Обзор изменений в законодательстве за июнь 2015

Дата: 03.07.2015
Автор: Юлия Добровольская, старший аналитик

Новые рекомендации Банка России

Комплект рекомендаций в области стандартизации Банка России в мае пополнился двумя новыми документами:

  • РС БР ИББС-2.8-2015. Обеспечение информационной безопасности при использовании технологии виртуализации;
  • РС БР ИББС-2.7-2015. Ресурсное обеспечение информационной безопасности».

Первый документ содержит детальные рекомендации по безопасному использованию технологии виртуализации при реализации банковских технологических процессов.
В основе рекомендаций ЦБ РФ лежит понятие «контура безопасности» — совокупности аппаратно-программных средств и информационных ресурсов, сгруппированных в зависимости от использования при реализации банковских процессов, и для которых установлены единые требования по безопасности. Примером контура безопасности могут служить технические средства и информационные ресурсы, используемые для выполнения процессов, в рамках которых обрабатываются ПДн. Такой контур безопасности в документе называется контуром безопасности ИСПДн.

Рекомендации по реализации технических мер защиты приводятся для всех основных компонентов виртуализации: виртуальных машин и их образов, серверов виртуализации, АРМ пользователей, СХД.
Среди рекомендуемых мер можно отметить наиболее интересные:

  • физическое отделение (на уровне хост-серверов) виртуальных машин, относящихся к разным контурам безопасности;
  • запрет на копирование образов виртуальных машин, использующих средства криптографической защиты информации, с загруженными криптографическими ключами;
  • выполнение процедур контроля целостности ПО серверных компонентов виртуализации;
  • исключение возможности одновременной работы пользователя с разными виртуальными машинами, относящихся к разным контурам безопасности, при использовании технологии виртуализации рабочих мест
  • выделение отдельных логических разделов в СХД для разных контуров безопасности;
  • использование двухфакторной аутентификации для организации защищенного доступа к средствам управления и администрирования СХД.

Для реализации предлагаемых мер защиты рекомендуется использовать встроенные средства (настройки) сертифицированного гипервизора, а также сертифицированные:

  • сетевые технические средства:
  • СрЗИ от НСД, размещаемые на физических СВТ;
  • антивирусные средства, в том числе функционирующие на уровне гипервизора без установки агентского ПО на виртуальные машины.

Наряду с детальными техническими рекомендациями по обеспечению ИБ различных компонентов виртуализации документ определяет рекомендуемый состав ролей и полномочий эксплуатационного персонала, а также процедуры мониторинга ИБ, которые должны быть автоматизированы.
Второй документ носит менее технический характер и направлен на определение потребностей организаций банковской системы РФ в финансовых и кадровых ресурсах, необходимых для обеспечения ИБ, и контроль эффективности использования этих ресурсов.

В соответствии с документом потребности в финансовых ресурсах рекомендуется определять на основе предполагаемой величины возможного ущерба в случае реализации актуальных рисков ИБ с учетом текущего уровня зрелости организации в части ИБ, всего их выделяется шесть: от «нулевого» до «пятого». Для определения необходимых ресурсов в документе приведены методики определения текущего уровня зрелости и оценивания рисков ИБ. А потребности в кадровых ресурсах подразделений ИБ предлагается формировать отдельно по каждому из следующих направлений:

  • методология;
  • реализация и сопровождение;
  • контроль;
  • криптографическая защита.

Для разъяснения положений рекомендаций в приложении к документу приведен пример расчета ресурсов ИБ.

Несанкционированные переводы денежных средств в цифрах

Центробанк представил общественности сводный отчет по инцидентам в сфере переводов денежных средств за 2014 год.
В 2014 году было совершено более 300 тыс. несанкционированных операций на общую сумму более 3,5 млрд руб., из которых 1,58 млрд руб. приходится на несанкционированные операции с использованием платежных карт. Средняя сумма одной несанкционированной операции с платежными картами составила 5,7 тыс. руб. для внутрироссийских операций.

По количеству и объему совершенных несанкционированных операций лидирует Москва и Московская область — 565,5 млн. руб. Для сравнения в нашем Уральском округе — всего 40,9 млн. руб.
Наибольшее число несанкционированных операций с использованием платежных карт осуществляется посредством сети «Интернет» и устройств мобильной связи.
Что касается несанкционированных операций, которые были совершены с использованием интернет-банков, то за 2014 год зафиксировано 4890 случаев общим объемом 1,64 млрд руб. И по этому показателю Уральский округ занимает второе место после Москвы и Московской области.

Интересно, что из всех зарегистрированных случаев 825 операций на сумму около 900 млн руб. были остановлены в полном объеме до наступления окончательности перевода денежных средств. Однако более 80% (на сумму более 700 млн руб.) всех попыток осуществить несанкционированный перевод денежных средств прошли успешно.

Денежные средства, размещенные на корреспондентских счетах, также подвергались несанкционированному списанию. Всего в 2014 году были предприняты попытки списания денежных средств на общую сумму 213,4 млн. руб.