пятница, 13 августа 2010 г.

Безопасность персональных данных в банке

Безопасность персональных данных в банке


Что такое персональные данные?

Согласно определению из федерального закона, персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Где находятся персональные данные?

Персональные данные (ПДн) в банке находятся в следующих системах:

• Автоматизированная банковская система (АБС);

• системы Клиент-Банк;

• системы мгновенного перевода денег;

• бухгалтерские системы учета;

• кадровые системы учета;

• корпоративная информационная система;

• внутренний web-портал.

ПДн могут присутствовать на бумажных документах (договора, формы, приказы, инструкции, анкеты, соглашения и т.д.).

Какие документы устанавливают требования к защите персональных данных?

Федеральные законы

Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации»;

Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных».

Постановления Правительства

Постановление Правительства Российской Федерации № 781 от 17 ноября 2007 года «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Постановление Правительства Российской Федерации № 957 от 29 декабря 2007 года «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;

Постановление Правительства Российской Федерации № 687 от 15 сентября 2008 года «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

ФСТЭК России

Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных».

ФСБ России

Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»;

Руководящий документ ФСБ России от 21 февраля 2008 г. №149/54-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;

Руководящий документ ФСБ России от 21 февраля 2008 г. №149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

Стандарт Банка России

СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения»;

СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Аудит информационной безопасности»;

СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх»;

РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0»;

РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Руководство по самооценке соответствия информационной безопасности организаций банковской системы РФ требованиями СТО БР ИББС-1.0»;

РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций банковской системы РФ. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ»;

РС БР ИББС-2.4-2010 «Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банков банковской системы РФ»;

Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией «Россия»).

Как нужно защищать персональные данные?

Согласно требованиям методических документов для защиты ПДн, общим для всех видов ИСПДн, являются следующие подсистемы:

• подсистема контроля доступа;

• подсистема регистрации и учета;

• подсистема обеспечения целостности;

• подсистема межсетевой безопасности.

Если ИСПДн подключена к сети Интернет, то необходимо дополнительно использовать следующие подсистемы:

• подсистема антивирусной безопасности;

• подсистема обнаружения вторжений;

• подсистема анализа защищенности.

Также необходимо использовать электронные замки и/или электронные ключи для надежной идентификации и аутентификации пользователей.

Если ИСПДн является распределенной дополнительно для предотвращения несанкционированного доступа, путем отделения защищаемой информации от общедоступной, необходимо использовать криптографию при передаче ПДн по незащищенным каналам связи, а также, ЭЦП, для подтверждения подлинности данных.

Такая разбивка на подсистемы и формирование на их основе перечня продуктов для защиты ПДн является общепринятой и используется в большинстве случаев.

От чего необходимо защищать персональные данные?

Если задачей является обеспечение только конфиденциальности ПДн, необходимо осуществлять мероприятия и/или использовать технические средства, направленные на предотвращения несанкционированного доступа, то такая ИСПДн становится типовой.

Если дополнительно предъявляются требования по обеспечению других свойств информационной безопасности, таких как обеспечение целостности, доступности, а также их производных (неотказуемость, подотчетность, адекватность, надежность и др.), то такая ИСПДн становится специальной. В большинстве случаев любая ИСПДн будет являться специальной, то есть помимо классов ПДн для определения механизмов защиты нужно руководствоваться создаваемой для этого моделью угроз.

Как уменьшить класс ПДн?

Для того чтобы уменьшить и упростить мероприятия по защите ПДн, Банки идут на различные ухищрения. Ниже я привожу наиболее типичные способы, позволяющие уменьшить стоимость средств защиты. Однако, сама по себе такая «перекройка» информационных систем Банка является довольно сложной и трудоёмкой задачей.

Уменьшение количества площадок

Как было показано выше, если ИСПДн является распределенной, то к её защите предъявляются повышенные требования, чтобы их уменьшить нужно попытаться уйти от распределенных ИСПДн.

При распределенной ИСПДн ПДн находятся на различных площадках, ПДн передаются по неконтролируемым Банком каналам связи, а в общем случае это означает, что ПДн выходят или покидают контролируемую зону. Тогда, прежде всего, необходимо локализовать ПДн, уменьшив количество площадок, на которых они будут находиться. В некоторых случаях это реально, но если рассматривать АБС, то такой возможности, скорее всего, не будет.

