Обеспечение информационной безопасности требования


Правила по обеспечению информационной безопасности на рабочем месте

Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.

2. Основные понятия

Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи. Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.

Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. В Системе для подписания электронных документов электронной подписью используется технология электронно-цифровой подписи (ЭЦП) в инфраструктуре открытых ключей.

Ключ ЭП - уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.

Ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается принадлежащим пользователю, если он был ему выдан установленным порядком. В инфраструктуре открытых ключей соответствует открытому ключу ЭЦП.

Сертификат ключа проверки ЭП - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.

Владелец сертификата ключа проверки ЭП - лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи. Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.

Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

  • Потеря ключевых носителей.
  • Потеря ключевых носителей с их последующим обнаружением.
  • Увольнение сотрудников, имевших доступ к ключевой информации.
  • Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
  • Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
  • Нарушение печати на сейфе с ключевыми носителями.
  • Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

3. Риски использования электронной подписи

При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:

  1. Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
  2. Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
  3. Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
  4. Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
  5. Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.

Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.

4. Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.

Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат. Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации. Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя. Любой желающий может для проверки подписи провести обратное преобразование, применив общедоступный открытый ключ (ключ проверки ЭП) автора документа, но никто не сможет имитировать такой документ, не зная закрытого ключа (ключа ЭП) автора.

Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:

  • выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
  • выдает пользователям средства электронной подписи;
  • создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
  • получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
  • ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
  • проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
  • осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
  • определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.

Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.

Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:

  • обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
  • подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
  • обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
  • обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
  • аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.

Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.

В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.

5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя

Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.

5.1 Персонал

Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.

К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.

Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.

Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.

В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.

5.2 Размещение технических средств АРМ с установленным СКЗИ 

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля, при этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к АРМ.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

5.3 Установка программного обеспечения на АРМ

На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.

На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.

Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.

5.4 Настройка операционной системы АРМ 

Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

  • Правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.
  • Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.
  • У группы Everyone должны быть удалены все привилегии.
  • Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке.
  • Рекомендуется переименовать стандартную учетную запись Administrator.
  • Должна быть отключена учетная запись для гостевого входа Guest.
  • Исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек, системного реестра, для всех, включая группу Administrators.
  • Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т п.).
  • Должно быть исключено или ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
  • Рекомендуется организовать затирание временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
  • Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
  • На все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме Администратора (Administrator), Создателя/Владельца (Creator/Owner) и Системы (System).
  • Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
  • Рекомендуется обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов.
  • Рекомендуется произвести настройку параметров системного реестра в соответствии с эксплуатационной документацией на СКЗИ.

Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т д.), использовать фильтры паролей в соответствии со следующими правилами:

  • длина пароля должна быть не менее 6 символов;
  • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т д.);
  • при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
  • личный пароль пользователь не имеет права сообщать никому;
  • не допускается хранить записанные пароли в легкодоступных местах;
  • периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
  • указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.
 5.5 Установка и настройка СКЗИ

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

5.6 Подключение АРМ к сетям общего пользования

При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. В качестве такой меры рекомендуется установка и использование на АРМ средств межсетевого экранирования. Должен быть закрыт доступ ко всем неиспользуемым сетевым портам.

В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

5.7 Обращение с ключевыми носителями

В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

Запрещается:

  • Снимать несанкционированные администратором безопасности копии с ключевых носителей.
  • Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
  • Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
  • Записывать на ключевой носитель постороннюю информацию. 
5.8 Обращение с ключевой информацией

Владелец сертификата ключа проверки ЭП обязан:

  • Хранить в тайне ключ ЭП (закрытый ключ).
  • Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
  • Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
  • Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.
5.9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

  • дата, время;
  • запись о компрометации ключа;
  • запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
  • запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
  • записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
  • события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

6. Заключение

Настоящие правила составлены на основе:

  • Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
  • Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
  • приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
  • эксплуатационной документации на СКЗИ, которое используется в Системе.

ca.kontur.ru

А. Общие требования по обеспечению информационной безопасности

А.1. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла

А.1.1. При формировании требований по обеспечению ИБ АБС* КИС Банка рекомендуется рассматривать следующие общие стадии модели жизненного цикла (ЖЦ) АБС:

— разработка технических заданий;

— проектирование;

— создание и тестирование;

— приемка и ввод в действие;

— эксплуатация;

— сопровождение и модернизация;

— снятие с эксплуатации.

* - далее по тексту под термином автоматизированная банковская система (АБС), если по тексту не требуется детализация, будут пониматься также информационные системы, обеспечивающие банковские информационные технологические процессы в корпоративной информационной системе (КИС) Банка.

В случае разработки АБС в Банке рекомендуется рассматривать все стадии ЖЦ АБС, а в случае приобретения готовых АБС рекомендуется рассматривать все стадии ЖЦ АБС за исключением первых трех.

А.1.2. Разработка технических заданий и приемка АБС должны осуществляться по согласованию и при участии Службы ИБ.

А.1.3. Ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации АБС должны осуществляться под контролем Службы ИБ.

А.1.4. Привлекаемые для разработки и (или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.

А.1.5. Разрабатываемые АБС и (или) их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз ИБ (источников угроз), описанных в модели угроз ИБ Банка. Приобретаемые Банком готовые АБС и (или) их компоненты рекомендуется снабжать указанной документацией.

Также документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.

Безопасность разработки ПО связана с физическими, процедурными, относящимися к персоналу и другими мерами безопасности, которые могут быть использованы организацией — разработчиком в среде разработки для защиты разрабатываемого ПО. Она включает физическую безопасность места разработки, любые процедуры, связанные с выбором персонала разработки, и с циклом обеспечения безопасности при разработке ПО.

Цикл обеспечения безопасности при разработке ПО должен быть выбран и задан при планировании безопасности, приспособлен для практических нужд проекта и организации-разработчика. В деятельность, связанную с циклом обеспечения безопасности, должны быть включены процедуры гарантирования качества и безопасности. Рекомендуется использовать основные положения, комплекс этапов и работ, представленный в стандарте ГОСТ Р ИСО/МЭК 12207-99 «Информационная технология. Процессы жизненного цикла программных средств». Для каждого этапа цикла обеспечения безопасности должны использоваться соответствующие методы и меры. По результатам деятельности в рамках цикла обеспечения безопасности ПО должна быть составлена документация.

В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов должны включаться положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект рабочей конструкторской документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика. В случае, когда оба варианта неприемлемы, руководство Банка должно оценить и документально оформить допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов.

А.1.6. При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться в условиях:

— попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц;

— возможности ошибок авторизованных пользователей систем;

— возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.

А.1.7. На стадии тестирования АБС должны обеспечиваться анонимность данных и проверка адекватности разграничения доступа.

А.1.8. На стадии эксплуатации АБС должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер. Результаты выполнения контроля должны документироваться.

А.1.9. На стадии сопровождения (модернизации) должны быть документально определены и выполняться процедуры контроля, обеспечивающие защиту от:

— умышленного несанкционированного раскрытия, модификации или уничтожения информации;

— неумышленной модификации, раскрытия или уничтожения информации;

— отказа в обслуживании или ухудшения обслуживания. Результаты выполнения контроля должны документироваться.

На стадии сопровождения (модернизации) при любом внесении изменения в АБС должны проводиться процедуры проверки функциональности, результаты которой должны документально фиксироваться.

А.1.10. Приобретение, разработка программного обеспечения (ПО) задач (комплексов задач), проведение его испытаний, передача ПО в эксплуатацию, в т ч. исправлений (обновленных версий) ПО ранее принятого в эксплуатацию, должна осуществляться в Банке в соответствии с утвержденными внутренними документами.

Стадии (процессы) ЖЦ программных средств включают заказ (в т.ч. разработку технологических требований, спецификаций требований пользователя), поставку (в т.ч. приемку, ввод в действие), разработку (в т.ч. тестирование), эксплуатацию (в т.ч. снятие с эксплуатации) и сопровождение (в т.ч. модернизацию) программных средств как в составе отдельных программных продуктов, так и в составе информационных систем (автоматизированных банковских систем, далее — АБС).

Понятие программных средств также охватывает программный компонент программно-аппаратных средств.

Стадии (процессы), реализуемые в ЖЦ программных средств, должны быть совместимы со стадиями (процессами), реализуемыми в ЖЦ соответствующей АБС КИС Банка.

Программный продукт представляет собой набор машинных программ, процедур и связанных с ними документации и данных и может рассматриваться как часть АБС или как приложение.

