Исполнение требований российских регуляторов по контролю сотрудников

Исполнение требований российских регуляторов по контролю сотрудников

Финансовые организации обязаны соблюдать требования положений Банка России и приказов ФСТЭК России. Поскольку назвать список этих требований маленьким язык не поворачивается, мы решили рассмотреть предписания руководящих документов и предложить свой вариант — как можно решить те или иные проблемы или хотя бы облегчить свою участь.

image

Партнеры Positive Hack Days, компания Staffcop, представляет ПО для контроля потоков информации и событий системы, а также всех действий сотрудников за рабочим компьютером. В дни форума каждый сможет задать им вопрос на их стенде. А для тех, кто подключается онлайн, мы подготовили детальное описание их продуктов.

Финансовые организации обязаны соблюдать требования положений Банка России и приказов ФСТЭК России. Поскольку назвать список этих требований маленьким язык не поворачивается, мы решили рассмотреть предписания руководящих документов и предложить свой вариант — как можно решить те или иные проблемы или хотя бы облегчить свою участь.

Введение

Банки всегда являются очень лакомой целью для злоумышленников и поэтому весьма часто подвергаются атакам. В марте 2020 года компания Positive Technologies представила статистику по тестам на проникновение, которая наглядно продемонстрировала, что инфраструктура банка может быть легко атакована как снаружи, так и изнутри, позволяя получить доступ к критически важным элементам, таким как банкоматная сеть, компьютеры менеджмента и клиентов, система передачи SWIFT.

А ведь положение Банка России № 382-П предъявляет весьма конкретные и вполне обоснованные требования к обеспечению информационной безопасности в финансовых организациях. Вдобавок весной прошлого года появилось ещё и положение № 716-П, относящееся к тем же финансовым организациям и говорящее об управлении операционными рисками. И это — далеко не полный список документов, требования которых необходимо выполнять. Полный список выглядит так:

  • Приказ ФСТЭК России от 25 декабря 2017 г. № 239.
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21.
  • Положение ЦБ РФ от 9 июня 2012 г. № 382-П.
  • Положение ЦБ РФ от 8 апреля 2020 г. № 716-П.
  • Приказ ФСТЭК России от 11 февраля 2013 г. № 17.
  • Стандарт ISO 27001.
  • Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Из этого списка больше всего выделяется положение № 716-П, в котором содержатся требования по управлению рисками: по сравнению с остальными документами (кроме положения № 382-П) оно является более крупным, затрагивающим обширный спектр вопросов. Но в части автоматизации системы управления рисками, а также в вопросе ведения базы событий, то есть исполнения стадий «формирование базы и оценка рисков» и «мониторинг риска и оценка эффективности системы управления риском», оно очень хорошо совмещается с требованиями остальных документов. Давайте рассмотрим всё в комплексе и определим, что же мы можем сделать - мы будем рассматривать в разрезе функциональных возможностей Staffcop Enterprise, на который имеется сертификат ФСТЭК ФСТЭК России № 4234 от 15 апреля 2020 года, который подтверждает, что данный Программный Комплекс соответствует Требованиям к средствам контроля съемных машинных носителей информации ФСТЭК России по 4 классу защиты, утверждённых Приказом ФСТЭК России от 28 июля 2014 г. N 87 – «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты» и реализовывает требования по защите информации из перечисленных нормативных документов.

Основные группы необходимого контроля, исходя из требований руководящих документов, можно сгруппировать следующим образом:

  1. Контроль машинных носителей, стороннего ПО и состава автоматизированного рабочего места (АРМ). В эту группу мы можем включить все требования, которые относятся к контролю рабочего места. Здесь важны целостность используемой системы, контроль внесения изменений (сотрудник, пользующийся этим рабочим местом, не должен иметь прав на его модификацию), проблема использования сторонних носителей, о которых не в курсе ответственные лица (оптических дисков или USB-накопителей, на которые можно записать конфиденциальную информацию).
  2. Контроль операций с файлами / ресурсами и печати документов. Здесь необходимо контролировать непосредственно ту информацию, которая обрабатывается на выделенном рабочем месте: какие данные присутствуют там, что с ними происходит, печатаются ли они и должны ли печататься.
  3. Регистрация и просмотр событий — набор функций, необходимый как для выявления инцидентов в информационной безопасности, так и для сбора доказательств произошедшего. Регистрация наибольшего числа событий позволяет сформировать чёткую доказательную базу, отследить весь путь «как дошли до жизни такой», а также проводить анализ, ревизию того, как вообще работает система защиты на вашем предприятии.
  4. Контроль сетевого трафика. В эту группу помимо использования веб-ресурсов входит отправка электронных писем / сообщений вкупе с их анализом. Если у сотрудника имеется доступ в интернет (по рабочей необходимости), то это совершенно не значит, что он будет использоваться именно для работы. Кроме того, интернет (мессенджеры, почта и т. д.) — это возможный канал утечки: сотрудник может как отправлять конфиденциальную информацию конкурентам, так и устраивать мошеннические схемы, используя ресурсы предприятия без ведома начальства.
  5. Контроль системы защиты на АРМ (включая дистанционное управление АРМ). В эту группу входят не только функции по контролю изменения параметров защитной системы или её отключения, но и возможность удалённого контроля / перехвата управления. Система безопасности должна быть защищена от отключения или нарушения функционирования; также должна присутствовать возможность подстраховки человеком — офицером безопасности.
  6. Давайте рассмотрим каждый пункт, с примерами того, какие функциональные возможности могут помочь решить поставленный вопрос. Ещё раз заострим внимание на том, что исполнение требований документов из приведённого выше списка автоматически подведёт вас к выполнению пунктов положения № 716-П о формировании базы рисков и их оценки. Более того, помимо исполнения требований положения вы разрешите некоторые вопросы, которые возникнут у вас после ознакомления с его текстом, например о ведении базы рисков и выборе ключевых индикаторов риска.