Уменьшение количества серверов

Если ИСПДн является локальной, то есть функционирует в пределах локальной сети Банка, то наиболее простым способом уменьшения стоимости затрат на защиту будет являться уменьшение количества серверного оборудования, на которых присутствуют и/или обрабатываются ПДн.

Уменьшение количества АРМ и персонала

При любом типе ИСПДн (в виде АРМ, локальной, распределенной) конечной обработкой ПДн, как правило, занимается персонал Банка. Если не использовать терминальный доступ, о котором будет сказано ниже, имеет смысл уменьшить количество персонала Банка, занимающегося обработкой ПДн или имеющего к ним доступ.

Разделение ИС при помощи МСЭ

Для того чтобы уменьшить количество ПДн, а значит и уменьшить стоимость средств защиты, хорошим способом является разделение информационных сетей на сегменты, в которых ведется обработка ПДн. Для этого необходимо установить и использовать межсетевые экраны, к портам которых следует подсоединить сегменты с ПДн. Часто всё серверное оборудование расположено в демилитаризованной зоне, то есть в сегментах отделенных от общедоступных и банковских сетей межсетевыми экранами. Этот способ также требует существенной «перекройки» информационных сетей. Существует метод, основанный на, так называемом, «линейном шифровании», то есть шифровании канала клиент-клиент, клиент-сервер, сервер-сервер. Такое шифрование сетевого трафика может быть реализовано как при использовании специальных средств защиты, так и при использовании стандартной технологии IPSec, однако она не является сертифицированной ФСБ России, что является её существенным минусом.

Другим способом разделения ИСПДн в масштабах всей сети могла бы стать технология виртуальных сетей – VLAN, однако фактически VLAN это лишь идентификатор в одном из полей сетевого пакета, что позволяет говорить о данной технологии как об «айтишной». Поэтому разделение сетей при помощи VLAN не освобождает от использования технологий защиты информации.

Деление баз данных на части

Предположим, что есть база данных, состоящая из тысячей записей: Ф.И.О. и сумма вклада.
Это автоматически определяет класс ИСПДн как наиболее высокий, что означает существенную опасность от раскрытия данных и тем самым влечет необходимость применения дорогих средств защиты.

Создадим две другие базы данных. Введем дополнительный уникальный идентификатор. Разделим таблицу на две части, в первую поместим поля Ф.И.О и идентификатор, в другую идентификатор и сумму вклада.
Таким образом, если каждый сотрудник может обрабатывать только одну из этих новых баз данных, то защита ПДн существенно упрощается, если не сводится на нет. Очевидно, что ценность такой базы данных существенно ниже, чем исходной. Обе же базы данных будут находиться на наиболее защищенном сервере. В реальности, полей в базе данных гораздо больше, однако данный принцип может работать практически в каждом случае, т.к. количество значимых с точки зрения безопасности ПДн полей не так уж и велико, а скорее весьма ограничено. В предельном случае можно хранить ключевые соответствия на ПК, не входящем в локальную сеть или даже не использовать автоматизированную обработку.

Обезличивание ПДн

Согласно определению из 152-ФЗ, обезличивание ПДн – действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн. Из этого определения следует серия способов, при помощи которых можно получить ПДн, по которым невозможно определить принадлежность ПДн. Например, если для целей обработки не важны точные данные определенных полей, их можно или не отображать, или отображать лишь диапазоны, в которые они попадают. Например, возраст 20-30, 30-40 и т.д. Адрес можно «округлить» до района, округа или города: Царицыно, Южный, Москва. В зависимости от необходимости, процесс обезличивания ПДн может быть обратимым или необратимым. К необратимому относятся вышеперечисленные способы «округления», а к обратимому, например, шифрование. С моей точки зрения шифрование (кодирование) может являться способом обезличивания данных и должно применяться для этих целей.

«Тонкие клиенты» и терминальный доступ

Использование технологий «тонкого клиента» и соответствующей ей технологии терминального доступа на серверах позволяет существенно снизить требования к защите ПДн. Дело в том, что при использовании «тонких» клиентов» и терминального доступа на ПК сотрудников Банка не нужно устанавливать специализированное ПО, такое как клиентские части баз данных, клиентские части АБС, и т.д. Более того, на ПК сотрудников Банка не нужно устанавливать никакие специальные средства защиты. Данные технологии позволяют отображать на своем рабочем месте информацию из баз данных, хранящихся на серверах и осуществлять управление обработкой ПДн. Эти технологии априори являются безопасными, т.к. терминальными политиками легко ограничить возможности конечных клиентов (персонала Банка) по копированию, а значит и распространению ПДн. Канал связи между серверами и ПК с «тонким клиентом» легко поддается шифрованию, то есть простыми способами можно обеспечить конфиденциальность передаваемых данных.

