередко сотрудники службы информационной безопасности пытают-ся выразить риски в численном, то есть денежном выражении. Я считаю такие попытки «оцифровать» риски либо рекламным трюком, либо некомпетентностью. По моему убеждению, сотрудник службы безопасности может обозначить риски, довести сведения о рисках до владельца информа-ции и руководителя организации, но не может перевести риски в деньги. Это могут делать только бизнес-подразделения, которые являются владельца-ми информации, и то лишь оценочно. Можно попробовать рассчитать ущерб, который возникнет в случае реализации риска. Но эта оценка будет очень приблизительной, поскольку размер ущерба зависит не только от того, какая информация вышла за пределы кредитной организации, а в большей степени от того, как эта информация была использована.

Системы безопасности – дорогое удовольствие. Какие средства защиты информации вы считаете первоочередными?О. Смолий: Защита информации – это, прежде всего, организационный вопрос, а потом уже технологический. Некоторые банки вооружаются до зубов, покупая всевозможные системы по защите информации, а потом не знают, что со всей этой «тяжелой артиллерией» делать. В этом случае инвестиции вряд ли когда-либо окупятся, а результат может оказаться нулевым. Многие утечки информации могут быть предотвращены еще до установки систем DLP путем разработки специальной нормативной базы, обеспечения осведомленности сотрудников, проведения учебных семина-ров и прочего. Эти меры позволяют многократно сократить риск утечки информации. К тому же нельзя закрывать выборочно угрозы отдельными средствами, как будто для этого предназначенными. Решать проблемы надо комплексно, со всех сторон.

Кроме того, существуют недорогие системы, которые имеют многоцелевое назначение. Например, электронные замки на компьютерах, различные системы для контроля использования отчуждаемых носителей информации на компьютерах. Например, в банке использование USB-устройств запреще-но без специального разрешения. Чтобы получить его, нужно

ÎËÅÃ ÑÌÎËÈÉ

Независимый эксперт



оформить заявку, согласовать ее с руководителем подразделения сотрудни-ка, службой безопасности, подразделениями ИТ и т.д. В этом случае автома-тизированное рабочее место сотрудника ставится под особый контроль. Поэтому при обеспечении информационной безопасности нужно все-таки начинать с организационных мер, а уже потом выбирать соответствующие технологические решения, если они необходимы. В таком случае потреб-ность в дорогостоящих системах будет сведена к минимуму.

Но банк, наверное, все-таки «вооружен до зубов»?О. Смолий: Я бы сказал, что мы при решении этой проблемы придержива-емся принципа разумной достаточности.

ÒÎÏ-ÌÅÍÅÄÆÅÐ ÏÎÄ×ÈÍßÅÒÑß ÎÁÙÈÌ ÒÐÅÁÎÂÀÍÈßÌ

Какие угрозы, по вашему мнению, представляют наибольшую угрозу для кредитной организации – внутренние или внешние?О. Смолий: По моему опыту, провести границу между внутренними и внешними угрозами не всегда возможно. Например, какой угрозой – внешней или внутренней – являются представители компаний-исполните-лей или компаний-аутсорсеров?

Наверное, это все-таки внутренняя угроза. Ведь банк передает этим компаниям часть своих функций.О. Смолий: В некоторых случаях банк относит исполнителей к числу внешних угроз, так как от них легче защититься. Например, путем отделения среды разработки от промышленных сред. В данном случае банк действует по принципу «разделяй и властвуй».

Внутренние угрозы более опасны?О. Смолий: Еще в 2000 году, когда мы впервые разрабатывали модели нарушителей и угроз, оценив возможности различных типов нарушителей, был сделан вывод, что 80% угроз – это внутренние угрозы.

Противодействовать «внешнему врагу» уже не так сложно – весь мир много лет занимается этим, наработано множество рекомендаций, методик, практик и технических средств. А вот полностью обезопасить банк от внутренних угроз практически невозможно. Например, системный или сетевой администратор имеет доступ практически ко всей информации, а ограничить ему доступ нереально.

А как же хакерские атаки? Сегодня многие от них страдают.О. Смолий: Для крупного банка с хорошо организованной защитой инфор-мации хакерские атаки равносильны укусу комара. Замечу, «хорошо органи-зованная защита» – это много работы и вложенных средств. Бывают, конечно, и более ощутимые угрозы. Например, DDOS-атаки, которые «накрывают» информационный доступ к банку. Но и от них можно успешно защититься: когда у банка есть своя автономная интернет-система, несколь-ко провайдеров и многоканальная система доступа и при этом строится защита сетевого доступа на уровне провайдеров, то степень безопасности будет достаточно высокой, чтобы гарантировать стабильность работы. На некотором достигнутом уровне развития информационной безопасности вы начинаете уделять больше внимания другому. Ущерб от внешних атак уже несопоставим с возможным ущербом от внутренних утечек. Например, если руководитель высокого уровня, переходя на работу в другой банк, украдет данные по клиентам и потом начнет их, этих клиентов, переманивать, потери могут оказаться немалыми.

Банк работает с корпоративными клиентами. Влияет ли это на систему защиты информационной безопасности?О. Смолий: Конечно, клиенты банка – это крупнейшие корпорации, многие стратегически важны для страны, а потому мы должны обеспечить защиту информации не только от криминальных структур, но и от интересов спецслужб других государств.

Но как можно противодействовать утечке баз данных вместе с топ-менеджером? Руководство банка по опре-делению имеет доступ к широкому спектру информации. Как можно помешать уходящему топу «прихватить» ее с собой?О. Смолий: Конечно, от каких-то малых по объемам утечек информации вообще невозможно защититься. Например, чуть ли не каждый пятый человек легко запоминает до 30 экранов информации после определенных тренировок.

