Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Стандарт ЦБ РФ о реагировании на инциденты ИБ при осуществлении платежей

СОИБ. Анализ. Стандарт ЦБ РФ о реагировании на инциденты ИБ при осуществлении платежей

 
Сегодня был опубликован новый стандарт Банка России СТО БР ИББС-1.3-2016 “Cбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств”.  Вступает в силу с 1 января 2017 г.
%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.png
Стандарт достаточно объемный – 49 страниц, при этом практический и полезный. Давайте посмотрим на основные моменты поподробнее.
В стандарте идет речь о том, как надо правильно собирать, обрабатывать, анализировать и документировать технические данные - данные, формируемые объектами информационной инфраструктуры, в том числе техническими средствами защиты информации, используемыми организациями БС РФ и их клиентами для осуществления переводов денежных средств, связанных со свершившимися, предпринимаемыми или вероятными реализациями угроз ИБ.
Рассматриваются инциденты ИБ следующих типов по источникам получения информации:
·         Информация о которых получена от клиентов
·         Выявленные организацией БС РФ
·         Информация о которых получена от FinCERTи других внешних источников
Инциденты ИБ по типу воздействия:
·         Несанкционированным переводом ДС
·         Деструктивными воздействиями на инфраструктуру платежей
Инциденты ИБ, связанные с несанкционированными переводами ДС, по типам угроз
·         НСД к ИИ клиентов
·         Спам-рассылки клиентам, включая социальную инженерию и распространение вирусов
·         DDoS атаки на ИИ клиентов
·         Воздействие вирусов на ИИ клиентов
·         НСД к ИИ системы дистанционного банковского обслуживания (ДБО)
·         НСД к ИИ автоматизированной банковской системы (АБС)
·         НСД к ИИ систем обработки карточных транзакций (фронт-офис)
·         НСД к ИИ систем пост транзакционного обслуживания (бэк-офис)
Инциденты ИБ, связанные с деструктивными воздействиями на инфраструктуру платежей, по типам угроз
·         DDoSатаки на ИИ организации БС
·         Воздействие вирусов на ИИ организации БС
%25D0%25B8%25D0%25BD%25D1%2586%25D0%25B8%25D0%25B4%25D0%25B5%25D0%25BD%25D1%2582%25D1%258B%2B%25D0%2598%25D0%2591.png
В стандарте приводятся последовательности действий (с указанием приоритета) по сбору данных при инцидентах ИБ для каждого типа угроз.
Рекомендуется собирать большое количество технических данных. Для примера приведу перечень данных собираемых с клиента:
·         дампы (или извлечение) дисков СВТ участвующего в работе с ДБО
·         дампы памяти СВТ
·         данные из ОС СВТ, в том числе:
o   данные о сетевых конфигурациях
o   данные о сетевых соединениях
o   данные о запущенных программных процессах
o   данные об открытых файлах
o   список открытых сессий доступа
o   системные дата и время операционной системы
·         журналы регистрации телекоммуникационного оборудования
·         журналы регистрации средств защиты информации
·         журналы регистрации и данные почтовых серверов
·         данные сетевого трафика
·         журналы регистрации АТС
·         журналы регистрации и данные систем видеонаблюдения и СКУД
·         носители ключевой информации СКЗИ, используемой в системах ДБО
%25D0%25BF%25D0%25B5%25D1%2580%25D0%25B5%25D1%2587%25D0%25B5%25D0%25BD%25D1%258C%2B%25D0%25B4%25D0%25B0%25D0%25BD%25D0%25BD%25D1%258B%25D1%2585%2B%25D1%2581%25D0%25BE%25D0%25B1%25D0%25B8%25D1%2580%25D0%25B0%25D0%25B5%25D0%25BC%25D1%258B%25D1%2585%2B%25D1%2581%2B%25D0%25BA%25D0%25BB%25D0%25B8%25D0%25B5%25D0%25BD%25D1%2582%25D0%25B0.png
Каждое действие по сбору данных также подробно описывается.
По сути, дан концентрированный опыт которыми раньше владели только Group-IB, отдел К МВД и ещё несколько криминалистических лабораторий.
В некоторых случаях последовательность действий получается очень глубокой и труднореализуемой. Следуя рекомендациям, например, при DDoSатаке на клиента, нам необходимо идентифицировать владельцев СВТ участвующих в DDoSатаке, связаться с ними и собрать технические данные ещё и с тех СВТ (дампы, данные, журналы).
Далее приводятся рекомендации по анализу собранных данных: что искать, на какие события обращать внимание. Хотя и указано что “В большинстве случаев деятельность по поиску (выделению) и анализу содержательной (семантической) информации не может быть формализована, а результат ее выполнения определяется опытом и компетенцией аналитика”
Помимо технических данных, необходимо собирать и документировать профиль инцидента ИБ:
·         способ выявления
·         источник информации
·         информация об инциденте ИБ, полученная от источника;
·         сценарий реализации
·         дату и время выявления
·         состав информационной инфраструктуры (далее - ИИ), задействованной в реализации инцидента ИБ, уровень ее критичности
·         способы подключения ИИ, к сети Интернет или сетям общего пользования;
·         контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации ИИ
·         информация об операторе связи и провайдере сети Интернет
%25D0%25BF%25D1%2580%25D0%25BE%25D1%2584%25D0%25B8%25D0%25BB%25D1%258C%2B%25D0%25B8%25D0%25BD%25D1%2586%25D0%25B8%25D0%25B4%25D0%25B5%25D0%25BD%25D1%2582%25D0%25B0%2B%25D0%2598%25D0%2591.png
Так как предполагаются достаточно объемные действия, которые надо выполнить оперативно, то рекомендуется заранее подготовить следующие документы:
·         план (регламент) сбора технических данных банком
·         план первоочередных действия клиента
·         план (регламент) сбора технических данных клиентом
·         регламентировать передачу носителей тех. данных от клиента - банку
Для оперативной реализации всех указанных действий организации БС необходимо заранее подготовить комплекс технических средств и инструментов: выделенные АРМы, носители информации, ПО для сбора данных, ПО для контроля целостности, средства сбора и анализа журналов (SIEM), средства записи трафика, контейнеры, наклейки, блокноты, фотоаппараты, диктофоны.   Получится в нашем банке своя криминалистическая лаборатория.   
Для получения помощи в рамках расследования инцидента рекомендуется обращаться в МВД и FinCERT.
В приложениях к стандарту приводятся правильные формы протоколов и примеры технических средств, которые подойдут для нашей лаборатории.
В целом могу сказать, что документ очень полезен в реальном расследовании инцидентов ИБ. Но в полной степени он применим, наверное, только в самых крупных банках, либо в специализированных организациях, привлекаемых банками для расследования инцидентов.
Для большинства организаций БС, можно применять 25-50% от рекомендованного, либо привлекать внешних экспертов и от них требовать выполнения стандарта. В таком случае как мне кажется необходимо дополнительно проанализировать стандарт и правильно разделить требуемые мероприятия между двумя организациями.
Также стандарт полезен для SOC-ов, лабораторий и других организаций занимающихся анализом инцидентов ИБ.


Источник: http://sborisov.blogspot.com/2016/12/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>