Скорость же потенциальных утечек данных будет ограничиваться лишь визуальным каналом, что определяется скоростью фотоаппарата или видеокамеры, однако при введении специальных организационных мероприятий такое копирование становится весьма затруднительным.

Чем можно защитить персональные данные?

В широком смысле под обеспечением защиты от несанкционированного доступа понимается комплекс организационных и технических мероприятий. Эти мероприятия основываются на понимании механизмов предотвращения несанкционированного доступа на самых разных уровнях:

• идентификация и аутентификация (также двухфакторная или строгая). Это может быть (операционная система, инфраструктурное ПО, прикладное ПО, аппаратные средства, например электронные ключи);

• регистрация и учет. Это может быть журналирование (логирование, протоколирование) событий во всех вышеперечисленных системах, ПО и средствах);

• обеспечение целостности. Это может быть расчет по контрольным суммам контролируемых файлов, обеспечение целостности программных компонент, использование замкнутой программной среды, а также обеспечение доверенной загрузки ОС);

• межсетевой экран, как шлюзовой, так и локальный;

• антивирусная безопасность(применяется до трех уровней обороны, так называемый эшелонированный или мультивендорный подход);

• криптография (функционально применяется на разных уровнях модели OSI (сетевой, транспортный и выше), и обеспечивает различный защитный функционал).

Есть несколько комплексных продуктов, имеющих развитый НСД функционал. Все они отличаются типами применения, поддержкой оборудования, ПО и топологией реализации.

При распределенной или имеющей подключение к сети общего пользования (Интернет, Ростелеком и др.) ИСПДн применяются продукты анализа защищенности (MaxPatrol от ПозитивТехнолоджис, которая не имеет прямых конкуретнов в РФ), а также обнаружение и предотвращение вторжений (IDS/IPS) – как на уровне шлюза, так и на уровне конечного узла.

Как можно передавать персональные данные?

Если ИСПДн является распределенной, это означает необходимость передавать ПДн по незащищенным каналам связи. К слову сказать, к незащищенному каналу также относится и «воздушный». Для защиты ПДн в каналах связи могут использоваться различные способы:

• шифрование канала связи. Может обеспечиваться любым способом, таким как VPN между шлюзами, VPN между серверами, VPN между рабочими станциями (InfoTecs ViPNet Custom, Информзащита АПКШ Континент и др.);

• пакетная коммутация MPLS. Передача пакетов происходит по различным путям в соответствии с метками, которые присваиваются сетевым оборудованием. Например, MPLS-сеть Ростелеком имеет сертификат соответствия сети пакетной коммутации требованиям информационной безопасности ФСТЭК России, что является гарантией высокой защищенности услуг, предоставляемых на ее основе;

• шифрование документов. Может применяться различное программное обеспечение для шифрования файлов с данными, а также файлы-контейнеры (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt и др.);

• шифрование архивов. Могут применяться различные архиваторы, которые позволяют архивировать и шифровать файлы, используя криптостойкие алгоритмы, такие как AES. (WinRAR, WinZIP, 7-ZIP и др.).

Нужно ли использовать сертифицированные средства защиты?

На сегодняшний день есть единственное требование ФСТЭК России в части сертификации средств защиты ПДн. Требование касается обеспечения 4 уровня недекларированных возможностей, поэтому по последнему вопросу приведу лишь три тезиса:

• система сертификации средств защиты добровольная;

• достаточно выполнить требования законодательства;

• сертифицировать информационную систему персональных данных в целом не нужно.

Шауро Евгений

Август 2010 год

понедельник, 9 августа 2010 г.

Безопасность электронного банкинга для банков

Безопасность электронного банкинга для банков

В сообщении, посвященном безопасности электронного банкинга для организаций, рассказывалось о мерах, направленных на обеспечение безопасности транзакций. Те же меры в наиболее полной степени применимы и к банковской ИТ-инфраструктуре.