Но стоит отметить, что у высоких руководителей не всегда есть доступ ко всей информации. В крупных организациях топ-менедежер работает на штатной должности, и его полномочия по доступу к информации определя-ются в соответствии с его функциональными обязанностями, как и в случае с другими сотрудниками. То есть противодействовать нарушениям можно с помощью разграничения доступа по принципу минимально необходимых полномочий. Кроме того, для предотвращения злоупотреблений и фальси-фикаций существует известное правило «двух рук», когда документ вступает в действие только в том случае, если на нем стоят две подписи – руководи-теля и клерка. Существуют и другие механизмы, которые помогают защитить информацию от утечек или несанкционированных изменений. Мы уделяем пристальное внимание их разработке, а также контролю их исполнения, потому что нарушения в этой области могут не только привести к финансовым потерям, но и нанести серьезный ущерб репутации банка. Например, некоторые клиенты, которым предлагают перейти на обслужива-ние в другую организацию, могут поддаться на уговоры менеджера-нару-шителя. А некоторые клиенты воспримут предложение как угрозу своему бизнесу, потому что задумаются о том, как другой банк получил сведения о его компании.

Вы говорили, что криптографические системы обеспечи-вают достаточно надежную защиту конфиденциально-сти информации от внешних угроз. Всегда ли удается использовать системы шифрования для защиты?О. Смолий: Отмечу, что данным вопросом я занимаюсь лишь косвенно и только в отношении систем связи. Криптография и вопросы управления ключевой информацией находится в компетенции моих коллег в нашем подразделении. Но могу сказать, что мы не применяем криптографию одновременно сразу в нескольких плоскостях в отношении одной и той же информации. Здесь действует принцип разумной достаточности. Не вся информация в банке требует использования криптографии. Часто, когда криптографическая защита для информации требуется, ее удобно и достаточно обеспечить на уровне документа. Или шифровать выборочные потоки информации. То есть не тотально защищать шифрованием все каналы связи, а защитить отдельный документ или отдельные каналы связи и участки сети. Например, при передаче информации по публичным каналам связи. Иными словами, мы закрываем криптографическими системами только то, что действительно нужно закрыть. Не допуская излишеств.

То есть вы закрываете криптографическими системами критичные процессы?О. Смолий: Да, мы оцениваем критичность каждого процесса и выбираем оптимальное решение для обеспечения его информационной безопасности. Например, возникла задача разработки удаленного рабочего места для возможности работы наших сотрудников на чужих неконтролируемых территориях – в командировках или дома. Для того чтобы сотрудник мог работать с информацией без риска ее утечки или искажения, мы создали так называемую доверенную виртуальную среду. Эта виртуальная среда «запускается» из зашифрованного образа, и при доступе к банковской информации проходит различные необходимые проверки.

ÎÄÍÎ ÕÎÐÎØÎ, À ÄÂÀ ËÓ×ØÅ

На какие параметры вы обращаете внимание в первую очередь при выборе решений по информационной безопасности?



27

Как делаете выбор среди разработчиков и производи-телей?О. Смолий: Мы делаем выбор, исходя из своих потребностей. Смотрим, что есть на рынке, сравниваем, а потом делаем выбор. Стандартный процесс. Много внимания уделяем вопросам дальнейшего технического сопровожде-ния со стороны выбираемых интеграторов и производителей. Важно не только купить, но и грамотно внедрить и потом без сложностей эксплуатиро-вать.

Вы не придерживаетесь принципа единообразия – чтобы существовала единая платформа и чтобы проще было производить интеграцию?О. Смолий: У единообразия есть две стороны. С одной стороны, внедрение единообразных систем, то есть, проще и понятнее, систем от одного разработчика. Например, мы давно нашли взаимопонимание со службой ИТ, что наша сложная телекоммуникационная среда должна быть единоо-бразна для оптимизации структуры управления и сопровождения. В резуль-тате сейчас все телекоммуникационное оборудование у нас от одного производителя.

С другой стороны, иногда отсутствие разнообразия ведет к ослаблению надежности или недостатку функциональности. В некоторых случаях единообразие может создать единую точку отказа. Поэтому при выборе решений нужно каждый раз исходить из целесообразности.

По материалам статьи, опубликованной в «Национальном банковском журнале» №12 (91) Декабрь 2011

Например, при организации мониторинга исходящих потоков электронной почты мы пошли как раз по второму пути, о чем я рассказывал чуть раньше, – внедрили две системы различных производителей, которые дополняют друг друга – InfoWatch и Websense.

Как добиться того, чтобы решения ИТ соответствовали не только техническим требованиям, но еще и требова-ниям к информационной безопасности?О. Смолий: Важно понимать, что безопасность – не добавка к существую-щим информационным системам, а их неотъемлемая часть, нередко определяющая архитектурные решения. Бывает, схемы некоторых решений строятся на основании идей, зародившихся в подразделении безопасности. Например, когда разрабатывалась схема доступа наших заграничных филиалов к банковской информационной системе. Дело в том, что законода-тельства стран различаются, и к тому же существуют юридические ограниче-ния, поэтому часть операций необходимо производить на территории России. На вопрос, как это сделать, мы предложили создать виртуальный «филиал». В результате пользователи заграничных филиалов работают в терминальном режиме, и обработка информации осуществляется в центре в нашей стране.

Такие совместные решения возможны, если сотрудники подразделений безопасности и ИТ говорят на одном языке. Когда есть конструктивный профессиональный диалог, находятся оптимальные решения.

ÀÊÀÄÅÌÈß ÃÅÍØÒÀÁÀÎáçîðû, àíàëèòèêà, òðåíäû

ÄÌÈÒÐÈÉ ÊÓÇÍÅÖÎÂ î áåçîïàñíîñòè ïðè ðàáîòå ñ ÄÁÎ

ÄÅÍÈÑ ÃÓÍÄÎÐÈÍ È ÌÈÕÀÈË ÏËÀÕÓÒÀ î çàùèòå BYOD â êðåäèòíûõ îðãàíèçàöèÿõ


ÀÊÀÄÅÌÈß ÃÅÍØÒÀÁÀ îáçîðû, àíàëèòèêà, òðåíäû

29

ÄÁÎ ÏÎÄ ÏÐÈÖÅËÎÌВ последние годы мы наблюдаем постоянный рост количества преступлений, связанных с использованием систем дистанцион-ного банковского обслуживания (ДБО). По словам специалистов, проводящих расследования подобных преступлений, доход одной отдельно взятой преступной группировки превосходит совокупный бюджет безопасности всех российских банков – и такая оценка не кажется преувеличением.

