SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России

Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
13.12.2021

Руслан Рахметов, Security Vision

Одним из основных направлений требований по обеспечению информационной безопасности финансовых технологий, определяемых в нормативных документах Банка России, является обеспечение  информационной безопасности прикладного  программного обеспечения за счет анализа на уязвимости. 

В частности, данное требование сформулировано в следующих нормативных актах (в уже действующих и в тех, которые вступят в силу в ближайшее время) Банка России:

Таким образом, для организаций кредитно-финансовой сферы стоит задача обеспечения анализа прикладного программного обеспечения, которую в соответствии с требованиями можно решить путем сертификации по требованиям ФСТЭК или оценкой соответствия по ОУД4. При этом должна быть привлечена сторонняя организация.

Очевидно, что в текущих реалиях программное обеспечение (особенно в части взаимодействия с клиентами) очень часто изменяется. Проведение сертификации весьма проблематично, увеличит сроки выхода новых версий ПО и, по сути, приведет к потере конкурентоспособности как за счет долгих сроков вывода новых продуктов, так и за счет стоимости сертификации. С этой точки зрения (экономической эффективности) интересен опубликованный в июне 2021 года на Федеральном портале проектов нормативных правовых актов проект Указания Банка России «О внесении изменений в Положение Банка России от 17 апреля 2019 года № 683-П…», в котором одно из изменений касается возможности проведения оценки соответствия самостоятельно. Вероятно, аналогичные изменения и подходы будут «стандартизированы» по всем актам Банка России и позволят организациям выстраивать безопасную разработку целиком внутри себя.

В актах указана оценка соответствия в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», но общий характер ГОСТ и потребность в определении требований, учитывающих специфику финансовой сферы, сподвигло Банк России к разработке  методического документа – профиля защиты (что и предусмотрено ГОСТ Р ИСО/МЭК 15408-3-2013, где в введении указано: «Компоненты доверия к безопасности, которые определены в ИСО/МЭК 15408-3, являются основой для требований доверия к безопасности, отражаемых в профиле защиты (ПЗ)»). Полное название методического документа – «ПРОФИЛЬ ЗАЩИТЫ прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций» (далее – Профиль защиты) и, по всей видимости, он будет одним из основных методических документов для подразделений организаций финансово-кредитной сферы, обеспечивающих безопасную разработку.

Профиль защиты - достаточно объемный документ (155 страниц). Рассмотрим его основные разделы. 

Из общих положений явно следует применение данного документа для сертификации и оценки соответствия как самими организациями кредитно-финансовой сферы, так и привлекаемыми внешними организациями. Указывается на то, что документ учитывает положения национальных стандартов Российской Федерации (хотелось бы отдельно отметить указанные в документе ГОСТ Р 57580.1-2017 и ГОСТ 34.603-92), отраслевых рекомендаций (РС БР ИББС-2.6-2014) и нормативных актов Банка России – в общем, разработчики документа постарались передать всю специфику требований мегарегулятора к своим поднадзорным.

Из введения следует, что документ разработан для оценочного уровня доверия 4 (ОУД4), усиленного рядом компонент. Хотелось бы отметить, что в 719-П и в проекте изменений 683-П для организаций поменьше (например, для не являющихся системно значимыми) предусмотрен ОУД5 – возможно, скоро данный документ получит обновление. Также в данном разделе указаны термины и определения, соглашения (операции «уточнение», «выбор», «назначение» и «итерация» над компонентами требований безопасности) и аннотация объекта оценки.

Аннотация объекта оценки (ОО) содержит подробное описание и, в принципе, её можно использовать как разъяснение объекта, к которому предъявляются требования из нормативных актов Банка России по проведению оценки соответствия или сертификации. Для ОО разъяснено что это такое, на каких технологических участках применяется и какие функциональные требования безопасности (ФТБ) предъявляются. Правильно реализованные (и в последующем периодически проверяемые) ФТБ обеспечат исключение возникновения типовых недостатков прикладного ПО:

  • защиту пользовательских данных (ограничение доступа к аппаратным ресурсам платформы, хранилищам защищаемой информации, сетевым коммуникациям);

  • управление безопасностью (использование механизмов конфигурации, определение параметров конфигурации по умолчанию, назначение функций управления);

  • защиту персональной идентификационной информации;

  • защиту функций безопасности ОО (ограничение использования поддерживаемых сервисов, противодействие использованию уязвимостей безопасности, обеспечение целостности при установке и обновлении, ограничение использования сторонних библиотек);

  • использование доверенного пути/канала передачи данных.

Следующий раздел Профиля защиты посвящен соответствую внешним документам (стандартам серии 15408, РС БР ИББС-2.6-2014) и так и называется - «Утверждение о соответствии». Особое внимание можно уделить подразделу 3.5, в котором идет речь о строгом соответствии документов организации (разработанных, в свою очередь, на базе Профиля защиты) всем требованиям Профиля защиты, но не ограничиваясь (т.е. документы организации могут и должны быть шире, повышая детализацию и учитывая специфику прикладного программного обеспечения, применяемого в организации). В случае, если строгое соответствие невозможно, должно быть обоснование, в соответствии с риск-ориентированным подходом, как обработан соответствующий риск нарушения информационной безопасности.