Однако для защиты электронных платежных систем указанных мер совершенно не достаточно, т. к. банки априори позиционируются как финансовые организации с высоким уровнем доверия в части информационной безопасности. Однако, судя по общедоступной информации, только банки, входящие в ТОП-20 наиболее надежных банков России, имеют штат высокооплачиваемых специалистов в области информационной безопасности, а также риск-менеджеров. В подавляющем большинстве банков ситуация с информационной безопасностью зачастую находится на низком уровне и оставляет желать лучшего.

В настоящее время существует две технологии предоставления сервисов дистанционного банковского обслуживания (ДБО). Это технология с использованием «толстого» клиента и технология с использованием «тонкого» клиента.

Технология «толстого» клиента предполагает использование специально разработанного программного обеспечения, включающего интерфейсы пользователя, необходимые функциональные модули и криптографические библиотеки. Согласно нормам законодательства, криптографические библиотеки должны быть сертифицированы в ФСБ России, а также данная организация должна проводить работы по контролю корректности их встраивания в конечный продукт.

Вопросы информационной безопасности при использовании «толстого» клиента предполагают проведение ряда мероприятий на стороне конечного пользователя или организации, то есть на стороне клиента банка. Среди них установка программного обеспечения клиента, возможные сложности с интеграцией Клиент-Банка в инфраструктуру клиента, такие как обеспечение совместимости с подсистемами безопасности клиента, если они, конечно, есть и функционируют.

Технология «тонкого» клиента предполагает, что вся система расположена на серверах банка, доступ к которым через web-браузер имеет клиент. На стороне клиента должен быть лишь компьютер с установленной операционной системой, антивирус, т.к. компьютер подключен к сети Интернет, и web-браузер (как правило, Microsoft Internet Explorer или Mozilla FireFox). Так как Internet Explorer является стандартным web-браузером, функционирующим под ОС Microsoft Windows, которая используется у 99 % клиентов, то его поддержка является обязательной для всех систем Клиент-Банка. Другие аналогичные программы для навигации в сети Интернет могут официально не поддерживаться, т. к. поддержка любых других программ и платформ ведет к дополнительному тестированию на совместимость, что неминуемо ведет к увеличению стоимости разработки.

С точки зрения защиты банка при использовании «толстого» клиента основополагающим моментом является установка ПО Клиент-банка и работа с системой только на стационарном или мобильном ПК. Это означает, что хорошо бы иметь лицензионную и регулярно обновляемую ОС и иметь лицензионный обновляемый антивирус. Межсетевой экран должен быть включен и настроен, не должно быть никакого лишнего ПО, порты и интерфейсы ПК (как, впрочем, и все остальное) должны использоваться по назначению, а сетевые настройки оставаться неизменными. С технологической точки зрения контроль многих вышеперечисленных критериев можно осуществлять удаленно при помощи специального агента, который может входить в состав Клиент-Банка. Тем самым получается собственная реализация Network Access Control/Protection (NAC/NAP), при которой Клиент-Банк получает доступ к системе только при соответствии указанным требованиям. Эти требования обязательно должны быть прописаны в договоре между банком и клиентом, т.к. иначе такой контроль безопасности нельзя будет использовать легитимно.

Использование «тонкого» клиента предполагает доступ клиента к системе из любого места при соответствии минимальных требований к вендору и версии web-браузера. Такое использование является очень удобным как для клиента, так и для банка, однако это накладывает определенные сложности на реализацию средств защиты. Требования к операционной системе, антивирусу, другому ПО можно / нужно занести в договор, однако контролировать это куда сложнее, чем при использовании «толстого» клиента. Основными направлениями контроля и защиты будут уже являться совершенно другие механизмы и технологии, которые должны реализоваться на стороне Банка (Fraud monitoring).

Основной идеей обеспечения безопасности является анализ транзакций, которые инициирует и подтверждает клиент. Анализ может проводиться как в оффлайне, так и в онлайне. Системы анализа могут быть как обучаемые, так и нет.

Для анализа в оффлайне, нужно иметь системы, которые поддерживают форматы журналов автоматизированной банковской системы (АБС). Анализ журналов может производиться в любое время, поэтому может использоваться ретроспективный анализ.

Для анализа в онлайне, нужно иметь системы, которые поддерживают АБС и могут интегрироваться в них. Анализ проводится в режиме реального времени и задачей оператора является лишь ручной анализ и подтверждение транзакции лишь при срабатывании правил.