Безусловно, банки стараются изменить ситуацию: клиентам предлагают аппаратные средства верификации и подписи платежных поручений, массово используются однократные пароли и SMS-подтверждения платежей, внедряются, хоть и осторожно, системы фрод-мониторинга. И все же проблема далека от решения. Анализ мер, принимаемых банками для противодействия мошенникам, выявляет три внутренних фактора, мешаю-щих банкам добиться успеха.

Первое – это некоторая инертность мышления: банки в основном принима-ют меры только против тех угроз, которые уже приобрели массовый характер. Разрыв в понимании уровня проблемы зачастую не позволяет техническим специалистам подразделений безопасности убедить менед-жмент в реальности угрозы до тех пор, пока банк сам не столкнется с ее проявлениями. В итоге банки находятся в положении догоняющих, предоставляя инициативу мошенникам.

Второе – действующее законодательство позволяет во многих случаях переложить финансовую ответственность за мошенничество на клиента. В результате многие кредитные организации не хотят вкладываться в дополнительные меры безопасности, хотя и демонстрируют озабочен-ность связанными с мошенничеством репутационными издержками.

Третье – слишком узкая постановка проблемы представителями банковско-го сообщества. Статистика инцидентов показывает, что большая часть

преступлений, затрагивающих системы ДБО, связана с низким уровнем защищенности рабочих мест клиентов. Хакеры инфицируют компьютеры пользователей, получают доступ к криптографическим ключам, а вместе с этим и возможность формировать и отправлять от имени клиента поддель-ные электронные платежные документы. Соответственно и предлагаемые решения, как правило, направлены в основном на повышение защищенно-сти ключевых носителей и обеспечение доверия к платежным документам. В результате принимаемые банками меры лишь несколько затрудняют деятельность мошенников, не решая проблему в целом.

Давайте посмотрим на вопрос шире. Платежный документ, формируемый клиентом, проходит несколько этапов обработки. Сначала он поступает в систему Банк-клиент, где производится его первичная обработка (проверка электронной подписи, авторизация с помощью однократных паролей и т. п.). Затем сведения о платеже поступают на обработку в автоматизированную банковскую систему. В результате обработки формируются пакеты платеж-ных документов, отправляемые в соответствующие платежные системы. Строго говоря, кибермошенник может вмешаться в процесс на любом этапе обработки: на сегодняшний день применяемые банками меры защиты не являются для него непреодолимым препятствием. Давайте рассмотрим наиболее часто встречающиеся технические недостатки в защите, взглянув на нее глазами хакера и основываясь на опыте проведения тестов на проникновение.

ÄÌÈÒÐÈÉ ÊÓÇÍÅÖÎÂ

Positive Technologies

Хакеру доступны разные пути достижения цели. Сегодня банки концентрируются только на некоторых из них.


ÀÒÀÊÀ ÍÀ ÊËÈÅÍÒÀ

Действительно, клиент является самым слабым звеном цепи, и атаковать его проще всего. Подавляющее большинство компьютеров уязвимо по отношению к атакам из сети Интернет, например за счет уязвимостей в браузерах, Adobe Flash Player, пакете Microsoft O�ce и самой операционной системе. В результате квалифицированный хакер способен атаковать рабочее место почти любого пользователя сети Интернет* и получить над ним контроль, установив троянскую программу. В результате хакер способен выполнять на этом рабочем месте любые действия от имени пользователя, в том числе (в случае с клиентскими рабочими местами систем ДБО) перехватывать авторизационные данные пользователей и формировать поддельные платежные документы, используя те же самые средства криптографической защиты, которые использует клиент.

Понимая это, банки разумно рассматривают рабочее место клиента как заведомо недоверенную среду, контролируемую мошенником. Защитные меры принимаются в трех направлениях:• повышение осведомленности клиентов;• использование однократных паролей;• использование усиленных криптографических средств.

Повышение осведомленности включает в себя информирование клиентов о том, как важна безопасность при работе с ДБО, и разработку инструкций по безопасному использованию ДБО. К сожалению, оба этих пути неэффектив-ны. Социотехнические исследования показывают, что даже тематические очные тренинги лишь на короткое время привлекают внимание аудитории к вопросам ИБ. Инструкции по безопасной работе, как правило, содержат общие требования обязательного использования антивирусов, парольной защиты, обязательной установки обновлений безопасности. Даже в таком объеме клиенты не всегда выполняют требования инструкции, в то время как для действительно серьезной защиты от хакера требуется проверка и дополнительная настройка более 200 параметров операционной системы и приложений, а также постоянное отслеживание новых версий используе-мых программ и их своевременная установка. Специалистам в небольших компаниях такая задача не по силам.

Возможность установки троянских программ позволяет хакеру сравнитель-но легко обходить механизмы защиты посредством однократных паролей. Например, за счет локальной подмены ответа DNS на компьютере пользова-теля мошенники перенаправляют клиентов на свой сайт, в точности копиру-ющий сайт системы ДБО. Это позволяет им взаимодействовать с реальной системой ДБО от имени клиента, вводя передаваемые им авторизационные данные и однократные пароли, но устанавливая при этом собственные реквизиты платежей.

По той же причине поддаются обходу и криптографические средства защиты. До сих пор в некоторых системах ДБО в качестве ключевого носите-ля используются обычные дискеты, что позволяет мошенникам просто копировать ключи. Популярные до недавнего времени аппаратные ключевые носители, такие как iButton и eToken, при их использовании с сертифицированными криптопровайдерами также не обеспечивают защиту криптографического ключа: в момент выполнения криптографической операции ключ считывается операционной системой, где и перехватывается троянской программой. Следующее поколение аппаратных носителей, самостоятельно выполняющих криптографические операции, тоже не стало решением проблемы: контролируя операционную систему, троянская программа сама отдает ключевому носителю команду подписать сформиро-ванный ею поддельный платежный документ.

Отчасти проблему могло бы решить использование появившихся на рынке автономных криптографических устройств, которые самостоятельно отобра-

жают пользователю реквизиты платежного документа и не управляются операционной системой. Но, даже решив проблему обеспечения подлинно-сти отправляемых клиентами платежных поручений, банки оставляют нарушителю альтернативные пути.