Употребляемый далее по тексту документа термин «программное обеспечение» (ПО) будет также включать в себя и «программные средства», если по смыслу не требуется детализация. УБТ организует обеспечение ЖЦ ПО, используемого при реализации автоматизированных банковских технологических процессов в КИС Банка.

В зависимости от вида ПО (прикладное, системное, специальное), а также от того, является ли оно разрабатываемым Банком или приобретаемым (закупаемым, полученным на договорных основах, свободно распространяемым и т д.) Банком, некоторые процессы ЖЦ в модели могут отсутствовать.

Например, в случае, если ПО не является разрабатываемым Банком, то стадии заказа (включая разработку технологических требований, спецификаций требований пользователя) и разработки (включая тестирование) в модели ЖЦ этого ПО могут отсутствовать.

А.1.11. Сотрудники Службы ИБ, совместно с сотрудниками заказывающих управлений Банка, должны участвовать в процессе выбора программно-аппаратных средств, планируемых к приобретению и использованию в разрабатываемой или действующей информационной системе (подсистеме), с целью согласования приобретаемых средств в части касающейся вопросов обеспечения ИБ.

...

А.1.14. Организация процессов разработки и отладки программ должна исключать возможность доступа разработчиков (программистов) в АБС КИС Банка, в которых обрабатывается информация ограниченного доступа. Для разработки и отладки программ должен быть организован специальный опытный участок КИС, не имеющий связи с подсистемами КИС, обрабатывающими (хранящими) информацию ограниченного доступа.

...

А.1.15. Программы и методики испытаний ПО и АБС в целом, в части проверки реализации требований по обеспечению ИБ, должны согласовываться со Службой ИБ. При необходимости сотрудники Службы ИБ могут участвовать в испытаниях и подписывать акты (заключения) по результатам испытаний.

А.1.16 Ввод в эксплуатацию (в т ч. опытную) новых серверов и установка серверных приложений на ресурсы КИС Банка, которые должны участвовать (участвуют) в процессах обработки, хранения, передачи информации ограниченного доступа, должны производиться согласно распорядительным документам для обеспечения функционирования оформленных в Банке установленным порядком информационных технологий.

...

А.1.17. Сотрудники Службы ИБ должны контролировать правильность настройки средств защиты информации, устанавливаемых (развертываемых) в составе систем (подсистем) КИС Банка.

А.1.18 Сотрудники Службы ИБ должны совместно с УОИ и УБТ рассматривать предложения по конфигурации информационно-телекоммуникационной сети Банка, в части определения требований по ИБ, определять потребность в приобретении и использовании дополнительных средств защиты телекоммуникаций или изменений настроечных или иных параметров задействованного в КИС Банка телекоммуникационного оборудования.

...

А.1.20. Сотрудники Службы ИБ должны согласовывать документацию на подсистемы (задачи), отдельные АРМ и серверы, вводимые в эксплуатацию (в т,ч. и в опытную), в части реализации требований по ИБ.

А.1.21. На стадии снятия АБС КИС Банка с эксплуатации должны быть документально определены и выполняться процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности Банка, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС и с внешних носителей информации, за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами. Результаты выполнения процедур должны документироваться.

А.1.22. Требования по обеспечению ИБ должны включаться во все договоры (контракты, соглашения и т д.) на проведение работ и\или оказание услуг на всех стадиях ЖЦ АБС КИС Банка.

А.2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу

А.2.1. В Банке должны быть выделены и документально определены роли ее работников, участвующих в банковских технологических процессах с целью обработки банковской информации в электронном виде.

Под ролью понимается заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом. К субъектам относятся лица из числа руководства Банка, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами, которыми, в свою очередь, могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.

Роли следует персонифицировать, как правило, на основании бизнес-процессов, с установлением ответственности за их исполнение в должностных инструкциях сотрудников Банка.

...

А.2.3. Каждая роль должна быть обеспечена ресурсами, необходимыми и достаточными для ее выполнения, а также должна соответствовать организационной структуре подразделений Банка, т.е. роль руководителя определенного уровня должна включать задачу координации своевременности и качества выполнения ролей подчиненных сотрудников для достижения целей банковских бизнес-процессов.

А.2.4. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в системе и контроля их выполнения.

В Банке должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом КИС Банка.

А.2.5. Введение ролей позволяет систематизировать и упростить управление полномочиями пользователей КИС Банка. Роли с привязкой к прикладным задачам и перечислением привилегий (прав) по доступу к конкретным информационным ресурсам КИС Банка для выполнения этих задач должны заноситься в «Перечень ролей в системе КИС Банка» (далее — Перечень ролей).

...

А.2.9. Для организации и выполнения мероприятий по формированию и распределению ролей в КИС Банка должны соблюдаться следующие основные принципы:

— все информационные активы (ресурсы) КИС Банка должны быть поименованы, описаны и зарегистрированы;

— для каждого именованного информационного актива КИС Банка должен быть определен обладатель (владелец), которому делегируется право распоряжения информационным активом в рамках принятой в Банке политики ИБ и с которым должны согласовываться служебные записки на доступ пользователей из других структурных подразделений Банка к этому активу.

Обладателем информационного ресурса КИС Банка, которому делегированы вышеуказанные полномочия, может быть руководитель структурного подразделения или заместитель Председателя Правления Банка.

Положения по назначению и распределению ролей, изложенные в настоящем разделе и касающиеся филиалов Банка, действуют и по отношению к удаленным подразделениям центрального аппарата Банка, к представительствам Банка и другим обособленным (удаленным) подразделениям Банка.

А.2.10. Работу по ревизии информационных активов (ресурсов) КИС Банка организует УБТ комиссионным методом.

...

А.2.11. При приеме на работу сотрудников, которые в соответствии со своими должностными обязанностями должны (могут) иметь доступ к информации ограниченного доступа и\или являются сотрудниками (пользователями или техническим персоналом), имеющим доступ в помещения, где установлены ОТСС и\или ВТСС КИС Банка, должны быть проверены на идентичность личности, заявляемая квалификация, точность и полноту биографических фактов, наличие рекомендаций.

В Банке должны быть документально определены следующие процедуры приема на работу сотрудников, которые должны (могут) иметь доступ к информации ограниченного доступа и\или являются сотрудниками (пользователями или техническим персоналом), имеющим доступ в помещения, где установлены ОТСС и\или ВТСС КИС Банка:

— проверка подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;

— проверка в части профессиональных навыков и оценка профессиональной пригодности.

Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок

А.2.12. Рекомендуется документально определить процедуры регулярной проверки (с до­кументальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) — при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии.

...

А.2.14. Пользователи КИС Банка, включая технический персонал, должны пройти обучение приёмам и способам работы с ресурсами КИС Банка в объеме их должностных обязанностей.

В процессе обучения пользователи КИС Банка должны пройти обязательную общую и специальную подготовку для работы с техническими средствами КИС Банка.

Общая подготовка пользователей должна включать в себя получение навыков работы с компьютером и общим ПО (операционные системы, офисное ПО) в объеме навыков пользователей персональных компьютеров.

Специальная подготовка пользователей должна включать в себя получение знаний и навыков работы с комплексом технических средств и ПО КИС Банка в объеме, необходимом для исполнения своих должностных обязанностей.

А.2.15. Пользователи КИС Банка, должны быть ознакомлены с настоящей Политикой, в части их касающейся, знать и неукоснительно выполнять требования нормативно-инструктивной документации (распоряжения, правила, регламенты, порядки, инструкции и т.д.), обязанности по занимаемой должности и общие обязанности по обеспечению ИБ при использовании ресурсов КИС Банка.

...

А.2.16. Все работники Банка должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.

А.2.17. Обязанности персонала по выполнению требований по обеспечению ИБ, в т.ч. по неразглашению информации ограниченного доступа, должны включаться в трудовые контракты (соглашения, договоры) и (или) должностные инструкции.

Невыполнение работниками Банка требований по обеспечению ИБ должноприравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.

А.2.18. При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.