Для каждого клиента создается специальный профиль, в который может входить такая информация как IP-адрес или их диапазон, версии web-браузеров, информация о типовых платежах и их времени, то есть вся необходимая информация, по которой можно делать выводы о нормальной работе клиента. Наряду с профилями эти системы имеют разработанные шаблоны, соответствие которым тоже может считаться подозрительным и требовать проведения расследования. Также специалисты в области информационной безопасности могут самостоятельно разработать любые правила, из которых в дальнейшем будет состоять шаблон или профиль и уже по ним производить контроль.

Для дополнительных технических мер могут использоваться одноразовые коды (пароли) подтверждения транзакций, SMS и/или e-mail уведомления о любых транзакциях, различные лимиты по размерам и/или количеству платежей в единицу времени.

Для дополнительных организационных мер безопасности могут применяться задержки в проведении платежей, а также контакты с клиентом для их подтверждения.


Шауро Евгений

Июль 2010 год

Безопасность электронного банкинга для организаций

Безопасность электронного банкинга для организаций

Известно, что в настоящее время уже во всех компаниях существует электронный платежный документооборот. Это означает, что, как минимум, в каждой организации есть бухгалтерия, а значит бухгалтер, банк и платежи, а также обязательные отчисления, например в пенсионный фонд, фонд социального страхования, что также значит бухгалтер, государственные организации и передача информации. В каждой организации, если конечно в ней присутствует грамотное руководство, должны оценивать риски, возникающие при передаче платежной информации через Интернет.

Как же оценить эти риски? Как известно, стандартными методами являются следующие манипуляции с рисками. Риск можно не принять (отказ от риска), принять, уменьшить и принять или «перекинуть» на кого-то. Поясню это на простых примерах.

• Отказ от риска – руководство считает, что никакого риска не существует и поэтому даже не собирается думать, что для безопасности транзакций следует или не следует что-нибудь делать.

• Принять риск – руководство понимает, что при таком электронном платежеобороте, в принципе, возможны какие-нибудь «накладки» (мошенничества, ошибки персонала, ошибки банка), но т.к. все уже используют эти современные технологии, а также, наверняка, Банк - заведение серьезное и у него точно всё в порядке, следовательно делать ничего не будет.

• Уменьшить и принять риск – руководство понимает, что любое электронное взаимодействие, а особенно связанное с деньгами, обязательно является рискованным мероприятием, поэтому обязательно нужно попытаться максимально обезопасить себя от возможных последствий, то есть принять какие-то меры, которые уменьшат для приемлемого уровня подобные риски.

• «Перекинуть» риск – руководство полагает, что все эти технологии придумал Банк, Банк же и навязывает использовать их, поэтому пусть он или кто-нибудь другой отвечает за подобные риски. В общем случае этот метод подразумевает заключение договора со страховой, аутсорсинговой или какой-нибудь другой компанией или напрямую с Банком, однако на практике именно в этом конкретном случае «перекинуть» на кого-то будет весьма и весьма не просто.

В этой статье я буду говорить о самом рациональном, с точки зрения здравомыслящего управленца, методе, который означает уменьшить до приемлемого уровня и принять риск.

Это означает, что нужно всесторонне рассмотреть технологии передачи и обработки финансовой информации в условиях конкретной организации. Стандартными направлениями работ будут являться:

• организационная безопасность;

• физическая безопасность;

• техническая безопасность.

Организационная безопасность будет переплетаться на всех уровнях, поэтому я постоянно буду ссылаться на меры организационного характера.

Физическая безопасность означает разработка конкретных мероприятий, направленных против каких-либо прямых действий или манипуляций, как с техникой, так и с персоналом. Перейдем к конкретике. Есть стандартная организация, в ней есть бухгалтер, который на своем ПК работает с бухгалтерской программой и передает через Интернет платежи. Прежде всего, напрашиваются такие меры: список людей, которым разрешен доступ в помещение (комнату, кабинет) должен быть строго определен. Это можно сделать, как раздав ключи, так и сделав систему с электронными картами доступа. Желательно, чтобы еще все, по крайней мере, входы были отражены в бумажном или электронном журналах регистрации. Крайне полезно такой способ доступа организовать во все помещения, а потом быстренько написать регламент, где будет сказано, что запись в журнале обязательна, и что ключ никому передавать нельзя, а если что, звонить туда-то. Цена вопроса заранее не известна, т.к. разброс цен на подобные карты доступа и всю инфраструктуру для них достаточно широк.

