Виртуализация для банков: как обеспечить соответствие требованиям СТО БР ИББС

Данная статья посвящена отраслевому стандарту информационной безопасности СТО БР ИББС. Статья является завершающей в серии публикаций, рассказывающих об ограничениях, возникающих при размещении информационных систем у профессионального провайдера инфраструктурных ИТ-сервисов, таких как соответствие стандарту PCI DSS и требованиям 161-ФЗ.

 
Стандарт Банка России по обеспечению информационной безопасности (ИБ) организаций банковской системы Российской Федерации (СТО БР ИББС) описывает единый подход к построению системы обеспечения ИБ с учетом требований российского законодательства. Он распространяется на организации банковской системы Российской Федерации, а также на организации, проводящие оценку соответствия их ИБ требованиям стандарта. Периодически появляется информация, что действия данного стандарта будет распространяться на все организации, подконтрольные Центральному Банку, в том числе небанковские кредитно-финансовые институты (инвестиционные компании, инвестиционные фонды, страховые компании, пенсионные фонды, ломбарды, трастовые компании).Что такое СТО БР ИББС?

Важно отметить, что данный стандарт, согласно действующему законодательству, носит рекомендательный характер. Однако, стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении к стандарту. По данным Центрального Банка РФ, на сегодняшний день к стандарту присоединились 510 организаций.

Состав комплекта СТО БР ИББС

Нормативные документы Банка России Краткое описание
Стандарты
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014) Определяет общую концепцию построения комплексной системы обеспечения информационной безопасности, общие требования по обеспечению ИБ, а также требования к системе менеджмента ИБ
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014) Стандартизирует подходы и способы оценки соответствия обеспечения ИБ организации БС РФ требованиям СТО БР ИББС
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007) Определяет основную схему и основные принципы и этапы проведения аудита ИБ организацией БС РФ.
Рекомендации
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» (РС БР ИББС-2.9-2016) / Содержит рекомендации по защите информации конфиденциального характера от возможных утечек, в том числе рекомендации по определению категорий возможных внутренних нарушителей и потенциальных каналов утечки информации.
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015) Устанавливает основные направления по обеспечению ИБ при использовании технологии виртуализации и дает рекомендации по каждому из направлений.
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015) Определяет цели реализации ресурсного обеспечения ИБ и методологии по оценке зрелости и эффективности системы обеспечения информационной безопасности (СОИБ).
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014) Дает рекомендации по обеспечению ИБ автоматизированных систем на всех стадиях жизненного цикла, начиная от разработки технического задания до снятия с эксплуатации
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (РС БР ИББС-2.5-2014) Дает рекомендации по реализации процессов для реализации, эксплуатации, контроля и поддержания на должном уровне менеджмента инцидентов ИБ
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009) Определяет общий подход к оценке рисков нарушения ИБ и процедуры оценки рисков нарушения ИБ.
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» (РС БР ИББС-2.1-2007) Определяет направления и методику проведения самооценки по этим направлениям.
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (РС БР ИББС-2.0-2007) Описана структура необходимых документов в области обеспечения ИБ в соответствии с требованиями СТО БР ИББС

 

Источник: IBS DataFort, 2016

Следует отметить, что во многих крупных организациях банковской системы уже широко используются технологии виртуализации на собственных инфраструктурных  мощностях, в то время как средние и небольшие организации чаще рассматривают размещение информационных систем  у профессионального провайдера сервисов ИТ-инфраструктуры, использующего современные технологии, в том числе системы виртуализации.

Виртуализация по СТО БР ИББС

Одним из наиболее часто встречающихся аргументов против передачи информационных систем стороннему ИТ-провайдеру является невозможность соблюдения требований СТО БР ИББС. Но такая передача возможна.

Требования по обеспечению информационной безопасности при управлении доступом и регистрацией, при использовании средств антивирусной и криптографической защиты, ресурсов сети интернет являются общими для физических и виртуальных сред обработки. Тем не менее, обработка данных в виртуальной среде имеет свои особенности, на которые надо обратить особое внимание.

Остановимся более подробно на документе «Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015). В нем содержится 8 групп рекомендаций, таких как разделение потоков информации и изоляция виртуальных машин, обеспечение ИБ виртуальных машин и их образов, серверных компонентов виртуализации, систем хранения данных (СХД), АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, а также мониторинг ИБ и определение состава ролей и разграничение полномочий эксплуатационного персонала.

В состав услуг по предоставлению вычислительных мощностей и емкостей хранения данных ИТ-инфраструктуры, предлагаемых IBS DataFort, входят, в том числе, и сервисы ИБ, которые соответствуют всем перечисленным рекомендациям

Сервисы для выполнения рекомендаций СТО БР ИББС

Рекомендации Услуги, предоставляемые IBS DataFort для выполнения рекомендаций
Рекомендации по разделению потоков информации и изоляции виртуальных машин
Определяют необходимость размещения виртуальных машин разного контура безопасности на разных хост серверах, осуществление доступа к ВМ только с АРМ входящих в контур безопасности ПТП (ограничение не ниже 3 уровня модели OSI, а также с помощью сертифицированных средств защиты информации), выделение отдельных логических областей оперативной памяти для групп ВМ с разным контуром безопасности, запрет обмена информацией между ВМ с использованием общих ресурсов физического хост сервера и др. / Сертифицированные* средства защиты виртуализации:

— межсетевой экран;

— средство защиты платформ виртуализации;

— выполнение рекомендаций по настройкам системы виртуализации в целях усиления ее информационной защищенности

Рекомендации по обеспечению ИБ образов виртуальных машин
Определяет необходимость документирования процесса жизненного цикла базовых образов ВМ, выделенное размещение каждого СЗИ на отдельные ВМ или СВТ, выделенное размещение тестового стенда и дальнейшая проверка базовых образов на предмет ИБ, выполнение обновлений СЗИ и ПО и др. Сертифицированные* средства защиты виртуализации: документированный процесс жизненного цикла базовых образов ВМ, включающий в себя полную проверку данных образов и контроль целостности.