А.3. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации

А.3.1. В основе политики ИБ при управлении доступом и регистрации пользователей КИС Банка должно лежать соблюдение следующих принципов:

— в составе АБС КИС Банка должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством Банка к применению средства защиты информации от НСД и НРД;

— в Банке должны быть документально определены и утверждены в установленном порядке руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации, управления доступом, контроля целостности, регистрации событий и действий;

— доступ ко всем информационным ресурсам КИС Банка должен быть персонифицирован и однозначно определяться учетной записью пользователя (уникальным идентификатором), т е. работа всех пользователей АБС КИС Банка должна осуществляться под уникальными учетными записями;

— предоставление доступа к ресурсам должно осуществляться только в соответствии с принципами «необходимо для работы» и «минимума полномочий» и процедуры управления доступом должны исключать возможность «самосанкционирования», результаты контроля процедур должны документироваться;

— обладатель (владелец) информационного актива (ресурса) определяет порядок его использования в рамках принятой в Банке политики ИБ, а также определяет на основании служебной записки по установленной форме, согласованной со Службой ИБ, лиц, имеющих право доступа к ресурсу;

— необходимость предоставления доступа к информационным активам (ресурсам) КИС Банка сотруднику подразделения Банка определяет его руководитель, подписывающий служебную записку по установленной форме;

— руководители структурных подразделений Банка несут ответственность за обоснованность выбора роли в КИС Банка при предоставлении доступа к информационному активу (ресурсу) для сотрудников подразделения;

...

— пользователю КИС Банка могут быть предоставлены только те полномочия, необходимость которых была явным образом указана в служебной записке установленной формы на доступ к информационным активам (ресурсам) КИС Банка;

— целесообразность предоставления доступа к информационным активам (ресурсам) КИС Банка согласовывается начальником Службы ИБ, который вправе отказать в доступе к информационным активам (ресурсам) пользователю, если действия данного пользователя могут нарушить принятую в Банке политику ИБ;

— пользователи КИС Банка несут персональную ответственность за все действия, совершенные в КИС Банка с использованием их личных идентификаторов (кроме случаев временной санкционированной установленным порядком замены другим сотрудником), в том числе за нарушение порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемой информации;

...

— администратор безопасности должен осуществлять контроль результата предоставления доступа к информационным активам (ресурсам), в части определения соответствия предоставленных полномочий — заявленным;

— перечень форм служебных записок, подаваемых руководителями подразделений Банка для выполнения различных операций в рамках КИС Банка (доступа к информационным активам (ресурсам), копирования информации, изменения конфигурации АРМ и т д.), разрабатывается комиссией под руководством УБТ при участии Службы ИБ и вводится приказом Председателя Правления Банка;

...

— если компоненты КИС Банка соединены каналом (линией) связи, проходящим(ей) по неконтролируемой территории, должна обеспечиваться конфиденциальность и целостность передаваемой информации, а также взаимная аутентификация компонент;

— порядок доступа работников Банка в помещения, в которых размещаются объекты среды информационных активов (ресурсов), должен быть регламентирован во внутренних документах Банка, а его выполнение должно контролироваться. Результаты контроля выполнения порядка доступа должны оформляться документально;

— должен быть документально определен Перечень информационных активов (их типов) КИС Банка. Права доступа работников и клиентов Банка к данным активам должны быть документально зафиксированы.

...

А.3.3. В целях обеспечения разграничения доступа к ресурсам КИС и регистрации событий такого доступа каждый субъект (пользователь, процесс) и объект (ресурс) КИС Банка должен быть однозначно идентифицируем. Для этого в системе должны храниться специальные признаки каждого субъекта и объекта, по которым их можно было бы однозначно опознать.

А.3.4. Цель аутентификации субъекта — убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта — убедиться, что это именно тот объект, который нужен.

А.3.5. Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).

А.3.6. Аутентификация пользователей может осуществляться путем:

— проверки знания того, чего не знают другие (паролей, ключевых фраз);

— проверки владения тем, что относительно сложно отнять или передать (eToken, карточками, дискетами и т.п.);

— проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств;

— проверки рекомендации (сертификата) от доверенного посредника.

...

А.3.10.11. В Банке должны применяться защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и работников Банка. Все попытки НСД и НРД к такой информации должны регистрироваться. При увольнении или изменении должностных обязанностей работников Банка, имевших доступ к указанной информации, необходимо выполнить документированные процедуры соответствующего пересмотра прав доступа.

А.3.10.12. Используемые в Банке АБС, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:

— операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;

— проводимых транзакций, имеющих финансовые последствия;

— операций, связанных с назначением и распределением прав пользователей.

Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например, ЭП.

Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, рекомендуется придать свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание.

При заключении договоров со сторонними организациями рекомендуется юридическое оформление договоренностей, предусматривающих необходимый уровень взаимодействия, в случае выхода инцидента ИБ за рамки отдельной организации банковской системы РФ. Примером такого взаимодействия может служить приостановка выполнения распределенной между несколькими организациями транзакции в случае, если имеющиеся данные мониторинга и анализа протоколов операций позволяют предположить, что выполнение данной транзакции является частью замысла злоумышленников.

В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имен.

А.3.10.13. Должны быть документально оформлены и доведены до сведения работников и клиентов Банка процедуры, определяющие действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев.

Эти процедуры должны предусматривать документирование работниками и клиентами всех своих действий и их результатов.

А.3.10.14. В Банке необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга ианализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и (или) технические средства.

Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям.

А.4. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты

А.4.1. На всех АРМ и серверах АБС КИС Банка, если иное не предусмотрено банковским технологическим процессом, должны применяться средства антивирусной защиты.

Процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на АРМ и серверах АБС должны быть документированы и осуществляться администраторами информационных ресурсов или иными официально уполномоченными лицами. Предпочтительным вариантом настройки является автоматическая установка обновлений антивирусного ПО и его баз данных.

Установка и обновление антивирусных средств в КИС Банка должны контролироваться администраторами безопасности.

А.4.2. При обеспечении антивирусной защиты должны быть разработаны и введены в действие регламенты и инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов. Особое внимание должно быть уделено антивирусной и антиспамовой фильтрации трафика электронного почтового обмена. Разработка документации производится УОИ совместно со Службой ИБ.

Система антивирусной защиты Банка должна быть централизованной и эшелонированной, предусматривающей использование средств антивирусной защиты различных производителей на разных уровнях и их раздельную установку на всех рабочих станциях, серверах и межсетевых экранах КИС Банка и предусматривать антивирусную фильтрацию всего трафика электронного почтового обмена Банка.

...

А.4.3. Процесс антивирусной защиты в КИС Банка должен включать в себя следующие основные мероприятия:

— получение, установка и настройка параметров программ антивирусной защиты;

— периодическое обновление установленным порядком версий программ антивирусной защиты;

— регулярный контроль за функционированием системы антивирусной защиты;

— обучение пользователей работе со средствами антивирусной защиты их АРМ;

— оповещение администратора безопасности о вирусной атаке и участие в совместных с ним действиях по минимизации последствий атаки.

...

А.4.5. Устанавливаемое или изменяемое ПО должно быть предварительно проверено на отсутствие вирусов. После установки или изменения ПО должна быть выполнена антивирусная проверка. Результаты установки, изменения ПО и антивирусной проверки должны документироваться.

...

А.4.8. Отключение или своевременное не обновление антивирусных средств, установленных на ресурсах КИС Банка, категорически не допускается. Установка и обновление антивирусных средств в КИС Банка должны производиться администраторами информационных активов (ресурсов) в соответствии с нормативно-технической документацией и контролироваться сотрудниками Службы ИБ.

Обновление антивирусных средств должно иметь минимально возможную временную задержку с момента его выхода (опубликования производителем) до момента установки на ресурсах КИС Банка.

...

А.4.9. Закупка, схема установки, настройки параметров программ антивирусной защиты должны согласовываться со Службой ИБ.

А.4.10. Пользователям КИС Банка, техническому персоналу, включая администраторов информационных активов (ресурсов), запрещается без согласования с соответствующим администратором безопасности (центрального аппарата, филиала, представительства и т.д.) отключение или изменение настроек средств антивирусной защиты ресурсов КИС Банка (АРМ, серверов и т.д.).

Должны быть документально определены и выполняться процедуры контроля за отключением и обновлением антивирусных средств на всех АРМ и серверах АБС. Результаты контроля должны документироваться.

А.4.11. Ответственность за выполнение требований внутренних документов, в части обеспечения требований по антивирусной защите в подразделении Банка, возлагается на руководителя этого подразделения, а обязанности по непосредственному выполнению мер антивирусной защиты, в части его касающейся, возлагаются на каждого сотрудника Банка, имеющего доступ к информационным активам (ресурсам) КИС Банка.

А.5. Общие требования по обеспечению информационной безопасности при использовании ресурсов информационно-телекоммуникационной сети Интернет

А.5.1. Ресурсы информационно-телекоммуникационной сети Интернет (далее — сети Интернет) в Банке могут использоваться для ведения дистанционного банковского обслуживания, получения и распространения информации, связанной с банковской деятельностью (путем создания информационных web-сайтов), информационно-аналитической работы в интересах Банка, обмена почтовыми сообщениями исключительно с внешними организациями.