Следующей мерой напрашивается опечатка системного блока ПК бухгалтера. Это можно сделать, купив стандартные наклейки, выбор которых сейчас весьма широк.

Также под это дело можно опечатать все ПК в организации, благо в части затрат это отнимет сущие копейки. Заодно сделать журнал регистрации и простую инструкцию о том, что нужно эти наклейки регулярно проверять. Сдирать их можно будет только сотрудникам технической поддержки, ИТ администраторам и офицеру ИБ.

Следующей мерой нужно определить, кто будет иметь доступ к ПК, на котором собственно и проходят все финансовые платежи. Для этого пишется простой регламент, в котором говорится, что вот у данного ПК есть один сотрудник – бухгалтер, а всем остальным доступ на ПК запрещен. Исключение здесь будет составлять: тех. поддержка, администраторы и ИБ. Разумеется, будет правильным в регламенте прописать и другие критичные ПК или же просто все. Итого получается, что сотрудник санкционированно прошел в свое помещение, проверил, что его ПК скорее всего не разбирался, никто другой скорее всего за ним не работал, значит можно включать и работать. Поэтому переходим к техническим мерам.

Итак, включаем ПК. Что мы видим? Черный экран, далее, скорее всего, Windows, и далее окно приветствия с требованием ввести пароль. На каждый шаг нужно обратить внимание. В каждом ПК есть некая программа BIOS, которая содержит самые разные настройки ПК, в том числе определяет последовательность его загрузки. Очень правильным будет сразу в него зайти и установить единственный вариант загрузки с основного диска. Это нужно для того, чтобы никто не мог загрузить операционную систему, например с компакт диска или флешки.

И для того, чтобы никто не смог поменять сделанные изменения разумно установить пароль для входа в BIOS.


Следует ли говорить, что эти операции полезно провести на всех ПК, а также написать в очередных правилах, что это сделано для безопасности.

Двигаемся дальше. Загружаемся, вводим имя, пароль и оказываемся в операционной системе. Следующая мысль в том, что имя пользователя должно быть уникальным, то есть не должно повторяться в пределах организации. Пароль должен быть сложным, чтобы его никто не смог угадать. Стандартными правилами к стойкости паролей является его длина – не менее 8 символов, сложность – означает обязательность использовать в пароле больших, малых букв, цифр и разных символов. Все это существенно затруднит угадывание пароля и даже его перебор. Развивая эту тему дальше видно, что пароль желательно регулярно менять. Общей практикой является смена пароля, например, раз в 3 месяца. Также желательно, чтобы был установлен какой-то интервал по минимальной частоте смены паролей. Это очевидно для того, чтобы пользователь при необходимой частоте смены пароля, через минуту не поменял его обратно. Плюс к этому требование по истории паролей. Это означает, что следующий пароль не должен повторять определенное число предыдущих значений. Ну и, наконец, требования к блокировкам учетных записей пользователя, чтобы было невозможно методом перебора угадать пароль. А вот за тем, чтобы тут же не появились на мониторах стикеры, с написанными на них сложными паролями должны следить ИБ и применяться орг. меры. Очень удобно, что весь подобный функционал является стандартным и есть в настройках любой операционной системы, его весьма просто задействовать в масштабах всей организации и желательно всё это мероприятие закрепить на бумаге в регламенте.

Следующим важным фактором является, собственно, операционная система. В настоящее время уже известно тысячи уязвимостей, которые Microsoft ежедневно пытается «заткнуть». Хорошо у них получается или плохо – отдельных разговор, однако штатные средства обновления весьма неплохие. Главный недостаток в том, что обновления идут лишь по линии Microsoft. Логичным утверждением будет пожелание иметь лицензионную версию ОС, чтобы иметь возможность беспрепятственно обновлять её и иметь гарантию, что эта функция не отключится в ближайшее завтра. Короче говоря, функция автоматического обновления должна быть и она должна работать. Это правило проецируем на все остальные ПК и сервера заодно тоже, что вообще-то является более важным. Фиксируем это в соответствующих правилах. Цена вопроса «всего ничего» - 4-5 тыс. при единичных покупках и существенно меньше, если покупать оптом. Или же 0 рублей и 0 копеек при использовании в качестве ОС Linux. Использование в офисе ОС Linux – это отдельная история, и она уже почти имеет практическое решение.