ÀÒÀÊÈ ÍÀ ÑÅÐÂÅÐÛ ÑÈÑÒÅÌ ÄÁÎ

Иногда серьезные уязвимости обнаруживаются непосредственно в сервер-ной части систем ДБО. В веб-приложениях этих систем встречаются такие уязвимости как «Внедрение операторов SQL» или «Внедрение кода PHP», что позволяет хакеру получить полный контроль над системой. Частой пробле-мой является отсутствие принудительных ограничений на сложность паролей и отсутствие противодействия подбору паролей. В таких системах хакерам за сравнительно короткое время удается получить доступ к счетам 2-3% клиентов, использующих словарные пароли. Встречаются недостатки, позволяющие обходить однократные пароли и SMS-информирование, например за счет изменения шаблонов, определяющих реквизиты комму-нальных платежей. В целом банки уделяют серьезное внимание защищен-ности внешнего интерфейса систем ДБО, но в то же время нарушитель способен идти обходным путем.

При правильной реализации электронная подпись под платежными документами могла бы стать серьезным препятствием для мошенников, но этому мешает архитектура современных банков-ских приложений. Как правило, автоматизированная банковская система (АБС) и система Банк-клиент выполняются в виде самосто-ятельных информационных систем, взаимодействующих на уровне передачи данных (чаще – путем передачи файлов, реже – за счет совместного использования СУБД).

Разработчики стремятся сделать интерфейсы взаимодействия максимально универсальными, чтобы обеспечить возможность интеграции систем самых разных производителей. Обратной стороной медали становится невозмож-ность сквозного использования электронной подписи клиента для подтверждения подлинности платежного документа на всех стадиях его обработки.

Сейчас обработка электронного платежа часто выглядит следую-щим образом:• система Банк-клиент принимает документ, проверяет подлинность электронной подписи и вносит реквизиты платежа в базу данных;• на основе реквизитов платежа формируется и распечатывается бумажный платежный документ, который подписывается сотрудником банка и подши-вается в документы операционного дня;• данные платежа экспортируются в АБС, где и производится его дальнейшая обработка;

Аналогично, только в обратном направлении, обрабатываются выписки по операциям клиентов. Отсюда видно, что, с точки зрения платежного технологического процесса, особую важность представляют данные, помещенные в СУБД системы Банк-клиент уже после того, как будет проверена электронная подпись клиента, или до того, как они будут подписаны электронной подписью банка. Получив контроль над этой СУБД, мошенник может произвольно формировать платежные документы от имени любого клиента и изменять выписки до их отправки клиентам. Это позволяет нарушителю в течение некоторого, возможно, продолжительного времени совершать мошеннические операции, оставаясь незамеченным до тех пор, пока по каким-либо причинам не будет проведена сверка остатков на счетах пострадавших клиентов.

Таким образом, нарушителю требуется преодолеть сетевой периметр, найти сервер СУБД системы ДБО и получить контроль над ней.

_____________________________________________________________________________________________________

* Исследования показывают, что до 30% субъектов поддаются простейшим атакам с использованием массовой рассылки вредоносного контента и до 80% поддаются целенаправленным атакам, в которых используются сведения об атакуемом субъекте, доступные в сети Интернет.




31

ÏÐÅÎÄÎËÅÍÈÅ ÑÅÒÅÂÎÃÎ ÏÅÐÈÌÅÒÐÀ

Несмотря на то, что самим серверам ДБО банки уделяют значительное внимание, зачастую в общей ДМЗ с ними обнаруживаются серверы сторонних приложений, имеющие критические уязвимости. Наибольшую опасность представляют собой веб-приложения с уязвимостями высокого уровня критичности, в том числе – со стандартными паролями к интерфейсам управления. Подобные недостатки нередко эксплуа-тируются хакерами с помощью автоматизированных средств, и для преодоления сетевого периметра даже не требуется участие человека.

Другой путь преодоления сетевого периметра – использование недостатков в реализации различных интерфейсов удаленного доступа к корпоративным информационным ресурсам банка: SSH/TELNET, RDP, различные VPN-соединения, IMAP, OWA и т. п. Наиболее эффективно используемый недостаток – отсутствие механизмов противодействия автоматизированному подбору паролей. Как и в случае с клиентами ДБО, в среднем все те же 2-3% пользователей корпоративных информационных ресурсов используют словарные пароли. Если при этом в банке используется единый стандарт формирования имен пользо-вателей (на основе числового идентификатора, комбинации инициалов и фамилии и т. п.), задача по подбору учетных записей значительно упрощается.

Троянская программа, размещенная на веб-сервере. Ее интерфейс позволяет хакеру использовать этот сервердля проведения атак на остальные серверы сетевого сегмента, в том числе и недоступные из сети Интернет.

Таким видит эксперт среднестатистический веб-сервер. Каждая уязвимость «красной» категории позволяет хакеру получить контроль над ним.


Последствия успешного подбора существенно зависят от того, к какому компоненту корпоративной сети банка хакеру удалось получить доступ. Подобрав авторизационные данные учетной записи VPN, он получает возможность искать и атаковать уязвимые узлы корпоративной сети банка. Доступ к удаленному рабочему столу сервера Windows или к серверу Citrix позволяет злоумышленнику использовать локальные уязвимости операци-онной системы, повышая свои привилегии до администратора сервера. Доступ к электронной почте не просто предоставляет нарушителю содержа-щуюся в переписке конфиденциальную информацию: у него появляется возможность получить информацию о сотрудниках банка и занимаемых ими должностях, изучить стиль общения, особенности характера и интересы сотрудников и с высокой эффективностью использовать методы социальной инженерии для получения доступа к рабочим местам наиболее интересных нарушителю сотрудников.

Так или иначе, атака на сетевой периметр с высокой вероятностью заканчи-вается тем, что нарушитель получает контроль над серверами или рабочими местами, находящимися в корпоративной сети банка.

