Данная статья посвящена отраслевому стандарту информационной безопасности СТО БР ИББС. Статья является завершающей в серии публикаций, рассказывающих об ограничениях, возникающих при размещении информационных систем у профессионального провайдера инфраструктурных ИТ-сервисов, таких как соответствие стандарту PCI DSS и требованиям 161-ФЗ.
Что такое СТО БР ИББС?
Стандарт Банка России по обеспечению информационной безопасности (ИБ) организаций банковской системы Российской Федерации (СТО БР ИББС) описывает единый подход к построению системы обеспечения ИБ с учетом требований российского законодательства. Он распространяется на организации банковской системы Российской Федерации, а также на организации, проводящие оценку соответствия их ИБ требованиям стандарта. Периодически появляется информация, что действия данного стандарта будет распространяться на все организации, подконтрольные Центральному Банку, в том числе небанковские кредитно-финансовые институты (инвестиционные компании, инвестиционные фонды, страховые компании, пенсионные фонды, ломбарды, трастовые компании).
Важно отметить, что данный стандарт, согласно действующему законодательству, носит рекомендательный характер. Однако, стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении к стандарту. По данным Центрального Банка РФ, на сегодняшний день к стандарту присоединились 510 организаций.
Состав комплекта СТО БР ИББС
Следует отметить, что во многих крупных организациях банковской системы уже широко используются технологии виртуализации на собственных инфраструктурных мощностях, в то время как средние и небольшие организации чаще рассматривают размещение информационных систем у профессионального провайдера сервисов ИТ-инфраструктуры, использующего современные технологии, в том числе системы виртуализации.
Виртуализация по СТО БР ИББС
Одним из наиболее часто встречающихся аргументов против передачи информационных систем стороннему ИТ-провайдеру является невозможность соблюдения требований СТО БР ИББС. Но такая передача возможна.
Требования по обеспечению информационной безопасности при управлении доступом и регистрацией, при использовании средств антивирусной и криптографической защиты, ресурсов сети интернет являются общими для физических и виртуальных сред обработки. Тем не менее, обработка данных в виртуальной среде имеет свои особенности, на которые надо обратить особое внимание.
Остановимся более подробно на документе «Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015). В нем содержится 8 групп рекомендаций, таких как разделение потоков информации и изоляция виртуальных машин, обеспечение ИБ виртуальных машин и их образов, серверных компонентов виртуализации, систем хранения данных (СХД), АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, а также мониторинг ИБ и определение состава ролей и разграничение полномочий эксплуатационного персонала.
В состав услуг по предоставлению вычислительных мощностей и емкостей хранения данных ИТ-инфраструктуры, предлагаемых IBS DataFort, входят, в том числе, и сервисы ИБ, которые соответствуют всем перечисленным рекомендациям
Сервисы для выполнения рекомендаций СТО БР ИББС
- — межсетевой экран-
- — средство защиты платформ виртуализации-
- — выполнение рекомендаций по настройкам системы виртуализации в целях усиления ее информационной защищенности
Источник: IBS DataFort, 2016
* Под сертифицированными средствами понимаются средства, прошедшие в установленном порядке сертификацию во ФСТЭК РФ
Важно отметить, что функции встроенной в платформу сертифицированной ФСТЭК РФ системы защиты среды виртуализации в той или иной мере используются для реализации всех категорий рекомендаций. Также используются встроенные механизмы гипервизоров. А на рабочих местах администраторов виртуальной платформы реализованы все рекомендации СТО БР ИББС, в том числе использование сертифицированных систем двухфакторной аутентификации.
Анализ состава рекомендаций Банка России относительно использования технологий виртуализации показывает, что никаких технических трудностей и ограничений для их выполнение не существует. Использование стандартных сервисов профессиональных провайдеров ИТ-инфраструктуры позволит существенно снизить стоимость владения инфраструктурой и сопутствующих средств информационной безопасности и существенно сократит сроки развертывания информационных систем.
Основываясь на многолетнем опыте предоставления услуг финансовым организациям, IBS DataFort предлагает компаниям банковского сектора, в том числе, попадающим под требования СТО БР ИББС, хорошо зарекомендовавшие и доказавшие свою эффективность сценарии использования профессиональных и безопасных сервисов по предоставлению ИТ-инфраструктуры, такие как создание резервной (disaster recovery, DR) площадки для информационных систем — перенос непрофильных с точки зрения основного бизнеса информационных систем, например, HR систем, размещение контуров разработки и тестирования на ресурсах провайдера.
Иван Гузев, директор по информационной безопасности IBS DataFort
Источник: Www. cnews. ru