Подробнее:

Рекомендации по обеспечению ИБ серверных компонентов виртуализации
Определяет необходимость выделенных АРМ для администрирования виртуальной платформы и запрет на возможность администрирования с других АРМ; использования СЗИ от НСД, контроль портов ввода-вывода на серверном оборудовании, протоколирование всех критичных событий ИБ, выявление вредоносного кода и др. Сертифицированные* средства защиты виртуализации:

— межсетевой экран:

— средство защиты платформ виртуализации.

— антивирусная защита (в том числе сертифицированными* средствами и на уровне гипервизора)

• Защита информации от несанкционированного доступа (в том числе сертифицированными* средствами) с использованием многофакторной авторизации

• Мониторинг инфраструктуры

• Мониторинг и регистрация событий ИБ, в том числе сертифицированными средствами

Подробнее:

Рекомендации по обеспечению ИБ виртуальных машин
Определена необходимость защиты ВМ от вредоносного кода, контроль целостности, контроль и регистрацию доступа пользователей и др. Сертифицированные* средства защиты виртуализации:

— средство защиты платформ виртуализации.

— антивирусная защита (в том числе сертифицированными* средствами и на уровне гипервизора)

• Защита информации от несанкционированного доступа (в том числе сертифицированными* средствами) с использованием многофакторной авторизации

Рекомендации по обеспечению ИБ АРМ пользователей, используемых при реализации технологии виртуализации рабочих мест пользователей
Определена необходимость контроля портов ввода вывода АРМ (орг или тех мерами), отсутствие возможности конфигурации АРМ со стороны пользователей, использование процедуры доверенной загрузки ОС , идентификация и аутентификация пользователей серверными компонентами виртуализации и др. Сертифицированные* средства защиты виртуализации:

— средство защиты платформ виртуализации.

• Контроль и предотвращение утечки конфиденциальной информации (DLP)

• Внедренная система управления информационной безопасности, подтвержденная сертификатом ISO 27001

• Защита информации от несанкционированного доступа (в том числе сертифицированными* средствами) с использованием многофакторной авторизации/

Рекомендации по мониторингу ИБ
Рекомендуется применять автоматизированные процедуры мониторинга ИБ Сертифицированные* средства защиты виртуализации:

— средство защиты платформ виртуализации.

• Мониторинг и регистрация событий ИБ, в том числе сертифицированными* средствами

• Внедренная система управления информационной безопасности, подтвержденная сертификатом ISO 27001

• Поддержка мероприятий по информированию в области информационной безопасности

Рекомендации по составу ролей и разграничению полномочий эксплуатационного персонала
Определяет необходимость разделения ролей персонала на администраторов информационной безопасности (АИБ) и администратора виртуальных машин (АВМ) Сертифицированные* средства защиты виртуализации:

— средство защиты платформ виртуализации.

— межсетевой экран

Рекомендации по обеспечению ИБ системы хранения данных

Подробнее: http://cloud.cnews.ru/tables/093c6e1dcdd25ea5170ed108e0ddc090c25108e3/

Определяет необходимость выделения отдельных логических разделов для каждого контура безопасности и др.

Сертифицированные* средства защиты виртуализации:

— средство защиты платформ виртуализации.

— межсетевой экран;

— возможность предоставления заказчику сервисов на базе георазделенного контура.

 

Источник: IBS DataFort, 2016

* Под сертифицированными средствами понимаются средства, прошедшие в установленном порядке сертификацию во ФСТЭК РФ

Важно отметить, что функции встроенной в платформу сертифицированной ФСТЭК РФ системы защиты среды виртуализации в той или иной мере используются для реализации всех категорий рекомендаций. Также используются встроенные механизмы гипервизоров. А на рабочих местах администраторов виртуальной платформы реализованы все рекомендации СТО БР ИББС, в том числе использование сертифицированных систем двухфакторной аутентификации.

Анализ состава рекомендаций Банка России относительно использования технологий виртуализации показывает, что никаких технических трудностей и ограничений для их выполнение не существует. Использование стандартных сервисов профессиональных провайдеров ИТ-инфраструктуры позволит существенно снизить стоимость владения инфраструктурой и сопутствующих средств информационной безопасности и существенно сократит сроки развертывания информационных систем.

Основываясь на многолетнем опыте предоставления услуг финансовым организациям, IBS DataFort предлагает компаниям банковского сектора, в том числе, попадающим под требования СТО БР ИББС, хорошо зарекомендовавшие и доказавшие свою эффективность сценарии использования профессиональных и безопасных сервисов по предоставлению  ИТ-инфраструктуры, такие как создание резервной (disaster recovery, DR) площадки для информационных систем; перенос непрофильных с точки зрения основного бизнеса информационных систем, например, HR систем, размещение контуров разработки и тестирования на ресурсах провайдера.

Иван Гузев, директор по информационной безопасности IBS DataFort