ÐÀÇÂÈÒÈÅ ÀÒÀÊÈ

Получив контроль над одним из узлов корпоративной вычислительной сети, нарушитель может пойти несколькими путями. Первое, что приходит в голову, это поиск уязвимых серверов, находящихся в одной подсети с контролируемым узлом. В этом случае на руку нарушителю играет уверен-ность ИТ-специалистов банка в невозможности преодолеть сетевой периметр – нередко в общении с администраторами информационных систем банков приходится слышать утверждение о том, что установка обновлений безопасности на серверы, находящие внутри локальной сети банка, просто не нужна. В результате при проведении анализа защищенно-сти обнаруживаются серверы с уязвимостями, известными с 2008 года и ранее, эксплойты для которых публично доступны и могут быть использова-ны кем угодно. Подобные уязвимости позволяют нарушителю получать контроль над серверами, находящимися в пределах сетевой доступности. Если повезет, среди них окажется и искомая СУБД.

Есть и другие, более долгие и более надежные пути, например перехват и прослушивание сетевого трафика. Простейший способ – атака ARP spoo�ng, при проведении которой нарушитель вынуждает выбранный узел сети

направлять свой сетевой трафик на контролируемый нарушителем узел. Возможны и более сложные атаки, например использование протокола STP, манипулирование которым позволяет нарушителю исказить топологию целого сегмента сети на канальном уровне и вынудить коммутаторы направлять на контролируемый нарушителем узел часть сетевого трафика. Подобные атаки представляют угрозу банку независимо от того, какие цели преследует нарушитель, так как способны надолго нарушить функциониро-вание корпоративной сети банка.

Перехват сетевого трафика дает возможность нарушителю извлекать из него авторизационные маркеры, хеши паролей, а иногда и учетные записи, передаваемые в открытом виде. Подоб-ные сведения позволяют нарушителю получить доступ ко все большему количеству сетевых узлов, при этом особый интерес для нарушителя представляют рабочие места ИТ-специалистов и общие папки файловых серверов, содержащие информацию о струк-туре информационных систем, планы IP-адресации и т. п. Нередко в подобных информационных ресурсах удается найти файлы с имена-ми и паролями пользователей, файлы конфигурации с именами администраторов и паролями, защищенными обратимым шифро-ванием, и многое другое.

Все это используется нарушителем для расширения контролируемой области, итогом которого становится получение доступа к контроллеру домена и создание учетной записи доменного администратора. Получив подобные привилегии, нарушитель приобретает неограниченные возмож-ности и способен контролировать любой сервер и рабочее место любого сотрудника банка. После этого обнаружение и контроль нужного сервера системы ДБО становится вопросом времени. В среднем при проведении теста на проникновение от получения контроля над одним из узлов ЛВС до получения контроля над указанной заказчиком информационной системой проходит 5-10 рабочих дней.

Нельзя сказать, что подобная активность остается незамеченной сотрудника-ми банка. Нередко в ходе тестов на проникновение действия атакующей стороны обнаруживаются специалистами банка, не подозревающими о проведении подобного теста. Как правило, специалисты устраняют обнару-женные «аномалии», не сообщая о них службе безопасности или руководству.

ÇÀÊËÞ×ÅÍÈÅ

Рассматривая проблему кибератак на системы ДБО, нельзя не отметить диспропорцию между реальными возможностями нарушителей и теми усилиями, которые службы безопасности прикладывают для противодействия нарушителям. На сегодняшний день злоумышленники идут по наиболее простому пути и атакуют клиентов, но это не значит, что иные способы атак невозможны или сложны в реализации.

Сравнивая финансовые показатели российских банков с показателями соразмерных им банков США и Западной Европы, нужно честно признать: то, что происходит с системами ДБО в России – лишь небольшая часть общего размаха киберпреступности. Российские системы ДБО интересны только сравнительно небольшому количеству преступных групп, действующих в России и на постсоветском пространстве. Но ситуация может радикально измениться, если из-за мирового финансового кризиса или из-за драконовских мер, принимаемых западными странами, все больше превращающимися в полицейские государ-ства, российские банки окажутся привлекательными для более многочисленного криминального интернационала.

Готовы ли они к такому вызову? Пока ответ скорее отрицательный.




33

ÎÁÅÑÏÅ×ÅÍÈÅ ÁÅÇÎÏÀÑÍÎÑÒÈ ÌÎÁÈËÜÍÛÕ ÐÅØÅÍÈÉ Â ÊÐÅÄÈÒÍÎÉ ÎÐÃÀÍÈÇÀÖÈÈ Концепция Bring your own device (BYOD) стала трендом 2012 года. И это не случайно: специалисты берут с собой в офис собствен-ные устройства, чтобы работать через них напрямую. Это удобно, добавляет мобильности, скорость реагирования на письма и решение текущих вопросов возрастают в разы. Безус-ловно, с точки зрения бизнеса это очень эффективный тренд. На диаграмме, подготовленной компанией SecureData в 2011 году, видно, что число персональных ноутбуков и смартфонов, используемых для работы, растет, особенно в крупных корпорациях.

Компания Cisco не так давно провела опрос, задав один простой вопрос пользователям мобильных устройств: "Без чего вы не можете обойтись в своей жизни?". Результаты получились очень интересными: 43% респондентов не представляют жизни без своего партнера, 64% - без автомобиля, 84% - без Интернета. И самое интересное, что 97% не могут представить своей жизни без мобильного устройства. Все это говорит о том, что консьюмеризация охватила корпоративный сегмент и меняет современный ИТ-рынок.

BYOD стал катализатором роста рынка средств защиты мобильных устройств. Их физическая сохранность и защита хранимой на них корпоративной информации становится одной из ключевых ИБ-задач, особенно для крупного корпоративного сегмента. Наиболее актуален вопрос защиты устройств для директоров компаний и топ-менеджеров, у которых на телефонах стоят специаль-ные приложения, связанные с рабочими ресурсами. Высший менеджмент обычно регулярно работает с конфиденциальной информацией, требующей особой охраны от рук злоумышленников. Но представьте на минуту, что вы – директор фирмы и внезапно потеряли (или у вас украли) телефон/коммуникатор. Подавляющее большинство владельцев телефонов даже не ставят на них пароли, не говоря уже о шифровании ценных данных, и директора, к сожалению, тоже не исключения. Таким образом, попасть напрямую в корпоративные приложения через ваше устройство киберпреступнику не составит никакого труда.