Иное использование ресурсов сети Интернет, решение о котором не принято руководством Банка в установленном порядке, должно рассматриваться как нарушение требований по обеспечению ИБ.

А.5.2. При взаимодействии КИС Банка с сетью Интернет необходимая степень защиты достигается программно-аппаратной системой обеспечения ИБ, которая должна иметь следующие свойства:

Многоуровневость — для более полного обеспечения безопасности должны быть развернуты несколько продуктов, обеспечивающих безопасное межсетевое взаимодействие.

Гетерогенность — защита КИС должна обеспечиваться внедрением в программно-аппаратную систему защиты информации продуктов разных производителей.

Устойчивость к атакам — в составе системы защиты информации должны быть компоненты позволяющие исключить или значительно уменьшить влияние атак на работу системы. Особое внимание должно быть уделено защите от атак типа «отказ в доступе», так как данные атаки способны нанести большой ущерб Банку, как в денежном выражении, так и в плане уменьшения доверия клиентов к Банку.

Избыточность и способность обеспечить работу системы защиты в режиме 24×7×365 — при отказе одного из элементов системы в результате действий злоумышленников или аппаратно-программного сбоя работа системы не должна быть прервана. Это достигается с помощью избыточного дублирования и резервирования элементов системы защиты информации.

...

А.5.5. ...

При организации дистанционного банковского обслуживания клиентов, в связи с повышенными рисками ИБ при взаимодействии с сетью Интернет обязательно должны применяться соответствующие средства защиты информации (межсетевые экраны, антивирусные средства, СКЗИ и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.

При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться регламентированным образом.

Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур.

Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.

А.5.6. С целью недопущения высоких рисков ИБ (большая вероятность НСД, потери и искажения информации) на АРМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line, не должно содержаться никакой банковской информации (в т ч. открытой) и в обязательном порядке должны применяться антивирусные средства и другие необходимые средства защиты информации. В случае необходимости решение о наличии банковской информации на этих АРМ должно определяться только бизнес-целями, обосновываться руководителем соответствующего структурного подразделения и должно быть санкционировано заместителем Председателя Правления, курирующим в Банке вопросы ИБ.

...

А.5.7. Порядок подключения и использования ресурсов сети Интернет в Банке определяется внутренними документами по ИБ и должен контролироваться Службой ИБ. При этом использование сети Интернет должно определяться только бизнес-целями, обосновываться руководителем соответствующего структурного подразделения и должно быть санкционировано Заместителем Председателя Правления, курирующим в Банке вопросы ИБ.

Ответственность за организацию использования АРМ по доступу в сеть Интернет в соответствии с требованиями ИБ несут руководители структурных подразделений Банка, а за безопасное и целевое использование ресурсов сети Интернет сотрудники Банка, имеющие санкционированный доступ в сеть, и их непосредственные руководители.

Руководители подразделений Банка должны проводить работу по постановке задач по целевому использованию ресурсов сети Интернет сотрудникам, имеющим разрешенный доступ в сеть Интернет.

...

А.5.9. ...

Схема подключения технических средств, обеспечивающих функционирование почтовой системы Банка, состав аппаратных средств и ПО, их настройки должны быть согласованы со Службой ИБ.

А.5.10. Порядок подключения и использования ресурсов электронной почты сотрудниками Банка должна контролировать Служба ИБ, а использование сотрудниками Банка ресурсов электронной почты, имеющих выход на внешние адреса, должно быть строго минимизировано, определяться только бизнес-целями и должно быть обосновано руководителем соответствующего структурного подразделения Банка.

...

А.5.11. Сообщения электронной почты должна архивироваться. Архив должен быть доступен только администраторам безопасности Службы ИБ, при этом изменения в архиве не допускаются. Порядок доступа к информации архива должен быть документально определен.

...

А.5.13. В КИС Банка должен быть организован процесс борьбы со спамом (нежелательными почтовыми сообщениями), поступающим в КИС Банка по электронной почте.

...

А.6. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации

А.6.1. Использование криптографических методов и средств защиты должно быть одним из важнейших элементов системы обеспечения ИБ КИС Банка.

Средства криптографической защиты информации, или шифровальные (криптографические) средства (далее — СКЗИ), предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи.

Необходимость использования СКЗИ определяется Банком самостоятельно, если иное не предусмотрено законодательством РФ.

Применение СКЗИ в Банке должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ.

Технологии криптографической зашиты информации в КИС Банка должны позволять решать следующие задачи:

— закрытие и контроль целостности обрабатываемой в КИС Банка и\или передаваемой во вне по каналам (линиям) связи защищаемой информации;

— разграничение доступа на основе аутентичности;

— аутентификации и неотказуемости пользователей.

А.6.2. Криптографическое преобразование — это преобразование информации, основанное на некотором алгоритме, зависящем от изменяемого параметра (обычно называемого секретным ключом), и обладающее свойством невозможности восстановления исходной информации по преобразованной, без знания действующего ключа, с трудоемкостью меньше заранее заданной.

А.6.3. К средствам криптографической защиты информации (СКЗИ) относятся:

— средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от НСД при ее обработке и хранении;

— средства имитозашиты — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации:

— средства электронной подписи (ЭП) — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание ЭП подписи с использованием закрытого ключа ЭП, подтверждение с использованием открытого ключа ЭП подлинности ЭП, создание закрытых и открытых ключей ЭП;

— средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

— средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

— ключевые документы (независимо от вида носителя ключевой информации).

А.6.4. Для обеспечения безопасности необходимо использовать СКЗИ, которые:

— допускают встраивание в технологические процессы обработки электронных сообщений, обеспечивают взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;

— поставляются разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;

— сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России.

В соответствии с Федеральным законом от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности» лицензии ФСБ России необходимы при осуществление Банком следующих видов деятельности: по выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, по разработке, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.

Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков. В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПД), проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами ИСПД, а под контрольными тематическими исследованиями — периодически проводимые тематические исследования. Конкретные сроки проведения контрольных тематических исследований определяются ФСБ России. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в ИСПД, оцениваются в ходе экспертизы, осуществляемой ФСТЭК России и ФСБ России в пределах их полномочий. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в ИСПД, должны прилагаться правила пользования этими средствами, согласованные с ФСТЭК России и ФСБ России в пределах их полномочий. Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в ИСПД, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется ФСТЭК России и ФСБ России в пределах их полномочий.

СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.

А.6.5. Внутренний порядок работы с СКЗИ и правила обращения с ключевыми документами (данными) должны описываться в нормативно-технической документации для конкретных подсистем КИС Банка или отдельных АРМ для связи с информационно-телекоммуникационными системами сторонних организаций и должны включать в себя регламентацию:

— ввода в действие, включая процедуры встраивания СКЗИ в АБС;

— эксплуатации;

— восстановления работоспособности в аварийных случаях;

— внесения изменений;

— снятия с эксплуатации;

— управления ключевой подсистемой;

— обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.

А.6.6. Ключевая подсистема, применяемых в Банке СКЗИ, должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

ИБ процессов изготовления ключевых данных СКЗИ должна обеспечиваться комплексом организационных мер и технических средств защиты.

Выработка ключевых данных для сотрудников Банка возлагается на сотрудников Службы ИБ и администраторов безопасности других подразделений Банка (филиалов, представительств и т д.) в соответствии с нормативно-технической документацией.

А.6.7. Установка и ввод в эксплуатацию, а также эксплуатация СКЗИ должны осуществляться в соответствии с эксплуатационной и технической документацией к этим средствам.

При применении СКЗИ должны поддерживаться непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющую собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований.

ИБ процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты.

Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем рекомендуется реализовать процедуры мониторинга, регистрирующего все значимые события, состоявшиеся в процессе обмена криптографически защищенными данными, и все инциденты ИБ.

Механизм контроля целостности ресурсов КИС Банка предназначен для своевременного обнаружения модификации ресурсов системы и должен позволять обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

— средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса;

— средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);

— средствами подсчета контрольных сумм (сигнатур, имитовставок и т.п.);

— средствами ЭП.

А.6.8. Средства криптографической защиты информации:

— должны допускать встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным ПО на уровне обработки запросов на криптографические преобразования и выдачи результатов;

— должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой подсистемы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;

— должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и(или) стандартам Банка;

— должны иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);

— должны обеспечивать реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей или при переходе АБС (отдельных АРМ) в нештатный режим работы;

— не должны содержать требований к ЭВМ по специальной проверке на отсутствие закладных устройств, если иное не оговорено в технической документации на конкретное средство защиты;

— не должны требовать дополнительной защиты от утечки за счет побочных электромагнитных излучений информативных сигналов от технических средств.

