04.04.2014

Новые требования Банка России по защите от вредоносного кода

ЦБ в лице г-на Симановского, первого зампреда Банка России, выпустил новое письмо 49-Т от 24 марта 2014-го года "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности". Если мне не изменяет память, слухи об этом документе ходили достаточно давно (чуть ли не с конца 2012-го года), но тогда он по разным причинам так и не увидел свет. И вот сейчас свершилось - 16 страниц разъяснений тех требований, которым в СТО БР ИББС и 382-П было отведено совсем немного места.


Документ очень подробный. Расписывает не только технические, но и организационные вопросы по защите от вредоносного кода. Например,

  • требование регулярного обучения и контроля знаний у работников банка по тематике защиты от вредоносного кода
  • доведение до руководства банка результатом мер защиты от вредоносного кода
  • сбор и анализ информации о распространении вредоносного кода
  • тестирование совместимости приобретаемых средств защиты от вредоносного кода с используемыми ИТ
  • обязательное применение средств защиты от вредоносного кода в электронной почте
  • заключение договоров с Интернет-провайдерами в части фильтрации вредоносного кода.
С технической точки зрения требуется применять:
  • терминальный доступ
  • анализа защищенности
  • контроль состава и целостности ПО и железа
  • сегментацию
  • инвентаризацию ПО и железа
  • резервирование и восстановление из резервных копий
  • меры по локализации эпидемий вредоносного кода.

Помимо антивирусов 49-Т требует использования:
  • средств контроля использования съемных носителей
  • автоматизированных средств обобщения и анализа информации, фиксируемой в журналах протоколирования работы защитного ПО (если я правильно понял эту формулировку, то речь идет о SIEM)
  • средств анализа наличия на средствах вычислительной техники и объектах защиты неустраненных недостатков системного и прикладного ПО в части защиты от вредоносного кода (если я правильно понял эту заумную фразу, то авторы хотели прописать сюда сканеры SAST/DAST/IAST).
Хотя есть и нестыковки в 49-Т и 382-П. Например, классический вопрос - сколько разных производителей антивируса должно быть в банке? В п.2.7.3 382-П говорится об использовании средств защиты от вредоносного кода разных производителей при наличии технической возможности. В 49-Т (а надзор будет считать это письмо не рекомендацией, а обязательным документом) такой приписки уже нет - там говорится просто о раздельной установке антивирусов различных производителей (п.2.1.10).

П.2.1.17 меня "убил". Он требует выделить независимый ПК, изолированный от сети, в т.ч. и Интернет, на котором с помощью загрузочного диска будут проверяться все съемные машинные носители информации перед их использованием в банке. Я так себе и представил очередь к этому ПК :-) А писанины по этому письму сколько требуется... Жуть просто. На каждый пункт нужен свой регламент.

Отдельный раздел документа посвящен функциям органов управления кредитной организации в части организации защиты от вредоносного кода. Там много всего - от анализа защищенности и назначения ответственных до прогнозирования неблагоприятного развития событий и подробной отчетности по всем вопросам защиты от вредоносного кода.

Отдельный раздел посвящен регламентации защиты от вредоносного кода клиентов банка. Там и изменение договоров с клиентами, и разработка памяток, и информирование об угрозах, и обеспечение консультирования клиентов по защите от вирусов, и сбор информации о вредоносном коде и передача этой информации разработчикам антивируса (на все свой регламент нужен), и обучение персонала, работающего с клиентами, по вопросам борьбы с вирусами.

Последний раздел касается требований к провайдерам связи. Тут и SLA, и требование к провайдеру защищать банк от вирусов, и согласование внутренних документов по борьбе с вредоносным кодом с провайдерами, и т.д.

В целом у меня сложилось впечатление (наверное неверное), что 49-Т - это переложение 382-П понятным языком и в контексте борьбы с вредоносным кодом. Учтены почти все 15 разделов 382-го положения; кроме отчетности и криптографии :-)

По сути это методические рекомендации, разъясняющие, как выполнять требования 382-П или СТО. Вообще сейчас у регуляторов (исключая 8-й Центр) наблюдается движение в сторону трехзвенной иерархии требований по безопасности:

  1. Высокоуровневые требования федерального законодательства
  2. Требования ведомственных приказов, определяющих "что" надо делать
  3. Требования методических документов, определяющих "как" надо делать.
По такому принципу сейчас строятся документы ФСТЭК. Видимо и в ЦБ решили последовать этому примеру.



Интересно, если требования этого документа в полном объеме не выполнить (наряду с другими мелкими огрехами), не станет ли это основанием для отзыва лицензии у банка за невыполнение требований Банка России?.. Кто знает, кто знает...

ЗЫ. Кстати, когда читал документ, с ходу транслировал его требования к решениям Cisco Sourcefire Advanced Malware Protection (AMP). Выполнить можно многое из требуемого на техническом уровне :-)