ÎÑÎÁÅÍÍÎÑÒÈ ÇÀÙÈÒÛ ÌÎÁÈËÜÍÛÕ ÓÑÒÐÎÉÑÒÂПрограммы для защиты мобильных устройств могут зашифровать всю информацию, хранящуюся в памяти и, конечно, установить пароли. Они могут быть длинными и сложными, придуманными с учетом определенной политики. После 3-4 неудачных попыток набора пароля, вся информация будет удалена с телефона автоматически. Подключиться к телефону с целью выкачать все содержимое его памяти с помощью третьего устройства также не получится. Вся передаваемая информация дополнительно шифруется, т.е. создается дополнительный канал шифрования между пользовательским устройством и локальной сетью организации. Поэтому даже если инфор-

ÄÌÈÒÐÈÉ ÊÓÇÍÅÖÎÂÄÅÍÈÑ ÃÓÍÄÎÐÈÍ

ÌÈÕÀÈË ÏËÀÕÓÒÀ

Softline


3. ÊÀÊÀß ÈÍÔÎÐÌÀÖÈß ÄÎËÆÍÀ ÁÛÒÜ ÇÀÙÈÙÅÍÀ?

• Контакты (включая потенциально чувствительные к разглашению)• Финансовая информация (авторизационная информация ДБО, данные платежных карт и т.п.)• Пароли к «важным» учетным записям (надеюсь, вы не только не используете простые пароли, но и не храните их в виде обычного текста на телефоне)• Закрытые ключи, PKI сертификаты, программные токены• Конфиденциальная корпоративная информация (банковская тайна, коммерческая тайна)• Личный контент

мация будет «перехвачена» где-то по дороге, она превратится в шифр. Уничтожить информацию на телефоне можно и удаленно. В этом случае нужно просто обратиться за помощью к системному администратору. Телефон «ловит» Интернет, автоматически подключается к корпоративной сети и моментально удаляет все данные. Программы, защищающие мобильные устройства, очень помогают соблюдению корпоративных политик безопасности.

С точки зрения технологий, обеспечение безопасности мобильных устройств является достаточно тривиальной задачей. Такие угрозы, как вредоносное ПО, утечки данных, установка ПО из недоверенных источников – давно известны рынку, и инструменты защиты от них одинаково хорошо работают как для обычных ПК, так и для мобильных устройств. В вопросе защиты мобильных устройств главное – правильно расставить акценты:

1. ×ÒÎ ÇÀÙÈÙÀÒÜ?

Мобильные устройства сотрудников:• Ноутбуки• Планшеты/смартфоны:• iOS (iPhone, iPad)• Android • Windows Phone

Использование мобильных устройств:• Работа с внутрикорпоративными приложениями• Обработка и хранение конфиденциальных данных на устройстве

Способ подключения:• Корпоративный Wi-Fi• Интернет (3G, 4G, LAN…)

2. ÊÀÊÈÌÈ ÄÎËÆÍÛ ÁÛÒÜ ÏÎËÈÒÈÊÈ ÁÅÇÎÏÀÑÍÎÑÒÈ ÄËß ÌÎÁÈËÜÍÛÕ ÓÑÒÐÎÉÑÒÂ?

Аналитики Gartner рекомендуют использовать одни и те же политики безопасности как для ПК, так и для планшетов / смартфонов. Однако есть определенные нюансы с защитой персональных данных: если с мобильного устройства происходит передача персональных данных, то должны приме-няться сертифицированные средства криптографической защиты. К сожале-нию, на рынке сертифицированных средств защиты для мобильных платформ нет. Поэтому нашим клиентам мы рекомендуем стараться попросту не обрабатывать персональные данные через мобильные устрой-ства. Как же выглядит «правильная» политика безопасности мобильных устройств? В ней в первую очередь должны учитываться:

Управление политиками• Пароли, блокировка, запрет YouTube, камеры, приложений• Масштабируемое управление политиками уровня предприятия

Разделение личных и корпоративных данных• Wipe только корпоративных данных (личные данные и приложения остаются)• Email, документы, видео и т.п.

Контроль соответствия устройств• Выявление Jailbreak, шифрования, • Разрешение только для устройств, соответствующих заданным политикам безопасности.

Управление сертификатами• Интеграция с УЦ• Строгая аутентификация для VPN и Wi-Fi

ÊÀÊÈÅ ÂÛÃÎÄÛ ÏÎËÓ×ÀÅÒ ÊÎÌÏÀÍÈß ÎÒ ÂÍÅÄÐÅÍÈß ÐÅØÅÍÈÉ MOBILE MANAGEMENT?

1. Упрощается администрирование мобильных устройств за счет:• Централизованной настройки политик использования приложений• Удаленной установки корпоративных приложений (в том числе антивирусов)• Удаленной настройки VPN

2. Корпоративные мобильные устройства используются строго по целевому назначению за счет:• Контроля приложений• Контроля провайдеров доступа• Контроля использования сети Интернет

3. Мобильные устройства защищены от ущерба, связанного с потерей, неавторизованным доступом за счет:• Доступа к устройству по паролю• Шифрования данных

×ÒÎ ÃÎÂÎÐßÒ ÐÅÃÓËßÒÎÐÛ?

Банк России четких требований не предъявляет, поэтому напрашивается вывод о том, что кредитным организациям достаточно обеспечить соответ-ствие стандарту СТО БР ИББС.

ФСТЭК и ФСБ крайне недоверчиво относятся к практике BYOD, и это понятно: размытость зоны контроля, отсутствие сертифицированных средств, сложность формирования модели угроз осложняют практику внедрения MDM-решений, но всё же не делают ее невозможной.


ÊÓÐÑ ÌÎËÎÄÎÃÎ ÁÎÉÖÀÎñíîâû ÈÁ

ÞÐÈÉ ×ÅÐÊÀÑ îá èíôîðìàöèîííîé áåçîïàñíîñòè â ýïîõó compliance

ÊÓÐÑ ÌÎËÎÄÎÃÎ ÁÎÉÖÀ îñíîâû ÈÁ

ÈÍÔÎÐÌÀÖÈÎÍÍÀß ÁÅÇÎÏÀÑÍÎÑÒÜ Â ÝÏÎÕÓ COMPLIANCE¾

Ранее документы, связанные с информационной безопасно-стью и предназначенные «для служебного пользования», были характерны только для государственных организаций. Но вышедший в 2006 году закон «О персональных данных» ради-кально изменил эту ситуацию, сделав тему ИБ актуальной в ком-мерческих организациях.