А.6.9. Ключи кодов аутентификации и/или ЭП должны изготавливаться в каждой организации самостоятельно. В случае изготовления ключей кодов аутентификации и/или ЭП для сторонней организации в Банке или специалистом Банка на технических средствах этой организации в договоре должно быть зафиксировано согласие сторонней организации считать данный ключ своим.

Аналогичные требования касаются Банка, если в вышеописанной ситуации он выступает в роли сторонней организации.

...

А.7. Общие требования по обеспечению информационной безопасности банковских платежных технологических процессов

А.7.1. Система обеспечения ИБ банковского платежного технологического процесса должна соответствовать требованиям нормативных документов по вопросам ИБ, действие которых распространяется на банковскую систему РФ.

А.7.2. В качестве объектов защиты должны рассматриваться:

— банковский платежный технологический процесс;

— платежная информация;

— технологический процесс по управлению ролями и полномочиями сотрудников Банка, задействованных в обеспечении банковского платежного технологического процесса.

А.7.3. Банковский платежный технологический процесс подготовки, ввода, обработки и передачи электронных платежных документов по телекоммуникационным каналам и линиям связи должен быть документирован.

А.7.4. Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией. В роли участников могут выступать организации банковской системы РФ, юридические и физические лица.

А.7.5. Сотрудники Банка, в том числе администраторы информационных активов (ресурсов) КИС Банка и средств защиты информации, не должны обладать всей полнотой полномочий для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения операций по изменению состояния банковских счетов.

А.7.6. Результаты технологических операций по обработке платежной информации должны быть контролируемы (проверены) и удостоверены лицами/автоматизированными процессами.

Рекомендуется, чтобы обработку платежной информации и контроль (проверку) результатов обработки осуществляли разные работники / автоматизированные процессы.

А.7.7. При работе с платежной информацией необходимо проводить авторизацию и контроль целостности данной информации.

...

А.7.8. Подготовленная клиентами Банка платежная информация, на основании которой совершаются расчетные, учетные и кассовые операции, является информацией ограниченного доступа, предназначена для внутреннего использования в Банке и может быть передана иным организациям только в соответствии с действующим законодательством РФ.

А.7.9. Обязанности по администрированию средств защиты платежной информации для каждого технологического участка ее прохождения возлагаются приказом по Банку на сотрудников, задействованных на данном технологическом участке (администраторов безопасности), с отражением этих функций в их должностных инструкциях.

А.7.10. Комплекс мер по обеспечению ИБ банковского платежного технологического процесса должен предусматривать:

— защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;

— доступ сотрудника Банка только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;

— контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;

— аутентификацию входящих электронных платежных сообщений;

— двустороннюю аутентификацию АРМ и серверов участников обмена платежными сообщениями;

— возможность ввода платежной информации в АБС только для авторизованных пользователей;

— восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя СВТ;

— контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т д.);

— сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;

— доставку электронных платежных сообщений участникам обмена.

Рекомендуетсятакже организовать авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип «двойного управления»).

А.7.11. Подготовка, ввод и обработка электронных платежных документов и обмен ими должны проводиться на специализированных типовых АРМ, ПО которых должно выполнять только функции, определенные данным технологическим процессом, при этом должны быть документально определены перечни ПО, устанавливаемого и (или) используемогов ЭВМ и АБС и необходимого для выполнения конкретных банковских платежных технологическихпроцессов. Состав установленного и используемого в ЭВМ и АБС ПО должен соответствоватьопределенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.

А.7.12. При проектировании, разработке и эксплуатации систем дистанционного банковского обслуживания должны быть документально определены и выполняться процедуры, реализующие в том числе механизмы:

— снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;

— доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.

Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций.

А.7.13. Должны быть документально определены процедуры обслуживания СВТ, используемых в банковском платежном технологическом процессе, включая замену их программных и (или) аппаратных частей.

А.7.14. Должна осуществляться и быть регламентирована процедура периодического контроля всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со Службой ИБ.

А.7.15. Должна осуществляться и быть регламентирована процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со Службой ИБ.

А.7.16. Банк, являясь членом международных платежных систем с использованием банковских карт, должен обеспечивать выполнение требований данных систем по обеспечению ИБ.

А.8. Общие требования по обеспечению информационной безопасности банковских информационных технологических процессов

А.8.1. Система обеспечения ИБ банковского информационного технологического процесса должна соответствовать требованиям нормативных документов по вопросам ИБ, действие которых распространяется на банковскую систему РФ.

А.8.2. В Банке неплатежная информация классифицируется как:

— информация, входящая в Перечень инсайдерской информации Банка, после ее распространения в установленном порядке;

— отчетная информация о деятельности Банка, подлежащая обязательному опубликованию в соответствии с законодательством РФ;

— информация, содержащаяся на официальном сайте Банка в информационно-телекоммуникационной сети Интернет;

— иная неплатежная информация Банка, доступ к которой не ограничен в соответствии с федеральными законами, но неправомерное использование которой может нанести какой-либо ущерб (вред) Банку и (или) его клиентам (контрагентам). Каждому виду информации соответствует свой необходимый уровень защиты (документально определенный набор требований по защите).

В отношении вышеуказанной неплатежной информации Банк обеспечивает путем применения правовых, организационных и технических мер защиты информации, установленных политикой ИБ Банка, сохранность таких свойств ИБ данной информации, как доступность (предоставление пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы) и целостность (сохранение неизменности или исправления обнаруженных из­менений).

А.8.3. Обязанности по администрированию средств защиты неплатежной информации для каждого технологического участка ее прохождения возлагаются приказом по Банку на сотрудников, задействованных на данном технологическом участке (администраторов безопасности), с отражением этих функций в их должностных инструкциях. Допускается назначение одного администратора безопасности на несколько АБС, а также совмещение выполнения указанных функций с другими обязанностями (для представительств, филиалов, допофисов, отделений).

А.8.4. Для каждой АБС должен быть документально определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.

А.8.5. Банковские информационные технологические процессы должны быть документированы в Банке. Указанные документы должны быть согласованы со Службой ИБ. Указанные технологические процессы должны быть реализованы в рамках созданных для этих целей АБС. Не входящие в состав данных АБС серверы, офисные ЭВМ и другое оборудование рекомендуется изолировать от АБС на уровне локальных вычислительных сетей способом, согласованным со Службой ИБ.

А.8.6. Должны быть документально определены перечни ПО, устанавливаемого и (или) используемого в ЭВМ и АБС КИС Банка и необходимого для выполнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС КИС Банка ПО должен соответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.

А.8.7. Должна быть регламентирована и осуществляться процедура периодического контроля всех реализованных программно-техническими средствами и организационными мерами функций (требований) по обеспечению ИБ неплатежной информации. Регламентирующие документы должны быть согласованы со Службой ИБ.

А.8.8. Должна быть регламентирована и осуществляться процедура восстановления всех реализованных программно-техническими средствами и организационными мерами функций по обеспечению ИБ неплатежной информации. Регламентирующие документы должны быть согласованы со Службой ИБ.

...

А.8.14. Пользователи (операторы) при работе с КИС Банка должны руководствоваться своими должностными инструкциями и нормативно-технической документацией, необходимой для исполнения своих должностных обязанностей.

А.8.15. Правильность функционирования и настройки элементов системы защиты КИС Банка (в т ч. отдельных АРМ по взаимодействию со сторонними организациями) должны периодически контролироваться администраторами всех категорий, включая технический персонал и пользователей, имеющих администраторские права на отдельных АРМ, а также администраторами безопасности (центрального аппарата, представительств, филиалов, допофисов и т д.). Соответствующие регламентирующие документы должны быть согласованы со Службой ИБ.…

А.8.18. Мероприятия по обеспечению безопасности персональных данных при их обработке в КИС Банка согласно требованиям, установленным Правительством РФ, включают в себя:

— определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

— разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

— проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

— установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

— обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

— учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

— учет лиц, допущенных к работе с персональными данными в информационной системе персональных данных;

— контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

— расследование и составление заключений (служебных записок) по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

— описание системы защиты персональных данных.

А.8.19. Процессы подготовки, ввода, обработки и хранения информации, а также порядок установки, настройки, эксплуатации и восстановления необходимых технических и программных средств (технологических процессов) в КИС Банка должны быть регламентированы и обеспечены инструктивными и методическими материалами, согласованными со Службой ИБ.

