Куратор проекта: Александр Петровский, начальник управления ИБ,
банк «Национальный стандарт»
О заказчике: Акционерное общество Банк «Национальный стандарт» — корпоративный банк, специализирующийся на обслуживании юридических лиц в сегменте МСБ. Банк обслуживает порядка 5-ти тысяч корпоративных клиентов и 11-ти тысяч частных клиентов. Структура Банка насчитывает более 20 подразделений в Москве и регионах России.
Задачи проекта:
Перед Банком стояла задача обеспечить безопасность баз данных в двух основных направлениях: контроль обращений к СУБД, входящих в состав АБС Diasoft, и подготовка к аудиту на соответствие ГОСТ Р 57580 «Безопасность финансовых (банковских) операций». Кроме того, важно было обеспечить контроль доступа разработчиков к тестовым и боевым базам данных.
Нужно было максимально автоматизировать задачи мониторинга и контроля доступа к СУБД и веб-приложениям ввиду ограниченного числа сотрудников службы информационной безопасности. При этом оказывать минимальное влияние средств защиты на производительность АБС, чтобы не осложнять работу отделений банка.
Решение:
При выборе системы защиты баз данных оценивали и тестировали как российские, так и зарубежные системы. Компания «Гарда Технологии» отличалась обширным опытом защиты баз данных именно в финансовой отрасли, знанием специфики и соответствием всем требованиям регуляторов.
Система «Гарда БД» позволяет обеспечить защиту баз данных с сохранением требования минимального влияния на работу СУБД. Благодаря обращению к копии сетевого трафика, системе удается не нагружать серверы баз данных, и нет необходимости дополнительных настроек со стороны СУБД. Кроме того, администраторы баз данных не могут отключить и обойти аудит системы.
Еще одним плюсом при выборе решения стала возможность выявлять неучтенные базы данных, каналы доступа к БД и другие уязвимости, которые раньше можно было пропустить.
Практика применения:
В результате внедрения системы защиты баз данных «Гарда БД» удалось решить не только поставленные задачи, но и автоматизировать решение актуальных новых кейсов:
1. Контроль разработчиков информационных систем
Проблема: как правило, при создании копий — данные в базах предварительно обезличиваются. Но возможны ситуации, когда обезличивание не прошло или реализовано некорректно и внешние разработчики могли бы получить прямой доступ к клиентским данным, кодовым словам клиентов.
Решение: «Гарда БД» предоставляет функцию сканирования содержимого отдельных СУБД и автоматически находить необезличенные данные. Для такого поиска применяют регулярные выражения, соответствующие персональным данным – паспорт, номер счета, ФИО и др.
2. Отслеживание изменений в структуре БД
Проблема: многие банковские процедуры в АБС включают в себя создания временных таблиц и других объектов СУБД.
Решение: в «Гарда БД» можно составить правило детектирования команд по созданию или изменению временных объектов БД и отслеживать команды на изменение критических процедур АБС не технологическими учетными записями. Это позволило исключить возможность изменить процедуры, отвечающие за перевод денег с вклада, добавив туда свои параметры.
3. Выявление махинаций со счетами
Проблема: необходимость аудита запросов к АБС для противодействия мошенническим действиям, связанным с незаконным обналичиваем денег. Требовалось выявлять факты открытия и закрытия лицевого счета в течение одного дня.
Решение: «Гарда БД» позволила создать политики по аудиту фактов открытия и закрытия лицевых счетов и автоматизировать этот процесс.
4. Установление фактов неиспользования субъектами предоставленных прав доступа дольше 45 дней
Проблема: основное требование ГОСТ 57580 – отсутствие неиспользуетых учетных записей в банковских информационных системах. Учетные записи, создаваемые в тестовых целях, для проектных работ подрядчиков, а также незакрытые аккаунты уволившихся сотрудников могут стать источником уязвимостей, поэтому их выявление – важная задача службы ИБ и требование регулятора.
Решение: чтобы выявлять такие «мертвые души» в «Гарда БД» есть функция сканирования баз данных на уязвимости. Автоматическое ежедневное сканирование баз данных на уязвимости - позволяет выполнять требования ГОСТ 57580. При этом, решение не нагружает сети и систему.
Выводы
Банк «Национальный стандарт» заботится о безопасности своих клиентов и внимательно относится к выбору технологических партнеров. «Гарда Технологии» показала себя как надежный партнер с высоким уровнем экспертизы и внимательным отношением к процессу безопасности. Система «Гарда БД» стала практическим инструментом работы службы информационной безопасности банка «Национальный стандарт».
Система в реальном времени отслеживает все уязвимости в защите баз данных, позволяет выявлять мошеннические действия и аномальную активность со стороны пользователей и попытки несанкционированных изменений со стороны администраторов банковских систем. Все это помогает обеспечить комплексную систему безопасности данных наших клиентов, проактивно выявлять инциденты при первых признаках аномалии и предотвращать финансовые и репутационные риски.
Александр Петровский