Этот момент стал отсчетной точкой для общего усиления регулирования рынка ИБ. Так, ФСТЭК и ФСБ России, ранее работавшие только в области защиты государственной тайны и государственных организаций, расширили спектр своего влияния, начав разрабатывать документы, обязательные для исполнения практически всеми организациями. Свою лепту в дело стандартизации внесли различные союзы и ассоциации (Инфокоммуникационный союз, Банк России, НАУФОР, РСА, НАПФ, Минздравсоцразвития), сформировавшие отраслевые требования и рекомендации по обеспечению ИБ. Одно из последних событий в этой сфере – публикация требований Правительства и Банка России к защите информации в платежной системе, устанавливающих порядок обеспечения защиты информации в платежных системах в соответствии с Федеральным законом 161-ФЗ «О национальной платежной системе». В общий пул требований по безопасности информации входят и положения международных стандартов. Например, стандарта PCI DSS, обязательного для тех организаций, чей бизнес связан с «пластиком» (картами VISA и MasterCard). А партнерские отношения с западными компаниями часто требуют соответствия требованиям ещё одного международного стандарта – ISO/IEC 27001:2005.

ÑÎÎÒÂÅÒÑÒÂÈÅ ÍÎÐÌÀÒÈÂÍÛÌ ÒÐÅÁÎÂÀÍÈßÌ — ÎÑÍÎÂÍÛÅ ÏÐÎÁËÅÌÛ:• рост количества существующих и ожидаемых требований;• необходимость соответствовать одновременно нескольким требованиям;• распространение области регулирования на новые виды деятельности;• избыточность и дублирование механизмов защиты при реализации разрозненных требований;• ужесточение мер наказания;• неоднозначность формулировок законодательства и отсутствие прозрачных методик.

CÎÎÒÂÅÒÑÒÂÈÅ ÍÎÐÌÀÒÈÂÍÛÌ ÒÐÅÁÎÂÀÍÈßÌ — ÏÎËÎÆÈÒÅËÜÍÛÅ ÒÅÍÄÅÍÖÈÈ:• рост числа комплексных проектов, одновременно учитывающих требования нескольких нормативных актов (стандартов);

• выработка понятной методологии реализации требований;

• смещение фокуса с формального соответствия в сторону противодействия действительным угрозам;

• увеличение внимания к мониторингу и контролю информационной безопасности.

ÞÐÈÉ ×ÅÐÊÀÑ

Инфосистемы Джет

ÐÅÃÓËÈÐÎÂÀÍÈÅ ÑÒÐÎÆÅ, À ÌÅÐÛ - ÆÅÑÒ×Å

Закономерным результатом усиления регулирования ИБ в целом стало ужесточение мер наказания, применимых к их нарушителям, которое к сегодняшнему дню обретает статус законодательно утвержденного. Такие меры подразумевают увеличение ответственности (в том числе и финансовой), которую несут организации в результате утечек или других инцидентов ИБ.

Так, в мае этого года на сайте Минэкономразвития был размещен законопроект, в соответствии с которым штрафы за нарушение требований к порядку обработки ПДн увеличиваются до 1 миллиона рублей. Двумя месяцами позже со схожей инициативой выступил ФСТЭК России, введя новые составы правона-рушений и наказания за них. Это позволяет говорить об увеличении числа нормативных актов и ужесточении мер наказания как о сложившейся устойчивой тенденции, которая способствует популяризации ИБ в более широком общественном кругу, нежели в среде узкопрофильных специалистов. Что, в свою очередь, повышает осведомленность рядовых обывателей и руководителей компаний в сфере ИБ и превращает задачу соответствия нормативным требова-ниям из конкурентного преимущества в необходимое условие бизнеса. На этом этапе ИБ-специалисты начали оперировать новым термином – «Compliance», под которым понимается комплексное соответствие требованиям, установленным Правительством, регуляторами, национальными и международными союзами и ассоциациями.

Сама по себе эта задача становится все более трудновыполнимой. Причины этого кроются не столько в сложности реализации таких требований, сколько в постоянном увеличении их количества. При этом как-либо ограничить их выполнение (или вовсе отказаться) – недопустимо с точки зрения как ИБ, так и формального следования букве закона. В то же время разобраться в широком спектре существующих документов и требований непросто. Так, например, одна только защита персональных данных регулируется как минимум десятью документами различного уровня (и в сравнении, к примеру, с ИБ банковской отрасли – это исключительно малое количество нормативных требований).



ÊÓÐÑ ÌÎËÎÄÎÃÎ ÁÎÉÖÀ îñíîâû ÈÁ

ÈÁ-ÑÒÀÍÄÀÐÒÛ: ÂÑÅ ÐÀÇÎÌ ÈËÈ «ÏÎØÒÓ×ÍÎ»?

В свете такой многочисленности существующих требований закономерным является вопрос: «Можно ли удовлетворить требования всех необходимых стандартов разом?». Теоретически – это возможно. Но подходить к решению данной задачи нужно поэтапно, начав с систематизации существующего набора нормативных документов, определения того, как соотносятся друг с другом те или иные требования и на какие области они распространяются. Следующий этап – классификация сведений о существующих процессах обеспечения ИБ и методах защиты информации. И только после этого становится возможными оценка текущего уровня соответствия требовани-ям и формирование детального плана действий.

Практика показывает, что компаниям обычно приходится выполнять требования нескольких законов или стандартов единовременно. Общее их количество, учитывая то, что деятельность по каждому направлению регулируется целым набором документов, является весьма внушительным (рис. 1). Поэтому в последнее время все чаще проекты по построению системы ИБ рассматриваются как комплексные, в которых системы защиты строятся в соответствии с требованиями действующего законодательства и по возможности учитывают их вероятные изменения.

Соотношение документов, регулирующих область ИБ, в зависимости от сферы бизнеса

Â ÏÎÈÑÊÀÕ COMPLIANCE-ÈÍÑÒÐÓÌÅÍÒÀ

Исторически поиск возможных решений задач compliance начался в финансовой отрасли и преимущественно для обеспечения соответствия требованиям к финансовой деятельности (например, SOX). Такое решение было реализовано в виде концепции GRC (Governance, Risk and Сompliance). В России о ней много говорили в 2007-2008 г.г., но дальше разговоров и обсуждений тогда дело не пошло. К сегодняшнему дню решения класса GRC пополнились новыми и полезными инструментами, среди которых готовые преднастроенные шаблоны в области ИБ-compliance, позволяющие выполнить требования таких стандартов, как ISO/IEC 27001:2005 и PCI DSS 2.0.