А.9. Общие требования по обработке персональных данных

А.9.1. В Банке должны быть определены, документально зафиксированы и утверждены руководством Банка цели обработки персональных данных.

Для каждой цели обработки персональных данных должны быть определены, документально зафиксированы и утверждены руководством Банка:

— объем и содержание персональных данных;

— сроки обработки, в том числе сроки хранения персональных данных;

— необходимость получения согласия субъектов персональных данных.

А.9.2. В Банке должна быть определена необходимость уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных.

А.9.3. В Банке проводится классификация персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.

Рекомендуется выделять следующие категории персональных данных:

— персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к специальным категориям персональных данных;

— персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным;

— персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;

— персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к общедоступным или обезличенным персональным данным.

А.9.4. Передача персональных данных Банком третьему лицу должна осуществляться с согласия субъекта персональных данных. В том случае, если Банк поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

А.9.5. В Банке должен быть определен и документально зафиксирован порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных).

А.9.6. В Банке должен быть определен и документально зафиксирован порядок обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных.

А.9.7. В Банке должен быть определен и документально зафиксирован порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных.

А.9.8. В Банке должен быть определен и документально зафиксирован подход к отнесению АБС к ИСПД.

В Банке должен быть определен и документально зафиксирован перечень ИСПД. В перечень ИСПД должны быть включены как минимум АБС, целью создания и использования которых является обработка персональных данных.

АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПД.

Для каждой ИСПД должны быть определены и документально зафиксированы:

— цель обработки персональных данных;

— объем и содержание обрабатываемых персональных данных;

— перечень действий с персональными данными и способы их обработки.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения банковского информационного технологического процесса, реализацию которого поддерживает ИСПД, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

А.9.9. Банковские информационные технологические процессы, в рамках которых обрабатываются персональные данные в ИСПД, должны быть документированы.

А.9.10. Рекомендуется исключать фиксацию на одном материальном носителе и персональных данных, и иных видов информационных активов, а также персональных данных, цели обработки которых заведомо несовместимы.

При обработке различных категорий персональных данных для каждой категории персональных данных рекомендуется использовать отдельный материальный носитель.

А.9.11. В Банке должен быть определен и документально зафиксирован перечень (список) работников, осуществляющих обработку персональных данных в ИСПД либо имеющих доступ к персональным данным.

Допускается указание работников в перечне (списке) на ролевой основе в соответствии с занимаемой должностью.

Возможно существование перечня (списка) в электронном виде при условии предоставления работникам прав доступа в ИСПД только на основании распорядительного документа в документально зафиксированном в Банке порядке.

А.9.12. Доступ работников Банка к персональным данным и обработка персональных данных работниками Банка должны осуществляться только для выполнения их должностных обязанностей.

А.9.13. Работники Банка, осуществляющие обработку персональных данных в ИСПД, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также должны быть ознакомлены под роспись со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей.

А.9.14. В Банке должен быть определен и документально зафиксирован порядок доступа работников Банка и иных лиц в помещения, в которых ведется обработка персональных данных.

А.9.15. В Банке должен быть определен и документально зафиксирован порядок хранения материальных носителей персональных данных, устанавливающий:

— места хранения материальных носителей персональных данных;

— требования по обеспечению безопасности персональных данных при хранении их носителей;

— работников, ответственных за реализацию требований по обеспечению безопасности персональных данных;

— порядок контроля выполнения требований по обеспечению безопасности персональных данных при хранении материальных носителей персональных данных.

А.9.16. При обработке в Банке персональных данных на бумажных носителях, в частности, при использовании в Банке типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 г. № 687.

А.10. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные

А.10.1. СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные в ИСПД и вне ИСПД, должна соответствовать требованиям настоящей Политики.

А.10.2. Все ИСПД Банка относятся к специальным в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом ФСТЭК России, ФСБ России и Мининформсвязи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

А.10.3. В Банке должны быть определены и документально зафиксированы критерии классификации ИСПД и порядок проведения классификации ИСПД.

Классификация ИСПД должна проводиться, в том числе на основе категорий обрабатываемых в ИСПД персональных данных.

Результаты классификации ИСПД должны быть документально определены и утверждены руководством Банка.

А.10.4. Требования по обеспечению безопасности персональных данных при их обработке в ИСПД определяются для каждого класса ИСПД на основе:

— требований настоящей Политики с учетом положений рекомендаций в области стандартизации Банка России РС БР ИББС-2.3 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации», детализирующих указанные требования;

— оценки рисков нарушения безопасности персональных данных.

А.10.5. Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для Банка угрозы ИБ, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в Банке, и расширяющие положения рекомендаций в области стандартизации Банка России РС БР ИББС-2.3 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации».

www.vbank.ru

Порядок обеспечения информационной безопасности

Под порядком (режимом) обеспечения информационной безопасности в Организации понимается свод правил, требований, описание мер и средств, регламентирующих и используемых при реализации положений данной Политики и других нормативных документов.

Порядок обеспечения информационной безопасности разрабатывается на основе положений данной Политики, результатов анализа рисков, требований законодательных документов, стандартов, общепринятых практик и профессиональных знаний сотрудников отдела информационной безопасности в области защиты информации.

4.1 Классификация информации

С целью унификации порядка работы с информационными активами Организации вводится следующая схема классификации информационных активов:

· Открытый;

· Конфиденциальный;

· Коммерческая тайна;

· Персональные данные.

Порядок обработки конфиденциальной информации и сведений, составляющих коммерческую тайну, устанавливается в соответствии с Федеральным законом РФ от 29 июня 2004 г. № 98-ФЗ «О коммерческой тайне», Гражданским и Трудовым кодексами РФ, нормативными документами Организации:

· «Положение о конфиденциальной информации ООО «Торговый Дом ЛФЗ»

· «Соглашения о конфиденциальности с контрагентами»;

· «Перечень сведений, составляющих коммерческую тайну ООО «Торговый Дом ЛФЗ»

· «Перечень конфиденциальных сведений ООО «Торговый Дом ЛФЗ»

· «Политика конфиденциальности ООО «Торговый Дом ЛФЗ» (декларация о защите конфиденциальной информации)».

Порядок обработки персональных данных, регламентируется Федеральным законом РФ от 27 июля 2006 года N 152-ФЗ «О персональных данных», нормативными документами Организации:

· «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Торговый Дом ЛФЗ» «Соглашение об обеспечении безопасности персональных данных».

4.2 Обеспечение непрерывности бизнес процессов

Стратегическим приоритетом в развитии Организации является реализация программы обеспечения непрерывности бизнеса и восстановления после аварий.

При разработке и реализации программы обеспечения непрерывности бизнеса и восстановления после аварий должны соблюдаться требования к обеспечению информационной безопасности активов Организации.

Все ситуации, в рамках процессов обеспечения непрерывности бизнеса и восстановления после аварий, в которых происходит нарушение установленного режима обеспечения информационной безопасности, должны быть доведены до сведения руководства Организации, курирующего ИТ и информационную безопасность, при этом должно быть принято решение по обработке рисков, возникающих в подобных ситуациях.

Порядок обеспечения непрерывности бизнес-процессов и восстановления после аварий регламентируется документом «План обеспечения непрерывности бизнеса».

4.3 Инциденты информационной безопасности

Для эффективного управления инцидентами ИБ в Организации применяется ряд процессов по управлению инцидентами ИБ. Управление инцидентами ИБ строится в соответствии с рекомендациями международных стандартов PCI DSS, COBIT и другими специализированными стандартами. Основными задачами процесса реагирования на инциденты ИБ являются:

· координация реагирования на инцидент ИБ;

· подтверждение/опровержение факта возникновения инцидента ИБ;

· обеспечение сохранности и целостности доказательств возникновения инцидента ИБ, создание условий для накопления и хранения точной информации об имевших место инцидентах ИБ, о полезных рекомендациях;

· минимизация нарушений нормальной работы и повреждения данных автоматизированных систем, восстановление в кратчайшие сроки работоспособности автоматизированных систем;

· минимизация последствий нарушения конфиденциальности, целостности и доступности информации;

· защита информационных ресурсов Организации и ее репутации;

· обучение персонала Организации действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ.

При обработке инцидентов ИБ должны учитываться ценность активов, задействованных в инциденте, возможный ущерб имиджу Организации.