С точки зрения невозможности проникновения в операционную систему крайне важно пользователю работать без административных полномочий, ограничиваясь лишь обычными правами. Это легко достигается силами ИТ администраторов, благо большинство коммерческих программ способны корректно работать при отсутствии административных полномочий.

Идем дальше. На операционной системе не должно быть никакого лишнего, т.е. неиспользуемого ненужного программного обеспечения. Во-первых этим шагом мы уменьшаем фронт возможной атаки, а во-вторых увеличиваем стабильность и надежность работы ОС. Это также делается элементарно. Стоит ли говорить, что эти меры полезны и всем остальным ПК и серверам тоже.

Антивирусное средство. Куда же без него. В настоящее время существует целая индустрия, исследующая и разрабатывающая средства защиты от вирусов и схожих с ними программ. На рынке представлено большое количество как коммерческих, так и условно бесплатных антивирусных средств. Ограничения бесплатных антивирусов, как правило, заключаются в запрещении их коммерческого использования. Есть небезосновательное мнение, что бесплатный антивирус - бесполезный продукт. С другой стороны коммерческий антивирус стоит недорого, около 1000 руб. в год, чтобы обращать на это серьезное внимание. Совсем недавно компания Microsoft выпустила на рынок свой бесплатный продукт под свою же платформу. Следует заметить, что, как и во многих других направлениях, корпорация Microsoft впереди многочисленных конкурентов и вывод на рынок бесплатного антивируса лишь подтверждает данное «правило». Другой пример свободного антивируса под различные платформы ClamAV.

Идем дальше. Порты и интерфейсы. По-хорошему, все неиспользуемые порты и интерфейсы нужно отключить если не в BIOS, то в настройках ОС. Под портами и интерфейсами обычно понимают дисковод, привод компакт дисков, USB, COM, LPT, и т. д.

Основная проблема тут может быть в том, что обычно Банки дают (передают, продают) криптографические ключи как раз на чем-то, имеющим интерфейс USB. Решение проблемы видится в установке специального ПО для разграничения доступа к портам и интерфейсам на уровне компьютера и пользователя. Есть очень распространенный продукт DeviceLock. Достоинство, DeviceLock это очень простой продукт и его сравнительно легко можно интегрировать практически в любую корпоративную сеть. Им можно отделить, казалось бы, однотипные с точки зрения типа порта флешки. Стоит ли говорить, что это решение будет полезным для всех сотрудников. Одновременно пишем соответствующий регламент по всем последним пунктам.

Следующая по полезности возможность это обеспечить пользователю выполнение политик чистого стола и чистого экрана. С чистым столом все понятно, это означает требование пользователю убирать все лишние бумажки, когда он уходит или отходит от своего рабочего места. Политика чистого экрана заключается в том, что пользователь должен блокировать свой ПК, когда от него отходит. Это можно делать вручную, нажимая комбинацию клавиш или сделать централизованно и автоматически, чтобы по истечению некоторого непродолжительного времени ПК блокировался. Разблокировка должна осуществляться по паролю пользователя.

Наконец-то добрались до цели. Программы Клиент-Банк. Их много разных, но несколько типовых. Практически все подобные программы позволяют определять пользователей, их пароли и пути, где находятся ключи подписи и шифрования. Соответственно в них должен быть прописан единственный пользователь – он же ваш бухгалтер, пароль желательно придумать сложный, в соответствии с приведенными выше рекомендациями. Стоит подумать и о правах доступа на папку, в которой находится установленный Клиент-Банк. В общем случае достаточно права на чтение для единственного пользователя и полный доступ для системы и администратора.

О местах, где обычно хранятся криптографические ключи, и где они должны храниться по уму остановимся подробнее. В общем случае ключи можно хранить либо в ПК, либо за его пределами. В ПК подразумевает хранение ключей на жестком диске и как вариант в реестре ОС. За пределами ПК подразумевает хранение ключей на любом внешнем носителе. Теперь обо всем по порядку:

• Файловая система. Создаем папку, определяем к ней доступ, на уровне атрибутов файловой системы, как правило, NTFS и кладем ключи. Вариант совершенно не безопасный.

