Виртуализация для банков: как обеспечить соответствие требованиям СТО БР ИББС

Данная статья посвящена отраслевому стандарту информационной безопасности СТО БР ИББС. Статья является завершающей в серии публикаций, рассказывающих об ограничениях, возникающих при размещении информационных систем у профессионального провайдера инфраструктурных ИТ-сервисов, таких как соответствие стандарту PCI DSS и требованиям 161-ФЗ.

Что такое СТО БР ИББС?

Стандарт Банка России по обеспечению информационной безопасности (ИБ) организаций банковской системы Российской Федерации (СТО БР ИББС) описывает единый подход к построению системы обеспечения ИБ с учетом требований российского законодательства. Он распространяется на организации банковской системы Российской Федерации, а также на организации, проводящие оценку соответствия их ИБ требованиям стандарта. Периодически появляется информация, что действия данного стандарта будет распространяться на все организации, подконтрольные Центральному Банку, в том числе небанковские кредитно-финансовые институты (инвестиционные компании, инвестиционные фонды, страховые компании, пенсионные фонды, ломбарды, трастовые компании).

Важно отметить, что данный стандарт, согласно действующему законодательству, носит рекомендательный характер. Однако, стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении к стандарту. По данным Центрального Банка РФ, на сегодняшний день к стандарту присоединились 510 организаций.

Состав комплекта СТО БР ИББС

Нормативные документы Банка России Краткое описание Стандарты Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014) Определяет общую концепцию построения комплексной системы обеспечения информационной безопасности, общие требования по обеспечению ИБ, а также требования к системе менеджмента ИБ Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014) Стандартизирует подходы и способы оценки соответствия обеспечения ИБ организации БС РФ требованиям СТО БР ИББС Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007) Определяет основную схему и основные принципы и этапы проведения аудита ИБ организацией БС РФ.

  «Крок» атакует рынок СЭД

Следует отметить, что во многих крупных организациях банковской системы уже широко используются технологии виртуализации на собственных инфраструктурных мощностях, в то время как средние и небольшие организации чаще рассматривают размещение информационных систем у профессионального провайдера сервисов ИТ-инфраструктуры, использующего современные технологии, в том числе системы виртуализации.

Виртуализация по СТО БР ИББС

Одним из наиболее часто встречающихся аргументов против передачи информационных систем стороннему ИТ-провайдеру является невозможность соблюдения требований СТО БР ИББС. Но такая передача возможна.

Требования по обеспечению информационной безопасности при управлении доступом и регистрацией, при использовании средств антивирусной и криптографической защиты, ресурсов сети интернет являются общими для физических и виртуальных сред обработки. Тем не менее, обработка данных в виртуальной среде имеет свои особенности, на которые надо обратить особое внимание.

Остановимся более подробно на документе «Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015). В нем содержится 8 групп рекомендаций, таких как разделение потоков информации и изоляция виртуальных машин, обеспечение ИБ виртуальных машин и их образов, серверных компонентов виртуализации, систем хранения данных (СХД), АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, а также мониторинг ИБ и определение состава ролей и разграничение полномочий эксплуатационного персонала.

В состав услуг по предоставлению вычислительных мощностей и емкостей хранения данных ИТ-инфраструктуры, предлагаемых IBS DataFort, входят, в том числе, и сервисы ИБ, которые соответствуют всем перечисленным рекомендациям

Сервисы для выполнения рекомендаций СТО БР ИББС

Рекомендации Услуги, предоставляемые IBS DataFort для выполнения рекомендаций Рекомендации по разделению потоков информации и изоляции виртуальных машин Определяют необходимость размещения виртуальных машин разного контура безопасности на разных хост серверах, осуществление доступа к ВМ только с АРМ входящих в контур безопасности ПТП (ограничение не ниже 3 уровня модели OSI, а также с помощью сертифицированных средств защиты информации), выделение отдельных логических областей оперативной памяти для групп ВМ с разным контуром безопасности, запрет обмена информацией между ВМ с использованием общих ресурсов физического хост сервера и др. Сертифицированные* средства защиты виртуализации:

  • — межсетевой экран-
  • — средство защиты платформ виртуализации-
  • — выполнение рекомендаций по настройкам системы виртуализации в целях усиления ее информационной защищенности
  Костин оценил расходы ВТБ на IT в 2024 году в 180 млрд рублей По словам главы ВТБ, в 2024 году банк завершает процесс полного импортозамещения программного обеспечения и "железа"
Рекомендации по обеспечению ИБ образов виртуальных машин Определяет необходимость документирования процесса жизненного цикла базовых образов ВМ, выделенное размещение каждого СЗИ на отдельные ВМ или СВТ, выделенное размещение тестового стенда и дальнейшая проверка базовых образов на предмет ИБ, выполнение обновлений СЗИ и ПО и др. Сертифицированные* средства защиты виртуализации: документированный процесс жизненного цикла базовых образов ВМ, включающий в себя полную проверку данных образов и контроль целостности.

Источник: IBS DataFort, 2016

* Под сертифицированными средствами понимаются средства, прошедшие в установленном порядке сертификацию во ФСТЭК РФ

Важно отметить, что функции встроенной в платформу сертифицированной ФСТЭК РФ системы защиты среды виртуализации в той или иной мере используются для реализации всех категорий рекомендаций. Также используются встроенные механизмы гипервизоров. А на рабочих местах администраторов виртуальной платформы реализованы все рекомендации СТО БР ИББС, в том числе использование сертифицированных систем двухфакторной аутентификации.

Анализ состава рекомендаций Банка России относительно использования технологий виртуализации показывает, что никаких технических трудностей и ограничений для их выполнение не существует. Использование стандартных сервисов профессиональных провайдеров ИТ-инфраструктуры позволит существенно снизить стоимость владения инфраструктурой и сопутствующих средств информационной безопасности и существенно сократит сроки развертывания информационных систем.

Основываясь на многолетнем опыте предоставления услуг финансовым организациям, IBS DataFort предлагает компаниям банковского сектора, в том числе, попадающим под требования СТО БР ИББС, хорошо зарекомендовавшие и доказавшие свою эффективность сценарии использования профессиональных и безопасных сервисов по предоставлению ИТ-инфраструктуры, такие как создание резервной (disaster recovery, DR) площадки для информационных систем — перенос непрофильных с точки зрения основного бизнеса информационных систем, например, HR систем, размещение контуров разработки и тестирования на ресурсах провайдера.

  Наноцентр «Техноспарк» сосредоточился на гибкой электронике

Иван Гузев, директор по информационной безопасности IBS DataFort

Источник: Www. cnews. ru