Весь штатный персонал, временные работники и другие сотрудники подразделений Организации, в том числе выполняющие работу по гражданско-правовому договору, а также сотрудники подрядных организаций, имеющих доступ к активам Организации должны максимально быстро сообщать об инцидентах ИБ сотрудникам отдела информационной безопасности.

Информация об инциденте ИБ должна доводиться отделом информационной безопасности до всех заинтересованных сторон (до руководства Организации, владельцев активов, задействованных в инциденте и др.).

При расследовании инцидентов ИБ необходимо уделять внимание сбору документированных свидетельств.

Порядок реагирования на инциденты ИБ регламентируется документом «Положение об управлении инцидентами информационной безопасности».

4.4 Безопасность ресурсов, связанная с персоналом

Весь персонал Организации должен проходить процедуры проверки службой безопасности в соответствии с критичностью активов, к работе с которыми он допущен. В отдельных случаях, возможно проведение дополнительных проверок перед приемом на работу, в рамках законодательства РФ.

Порядок допуска персонала к работе с активами Организации определяется следующими нормативными документами:

· «Регламент управления доступом к информационным ресурсам и сервисам».

Организацией прилагаются все усилия, для доведения до персонала значимости вопросов обеспечения информационной безопасности в повседневной деятельности. Эти усилия предпринимаются для того, чтобы персонал осознавал важность информационной безопасности, свою ответственность в части выполнения требований по информационной безопасности и влияние информационной безопасности на успешность достижения целей Организации.

Департамент по работе с персоналом должен своевременно доводить до всего персонала требования по информационной безопасности, положения данной Политики и других нормативных документов, в части необходимой для выполнения служебных обязанностей.

С целью обеспечения понимания персоналом выдвигаемых требований отделом информационной безопасности должны с периодичностью не реже 1 раза в пол года проводиться мероприятия, направленные на повышение осведомленности персонала в вопросах угроз информационной безопасности и противодействия этим угрозам.

Сотрудники Организации обязаны информировать своё руководство и отдел информационной безопасности департамента информационных технологий обо всех известных им случаях нарушения данной политики или других нормативных документов по информационной безопасности.

Все информационные ресурсы Организации предназначены исключительно для достижения бизнес-целей Организации. Информационные ресурсы Организации не могут использоваться для достижения иных целей, не связанных с деятельностью Организации.

4.5 Физическая безопасность

Физическая безопасность сотрудников, зданий, помещений и других активов критически важна для деятельности Организации.

Должны применяться усиленные меры по обеспечению физической безопасности центров обработки данных. Применяемые меры помимо организационных положений, должны включать в себя использование специализированных технических средств.

Физическая безопасность средств обработки и хранения информации также может влиять на бизнес-процессы Организации. Ответственность за обеспечение физической безопасности ноутбуков, съемных носителей данных и других мобильных ресурсов возлагается на пользователей этих ресурсов и их руководителей. Ответственность за обеспечение охраны помещений Организации и установленных в них средств обработки информации возлагается на Службу безопасности Организации. В случае привлечения сторонних организаций к охране помещений, центров обработки данных, средств обработки и хранения информации Организации ответственность за нарушение физической безопасности данных активов и обязательства возмещения ущерба должны быть определены в договоре об оказании услуг.

Персонал Организации не должен допускать несанкционированного доступа к информации, указанной в «Перечне конфиденциальных сведений ООО «Торговый Дом ЛФЗ» и «Перечне сведений, составляющих коммерческую тайну ООО «Торговый Дом ЛФЗ», к персональным данным, обрабатываемым в Организации, а также оставлять носители, содержащие подобную информацию в общедоступных принтерах, на рабочих столах, размещать такую информацию в общедоступных сетевых папках, передавать ее лицам, неуполномоченным на ее обработку.

Порядок обеспечения физической защиты ресурсов определяется нормативным документом: «Политика обеспечения физической защиты помещений и средств вычислительной техники».

4.6 Безопасность при коммуникациях и эксплуатации систем и сервисов

Все средства коммуникаций Организации предназначены для решения бизнес-задач Организации. Для всех информационных потоков, выходящих из Организации, должны предприниматься меры по обеспечению целостности и конфиденциальности передаваемой информации. Состав предпринимаемых мер должен определяться критичностью передаваемой информации.

Организация оставляет за собой право просматривать все информационные потоки, как пересекающие границы локальной вычислительной сети Организации, так и находящиеся внутри этих границ. Подобные действия направлены исключительно на выявление угроз информационной безопасности активов Организации.

Во всех информационных системах должны применяться меры противодействия вредоносным программам.

Должна быть предусмотрена многоуровневая система противодействия распространению вредоносных программ.

Порядок обеспечения защиты от вредоносных программ определяется нормативным документом: «Политика защиты от вредоносных программ».

Должны быть обеспечены процедуры резервного копирования для всех критичных информационных активов.

Должно быть обеспечено дублирование всех критичных компонентов автоматизированных систем и инфраструктуры.

Процедуры эксплуатации средств информационных технологий должны быть документированы.

Должен быть предусмотрен формальный процесс внесения изменений в состав средств информационных технологий Организации.

Необходимо реализовывать принцип разделения промышленной и тестовой информационной среды, а также среды разработки.

Все события автоматизированных систем, связанные с информационной безопасностью, должны протоколироваться соответствующим образом. Данные протоколы должны регулярно анализироваться и использоваться в процессе расследования инцидентов ИБ.

При уничтожении и снятии с эксплуатации средств вычислительной техники, носителей информации должны учитываться требования по обеспечению информационной безопасности.

Внутренние сети Организации должны быть защищены от несанкционированного доступа и других угроз со стороны сетей партнеров и публичных сетей. Все коммуникации с внешними сетями должны контролироваться специализированными шлюзами безопасности.

Использование любых форм подключения внешних автоматизированных систем возможно только по согласованию с руководством Организации, курирующим процессы обеспечения информационной безопасности, и отделом информационной безопасности.

Порядок обеспечения безопасности при подключении к локальной вычислительной сети Организации внешних информационных систем и удаленного доступа к ней регламентируется следующими документами:

«Политика межсетевого экранирования»;

«Политика использования мобильных и удаленных компьютеров, персональных устройств и технологий».

Для выявления и своевременного устранения недостатков (уязвимостей) в средствах защиты информационных системах Организации сотрудниками отдела информационной безопасности или внешними организациями должны регулярно проводиться тестирования систем и процессов обеспечения информационной безопасности (тестирование на проникновение), а также сканирования уязвимостей в информационных системах. Данные процессы регламентируются документами:

«Политика управления уязвимостями»;

«Регламент сканирования уязвимостей»;

«Регламент тестирования систем и процессов обеспечения информационной безопасности».

По результатам тестирований систем и процессов обеспечения информационной безопасности, а также на основе данных о выявленных при сканировании уязвимостях должны быть реализованы меры по устранению недостатков в средствах защиты информационных систем Организации.

4.7 Контроль доступа

Во всех информационных системах Организации должны быть реализованы механизмы контроля доступа.

Каждому пользователю информационной системы должен быть предоставлен уникальный идентификатор.

Доступ к информационным системам и ресурсам Организации должен осуществляется на основании безопасной процедуры входа. В рамках данной процедуры пользователь должен как минимум предъявить свой уникальный идентификатор и пароль. Для всех критичных информационных систем и ресурсам должна выполняться регистрация событий доступа к ним пользователей.

Доступ к информационным системам предоставляется в соответствии с формальной процедурой, описанной в нормативном документе «Регламент управления доступом к информационным ресурсам и сервисам».

Права доступа должны назначаться в соответствии с критичностью обрабатываемой информации и необходимостью доступа к информации для выполнения служебных обязанностей и регулярно пересматриваться.

4.8 Безопасность при приобретении, разработке и сопровождении информационных систем

Процессы по приобретению, разработке и сопровождению информационных систем должны быть формализованы и документально оформлены. При приобретении и разработке информационных систем должны учитываться требования по информационной безопасности.

При выборе информационных систем и сервисов по их поддержке необходимо учитывать жизненный цикл информации, обрабатываемой в данных системах.

При приобретении и разработке информационных систем должна учитываться совместимость с используемыми в Организации средствами защиты информации.

При эксплуатации информационных систем должны учитываться требования по безопасности для всех компонент системы: обрабатываемой информации, файлов системных данных и конфигураций, прикладному и системному программному обеспечению.

4.9 Безопасность при использовании услуг сторонних организаций

При использовании сервисов, предоставляемых сторонними организациями, необходимо учитывать требования по обеспечению информационной безопасности.

Все договоры на предоставление сервиса, касающиеся создания, обработки, хранения и передачи информации должны проходить согласование в отделе информационной безопасности.