• Реестр. Реестр – это некая база данных, а по сути всё тот же файл, к которому ОС предоставляет для себя и пользователей права доступа в зависимости от разделов. Недостатки точно такие же, как и в случае с файловой системой.

• Дискета. Раньше широко применялись, но известна их «способность» к выходу из строя в самый ответственный момент. По срокам хранения и надежности не выдерживает никакой критики. Вариант не подходящий.

• Компакт диск. Теоретически нет никаких проблем, однако на практике наблюдать такого не приходилось, т.к. не совсем удобно в эксплуатации, да и уже изобрели следующие, более защищенные способы хранения. Вывода о полезности компакт дисков не делаю.

• Флешка. Очень удобный способ хранения ключей. С надежностью тоже все в порядке. Права доступа можно разделять тем же DeviceLock. В настоящее время широко используется. Однако в части безопасности нет никакого отличия от дискеты и компакт диска.

• Токен. Для того чтобы существенно повысить уровень безопасности хранения криптографических ключей, была предложена идея, заключающаяся в том, что нужно, чтобы только операционная система могла обращаться к ключу. Для этого оперативно создали устройства, имеющие в своём составе интерфейс USB, процессор и защищенную память, в которой и находятся ключи. Безопасность токена достаточно высокая, однако уже появилось вредоносное программное обеспечение. Поэтому основной рекомендацией становится подключать токены лишь на время работы с Клиент-Банком.

• Защищенный токен. Основная мысль, по сравнению с обычным токеном, заключается в том, что криптографические ключи генерируются именно в нем, и ключ электронной подписи никогда не покидает токен, как было в случае с обычным токеном, когда на самом деле, закрытый ключ передавался в операционную систему для осуществления подписи. Из всех вышеперечисленных способов хранения криптографических ключей у защищенного токена безопасность самая высокая, почему я и рекомендую всем пользоваться ими. Разумеется, рекомендация подключать такой токен лишь на время работы с Клиент-Банком остается в силе. Справедливости ради замечу, что уже есть несколько случаев успешных атак и на эти виды токенов, поэтому сейчас ведутся активные разработки принципиально другой технологии электронного банкинга на стороне клиента. Стоимость вопроса 1000-1500 руб. за защищенный токен.

С точки зрения законодательства, при использовании подобных программ нужно подготовить несколько типовых документов. В некотором упрощении это будет:

• Регламент использования средств криптографической защиты информации. Ваша программа Клиент-Банк как раз и является таковой.

• Регламент использования носителей ключевой информации. Ваш токен как раз и является таковым.

• Журнал учета средств криптографической защиты информации.

• Журнал учета носителей ключевой информации.

• Инструкция для администратора.

• Инструкция для пользователя.

Операционная система Windows в силу своей широкой распространенности и пока еще большой популярности имеет огромное количество уязвимостей. Поэтому следующий шаг это проверка операционной системы на уязвимости. В принципе, для этого существуют различные дорогие коммерческие продукты, но одно из самых простых и доступных решений это средство Microsoft Baseline Security Analyzer. До серьезного уровня ему далеко, однако оно позволяет проводить некие неспецифичные тесты и в совокупности с регулярным обновлением операционной системы и всего остального прикладного программного обеспечения может помочь повысить информационную безопасность.

Ну и последний шаг это резервное копирование всего, что у нас получилось. Есть два основных подхода к резервному копированию: на уровне файловой системы и на уровне дисков. В первом случае подразумевается создание резервной копии определенных файлов или папок, а во втором случае полное копирование разделов диска или целиком диска. Поговорим о распространенных средствах, реализующих каждый подход:

• 7-ZIP. Представляет собой архиватор, относящийся к свободному программному обеспечению. Позволяет архивировать папки и файлы, а также шифровать их при помощи пароля. В принципе, для подобного архивирования подходит и встроенное в ОС средство Ntbackup, однако оно не имеет возможностей для защиты архивов.

• Acronis Backup & Recovery. Представляет собой устанавливаемое или загрузочное ПО, при помощи которого можно легко сделать резервную копию раздела или всего диска. Резервную копию можно зашифровать при помощи пароля. Делать резервные копии можно по расписанию. Acronis Backup & Recovery является российским продуктом. Цена вопроса для корпоративного использования – 3000 руб.

Всё готово. Теперь бухгалтеру можно смело садиться за своё рабочее место и начинать работать совершенно спокойно.

Шауро Евгений

Июнь 2010 год