В следующем разделе «Определение проблемы безопасности» идет разбор угроз, которые обязательно нужно рассмотреть:

  • угроза НСД к информации при наличии уязвимостей на стороне организации, за счет доступа к оборудованию;

  • угроза перехвата информации при передаче между компонентами автоматизированной системы с возможностью просмотра или модификации передаваемой информации;

  • угроза воздействия на ПО на стороне клиента, в основном за счет применения вредоносного ПО.

Также в данном разделе приведен набор соответствующих политик безопасности, которые следует внедрить для ОО, и предположений о том, как безопасно использовать ОО. В комплексе, выполнение политик и адаптация предположений должны свести к минимуму вероятность реализации угроз.

175.jpg

Рис. 1. Матрица соответствия целей угрозам и политикам

В следующем разделе приведены «Цели безопасности» для ОО и среды функционирования, а также матрица (см. рис. 1), демонстрирующая достижение каких целей безопасности ОО необходимо для противостояния ранее обозначенным угрозам и для реализации политик безопасности. Рассмотрены только цели безопасности для ОО, так как, в основном, требования сфокусированы на самом прикладном программном обеспечении, что указано в пункте 2.3.3 Профиля защиты. Приводятся следующие цели безопасности ОО (можно сказать, весь документ направлен на достижение этих целей):

  • Цель безопасности ОО-1. ОО должен обеспечивать контроль целостности своей установки и пакетов обновлений, а также эффективно использовать способы предотвращения нарушений целостности, предоставляемые средой выполнения, эффективно использовать документированные и поддерживаемые возможности, предоставляемые средой выполнения. Обеспечивать контроль доступа (ролевой, дискреционный, мандатный) к объектам, находящимся под контролем ПО.

  • Цель безопасности ОО-2. ОО должен предоставлять пользователям и платформе функционирования непротиворечивые интерфейсы для управления и конфигурирования, связанные с обеспечением безопасности и обслуживанием.

  • Цель безопасности ОО-3. ОО должен предоставлять пользователю возможность управлять уровнем раскрытия любой персональной идентификационной информации.

  • Цель безопасности ОО-4. ОО должен использовать доверенный канал для передачи защищаемой информации и обеспечивать защиту хранимой, обрабатываемой и передаваемой к компонентам ППО защищаемой информации.

  • Цель безопасности ОО-5. ОО должен обеспечить регистрацию и учет выполнения функций безопасности ОО и предотвращать использование аппаратных и программных ресурсов платформы, доступ к которым не предусмотрен для ОО.

  • Цель безопасности ОО-6. ОО должен при необходимости обеспечивать идентификацию, аутентификацию и авторизацию пользователей ППО.

В разделах с определением функциональных требований безопасности и требований доверия к безопасности ОО (а также с определениями их расширенных компонентов) приводятся соответствующие требования и пояснения (см. рис. 2), как выполнение функциональных требований безопасности приводит к достижению ранее обозначенных целей безопасности.

765.jpg

Рис. 2. Матрица соответствия функциональных требований безопасности и достигаемых целей безопасности

Перечислим направления (классы), которым посвящены функциональные требования безопасности:

  • Аудит безопасности

  • Защита данных пользователя

  • Идентификация и аутентификация

  • Управление безопасностью

  • Приватность

  • Защита ФБО

  • Доступ к ОО

  • Доверенный маршрут/канал

Классы доверия к безопасности ОО (взяты из ГОСТ Р ИСО/МЭК 15408-3-2013):

  • Оценка задания по безопасности

  • Разработка

  • Руководства

  • Поддержка жизненного цикла

  • Тестирование

  • Оценка уязвимостей

  • Поддержка доверия

Наш краткий обзор дает представление о структуре документа и взгляд «сверху» на основные подходы.  А его практическая адаптация и применение всех требований под силу профильным специалистам организаций, глубоко понимающим объект оценки. Освоение данного документа, разработка соответствующих локальных документов организации могут занять весьма продолжительное время, но призваны поднять на должный уровень безопасную разработку прикладного программного обеспечения организаций кредитно-финансовой сферы.

Стандарты ИБ Финансы в ИБ ГОСТы и документы ИБ Угрозы ИБ Управление ИБ

Рекомендуем

Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Особенности обеспечения безопасности в платежных процессах за счет технологии
Особенности обеспечения безопасности в платежных процессах за счет технологии
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита

Рекомендуем

Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Особенности обеспечения безопасности в платежных процессах за счет технологии
Особенности обеспечения безопасности в платежных процессах за счет технологии
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита

Похожие статьи

Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
IRP/SOAR по закону. Финансы
IRP/SOAR по закону. Финансы
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Статический анализ исходного кода
Статический анализ исходного кода

Похожие статьи

Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
IRP/SOAR по закону. Финансы
IRP/SOAR по закону. Финансы
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Статический анализ исходного кода
Статический анализ исходного кода