В состав договоров должны быть включены разделы с требованиями к показателям информационной безопасности предоставляемых сервисов, неразглашении конфиденциальной информации и информировании об инцидентах ИБ.

Отдел информационной безопасности несет ответственность за наличие в договорах данных разделов и их соответствие требованиям Организации по обеспечению инфомационной безопасности.

Ответственность

Нарушением порядка обеспечения информационной безопасности является действие или бездействие, в результате которого нарушаются утвержденные требования к режиму обеспечения информационной безопасности активов Организации.

Ответственность за нарушение порядка обеспечения информационной безопасности несет персонально каждый работник Организации, допустивший данное нарушение.

При выявлении нарушения порядка обеспечения информационной безопасности, к лицу, допустившему нарушение, могут быть применены меры дисциплинарного взыскания.

Руководство Организации принимает решение о применении к виновным лицам мер ответственности в соответствии с действующим законодательством Российской Федерации и внутренними нормативными актами Организации.

При наличии в действиях лица, нарушившего порядок обеспечения информационной безопасности, признаков административного правонарушения или преступления, руководство Организации имеет право обращаться в правоохранительные органы для привлечения его к ответственности в соответствии с действующим законодательством.

При причинении лицом, нарушившим порядок обеспечения информационной безопасности, ущерба (экономического, морального и др.) и при отказе добровольно возместить причиненный ущерб, Организация имеет право обратиться в суд за защитой своих интересов.

Читайте также:

lektsia.com

Вопрос 1. Основные положения по обеспечению ИБ

Вопрос 1. Основные положения по обеспечению ИБ

Руководствуясь целями обеспечения защиты информации в автоматизированных системах Гостехкомиссия (ГТК) при Президенте Российской федерации (РФ) опубликовала ряд руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации:

1. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: 1997

2. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанцционированного доступа к информации. М.: 1997

3. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: 1997

4. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: 1997.

5. Гостехкомиссия России. Руководящий документ. Межсетевые экраны. Защита от несанкционированного доступа к информации. М.: 1997.

6. Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. М.: 1997.

Следует отметить, что идейной основой этих документов является «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации (НСД)», содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем, как основы для построения автоматизированных систем обработки информации (АСОИ) и автоматизированных систем управления (АСУ).

Концепция определяет следующие основные положения:

ОПРЕДЕЛЕНИЕ НСД

ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ

МОДЕЛЬ НАРУШИТЕЛЯ В АС

ОСНОВНЫЕ СПОСОБЫ НСД

ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ОТ НСД

ОСНОВНЫЕ ХАРАКТЕРИСТИКИ ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ОТ НСД

КЛАССИФИКАЦИЯ АС

ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ

Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации. Она является базой нормативно-технических и методических документов, направленных на решение следующих задач:

? выработка требований по защите СВТ и АС от НСД к информации;

? создание защищенных СВТ и АС, т. е. защищенных от НСД к информации;

? сертификация защищенных СВТ и АС. Концепция предусматривает существование двух относительно самостоятельных направлений в проблеме защиты информации от НСД. Это – направление, связанное с СВТ, и направление, связанное с АС.

Отличие в том, что СВТ разрабатываются и поставляются на рынок как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. При этом, защищенность СВТ есть потенциальная защищенность, т. е. свойство предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС.

Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.

1. ОПРЕДЕЛЕНИЕ НСД

НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

2. ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ

Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.

Защита СВТ обеспечивается комплексом программно-технических средств.

Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).

Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.

Защита АС должна предусматривать контроль эффективности средств защиты от НСД. (периодический или по мере необходимости).

3. МОДЕЛЬ НАРУШИТЕЛЯ В АС

В качестве нарушителя рассматривается субъект, имеющий доступ к работе с штатными средствами АС и СВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей. Каждый следующий уровень включает в себя функциональные возможности предыдущего.

? Первый уровень – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

? Второй уровень – возможность создания и запуска собственных программ с новыми функциями по обработке информации.

? Третий уровень – возможность управления функционированием АС, т. е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

? Четвертый уровень – весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты.

4. ОСНОВНЫЕ СПОСОБЫ НСД

К основным способам НСД относятся:

• непосредственное обращение к объектам доступа;

• создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

• модификация средств защиты, позволяющая осуществить НСД;

• внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

5. ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ОТ НСД

Обеспечение защиты СВТ и АС осуществляется:

• системой разграничения доступа (СРД) субъектов к объектам доступа;

• обеспечивающими средствами для СРД. Основными функциями СРД являются:

• реализация правил разграничения доступа (ПРД)

субъектов и их процессов к данным;

• реализация ПРД субъектов и их процессов к устройствам создания твердых копий;

• изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;

• управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;

• реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.

Обеспечивающие средства для СРД выполняют следующие функции:

• идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;

• регистрацию действий субъекта и его процесса;

• предоставление возможностей исключения и включения

новых субъектов и объектов доступа, а также изменение полномочий субъектов;

• реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;

• тестирование;

• очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;

• учет выходных печатных и графических форм и твердых копий в АС;

• контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.

Ресурсы, связанные как с СРД, так и с обеспечивающими ее средствами, включаются в объекты доступа.

Способы реализации СРД зависят от конкретных особенностей СВТ и АС. Возможные варианты:

• распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);

• СРД в рамках операционной системы, СУБД или прикладных программ;

• СРД в средствах реализации сетевых взаимодействий или на уровне приложений;

• использование криптографических преобразований или методов непосредственного контроля доступа;

• программная и (или) техническая реализация СРД.

6. ОСНОВНЫЕ ХАРАКТЕРИСТИКИ ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ОТ НСД

• степень полноты охвата ПРД реализованной СРД (оценивается по наличию четких непротиворечивых заложенных в СРД правил доступа к объектам доступа и мерам их надежной идентификации. Учитываются также возможности контроля разнообразных дисциплин доступа к данным);

• состав и качество обеспечивающих средств для СРД (учитываются средства идентификации и опознания субъектов и порядок их использования, полнота учета действий субъектов и способы поддержания привязки субъекта к его процессу.);

• гарантии правильности функционирования СРД и обеспечивающих ее средств (оцениваются по способам проектирования и реализации СРД и обеспечивающих ее средств (формальная и неформальная верификация) и по составу и качеству препятствующих обходу СРД средств (поддержание целостности СРД и обеспечивающих средств, восстановление после сбоев, отказов и попыток НСД, контроль дистрибуций, возможность тестирования на этапе эксплуатации).

Оцениваемая АС или СВТ документируется. В состав документации включаются руководство пользователя по использованию защитных механизмов и руководство по управлению средствами защиты…

7. КЛАССИФИКАЦИЯ АС

В основу классификации АС положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:

• информационные – определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС из-за искажения (потери) информации;

• организационные – определяющие полномочия пользователей;

• технологические – определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т. д.), время циркуляции (транзит, хранение и т. д.), вид АС (автономная, сеть, стационарная,).

8. ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ

Организация работ по защите СВТ и АС от НСД к информации – часть общей организации работ по безопасности информации.

Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формулируемых Заказчиком и согласуемых с Разработчиком.

Требования задаются в виде желаемого уровня защищенности СВТ или АС, или в виде соответствующего этому уровню перечня требований.

Требования по защите обеспечиваются Разработчиком в виде комплекса средств защиты (КСЗ). Организационные мероприятия для АС реализуются Заказчиком.

Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.

Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний.

По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право Разработчику на использование и/или распространение их как защищенных.

Разработка мероприятий по защите проводится одновременно с разработкой СВТ и АС и выполняется за счет финансовых и материально-технических средств, выделенных на разработку СВТ и АС.

С точки зрения данных документов основная и едва ли не единственная задача средств безопасности – это обеспечение защиты от несанкционированного доступа (НСД) к информации. Средствам контроля, обеспечения целостности и поддержки работоспособности уделяется меньшее внимание. (То есть основное внимание уделяется тому, что надо делать, а как делать – задача разработчика).

Итак, как отмечалось, руководящие документы ГТК предлагают две группы критериев безопасности – показатели защищенности средств вычислительной техники (СВТ) от НСД и критерии защищенности автоматизированных систем (АС) обработки информации. Первая группа позволяет оценить степень защищенности (только относительно угроз одного типа – НСД) отдельно поставляемых потребителю компонентов ВС, а вторая рассчитана на полнофункциональные системы обработки информации. В следующих вопросах лекции рассматриваются эти вопросы.

Следующая глава

tech.wikireading.ru


Смотрите также