Интерес к продуктам этого сегмента возник не случайно. Их функционал позволяет создать систематизированную и централизованную базу знаний, которая содержит не только перечень всех требований, но и реестр конкретных мероприятий, направленных на их выполнение. То есть, по сути, появляется возмож-ность создания тех самых готовых методик и рекомендаций, которых так не хватает сегодня. Помимо этого решения класса GRС предлагают и возможности для автоматизации процессов контроля, аудита, оценки информационных рисков и самих процессов обеспечения ИБ, направленных на выполнение норма-тивных требований (work¡ow), а также – для построения наглядной и интуитивно понятной отчетности об уровне соответствия. Таким образом, сегодня GRC-решения – набор удобных инструментов для обеспечения соответствия нормативным требованиям по ИБ.

À ×ÒÎ ÆÅ ÄÀËÜØÅ?

Так чего же нам стоит ожидать в свете усиления регулирования в сфере ИБ? На наш взгляд, ответ очевиден. Рано или поздно компании перестанут иницииро-вать все новые и новые консалтинговые проекты по приведению информационных систем в соответствие существующим требованиям. Вместо проведения многократных аудитов на соответствие тому или иному закону начнут реализовываться централизованные системы управления требованиями ИБ и контро-ля уровня соответствия. А наиболее подходящей платформой для развертывания таких систем выступают именно решения GRC. Такой подход позволит не только повысить эффективность защитных механизмов и оптимизировать процессы compliance, но и сократить расходы на соответствие нормативным требованиям по ИБ.

×ÅÒÊÈÉ ÏËÀÍ, ÇÀÄÅË ÍÀ ÁÓÄÓÙÅÅ È ÊÎÍÒÐÎËÜ

Проект по созданию единой комплексной системы защиты включает в себя несколько этапов, ключевым из которых можно считать корректное форми-рование полного перечня требований по ИБ и детального плана работ. Основная проблема данного этапа – отсутствие готовых алгоритмов и непрозрачность требований со стороны законодательства. Частично эти вопросы разрешаются на уровне отраслевых организаций в виде рекомен-даций и разъяснений, но, к сожалению, в недостаточном объеме. В такой ситуации разумным шагом становится сотрудничество с компанией-инте-гратором, позволяющее использовать для выполнения Compliance-проекта квалифицированных специалистов самых различных областей ИБ (консультантов-аудиторов, проектировщиков, архитекторов, инженеров).

Следующий момент, который невозможно оставить без внимания, – выбор внедряемых решений, позволяющих создавать действительно эффектив-ные механизмы обеспечения ИБ. Эта позиция, с большой долей вероятно-сти, в ближайшем будущем найдет отражение в нормативной базе, так как представители регулирующих органов в области ИБ публично поддержива-ют идею защиты именно от актуальных угроз. А многие организации уже сегодня на этапе предпроектного обследования «классическому» аудиту ИБ предпочитают выполнение инструментального анализа защищенности своих систем, позволяющего выявить реальные уязвимости и выбрать решения, устраняющие действительно актуальные угрозы ИБ. Поэтому целесообразно закладывать в создаваемые системы защиты некий «запас» на случай изменений нормативных требований, руководствуясь стремлени-ем к нивелированию информационных рисков при одновременном соответ-ствии нормативным требованиям.

Но, как бы хорошо ни были реализованы меры защиты, без должного контроля со временем они теряют свою эффективность. Этот постулат также сегодня «подкрепляется» соответствующими требованиями со стороны регуляторов. Так, например, Банк России, помимо установления требований к защите платежных систем, ввел и строгие формы отчетности. Одна из которых – ежемесячное предоставление информации об инцидентах ИБ в платежных системах, что вызывает естественное желание минимизировать риски инцидентов. А это, в свою очередь, можно сделать, внедрив в компании эффективные механизмы мониторинга и контроля.

Консалтинговое агентство «Емельянников, Попова и партнеры» предлагает услуги профес-сиональных консультантов в области информационной безопасности. Уникальность предлагаемых услуг состоит в комплексном решении проблем на стыке правовых, организационных и техниче-ских мер, исходя из необходимости соблюдения законодательства и оптимизации затрат.

Одной из наиболее востребованных на рынке услуг, предлагаемых агентством, является консалтинг по вопросам установления и изменения режима коммерческой тайны. Его цель – обеспечение защиты исключительных прав обладателя секретов производства (результатов деятельности в интеллектуальной сфере).

Практический опыт специалистов агентства, накопленный в ходе проектов, связанных с обеспечением защиты секретов производства как в крупнейших российских компаниях, так и на предприятиях сегмента среднего и малого бизнеса, позволил разработать уникальные методики выявления охраноспособной информации, вовлечения менеджмента бизнес-подразделений в процесс установления и поддер-жания режима, обеспечения эффективного разграничения доступа к информации и безопасности ее использования без отрицательного воздействия на существующие бизнес-процессы предприятия.

Сотрудничество агентства с лидерами российского рынка интеграции в области безопасности позволяет заказчику обеспечить не только комплексное решение организационно-правовых проблем защиты исключительных прав на секреты производства, но и эффективный контроль за выявлением, хранением, обработкой и передачей сведений ограниченного доступа в информационной системе предприятия, решить непростые вопросы, связанные с использованием больших массивов данных, управлением цифровыми правами на конфиденци-альные документы, предотвращением утечек на всех стадиях оборота сведений ограниченного доступа.

Блог агентства: http://emeliyannikov.blogspot.com/e-mail: [email protected]

тел: +7 495 761 58 65моб: +7 985 103 84 85

Полное или частичное воспроизведение материалов, содержащихсяв настоящем издании, допускается только по согласованию с издателем.

Журнал "Безопасность Деловой Информации" №1

Spiritual

Transcript of Журнал "Безопасность Деловой Информации" №1