Контроль машинных носителей, стороннего ПО и состава автоматизированного рабочего места (АРМ)

Согласно требованиям приказов ФСТЭК России № 17, 239 и 21, ключевыми функциями контроля будут являться:

  • контроль машинных носителей информации (МНИ) — контроль подключения, управление доступом, контроль ввода-вывода информации и регистрация всех событий с МНИ;
  • контроль ПО — контроль состава программного обеспечения, исключение установки / запуска незарегистрированного ПО, контроль установки новых программ и удаления / обновления / запуска уже установленных;
  • контроль АРМ — контроль фактического состава технических средств.

Иными словами, вам необходимо определять список разрешённых к использованию МНИ, причём назначить разным пользователям разные возможности взаимодействия с МНИ — в зависимости от рабочей необходимости. Конечно, нужна регистрация производимых с МНИ действий — чтение, запись или удаление файлов, простое подключение незарегистрированных МНИ. Один из простейших способов вынести конфиденциальную информацию с предприятия — записать её на USB или CD и физически переместить за охраняемый периметр. Кроме того, если у вашей системы имеется модуль анализа поведения, то вы можете сразу отслеживать изменения в поведении сотрудника, например настроив фильтр на реагирование в случае подключения МНИ или превышения порогового (задаваемого) количества записей на носитель.


Рис. 1 Пример реализации перехвата несанкционированного копирования на USB-носитель


Рис.2 Пример реализации детектора аномального поведения

Требование инвентаризации программного обеспечения и оборудования не только позволит отслеживать то, какие манипуляции сотрудник проводит с АРМ (а главное — зачем, ведь вы предоставили уже готовое рабочее место), но и значительно облегчит жизнь ИТ-отделу, у которого всегда будет свежая информация по имеющемуся парку машин, будь то АРМ в офисах или сеть банкоматов, которые функционируют на Windows и Linux.

Контроль операций с файлами / ресурсами и печати документов

Приказы ФСТЭК России № 21 и 239, а также положение № 382-П требуют контролировать операции с ресурсами и файлами — устанавливать, санкционировано или нет их создание / удаление / резервное копирование, регистрировать факты вывода на печать, обеспечивать общую защиту информации от утечек.


Рис. 3 Пример отображения инцидентов, связанных с файлами


Рис. 4 Поиск по содержимому файла

Распечатка документов является таким же каналом утечки информации, как МНИ, и необходимые функции по большей части тоже совпадают. Вам необходимо знать, кто, куда, когда и что отправляет на печать. Во-первых, это позволяет чётко отслеживать движение документов в организации; во-вторых, если поведенческий анализ выявит то, что кто-то распечатывает слишком большое количество документов, вы сможете оперативно пресечь попытку вынести документы за пределы охраняемого периметра.

Файловый контроль является обязательной частью любой системы защиты. Эта функция должна позволять отслеживать абсолютно любые действия с файлами, чтобы их нельзя было безвозвратно уничтожить, незаметно скопировать, спрятать (например, путём переименования). В цифровую эпоху много информации хранится в электронном виде, поэтому здесь должен осуществляться тотальный контроль.


Рис. 5 Пример карты взаимодействий сотрудников на основе обмена файлов

Если доступно сканирование АРМ (лучше — удалённое), чтобы контролировать, какие файлы находятся на компьютере у сотрудника, то это значительно повысит возможности контроля. Зачастую благодаря сканированию отдел безопасности выявляет изъяны в политике безопасности, пути передачи файлов или новые каналы утечки, о которых даже не задумывались.

Регистрация и просмотр событий

Приказы ФСТЭК России № 17 и 21, положение № 382-П содержат требования по регистрации всех действий пользователей и используемых ресурсов. Конечно, необходимо структурированное хранение данных, чтобы на их основе производить анализ — на разных уровнях, от отделов и до конкретных пользователей. Цитируя приказ ФСТЭК России № 17, должно быть достигнуто «исключение возможности отрицания пользователем факта отправки информации другому пользователю или факта получения информации от другого пользователя». Эту фразу можно смело сократить до «исключение возможности отрицания пользователем фактов». Необходимо регистрировать все события и взаимодействия, причём данные должны быть удобно скомпонованы для того, чтобы сократить время на их обработку.


Рис. 6 Пример выявления в переписке подозрительных слов и словосочетаний

Кроме того, собранная информация, в случае если были оформлены необходимые документы для её сбора, может являться доказательством совершённых преступлений — или, если дело касается небольших проступков, аргументом для применения взысканий к сотруднику в рамках компании.


Рис. 7 Представление отчета по использованию непродуктивных ресурсов

Контроль сетевого трафика

Приказы ФСТЭК России № 17 и № 21 требуют контролировать и анализировать внешний и внутренний сетевой трафик, контролировать, анализировать и блокировать передаваемую информацию, выявлять и блокировать скрытые каналы передачи данных.

Если у сотрудников есть доступ к интернету, то они получают дополнительные возможности по отправке конфиденциальной информации за пределы периметра безопасности. Основными путями в этом случае будут отправка сообщений через мессенджеры или с помощью электронной почты, а также загрузка файлов на внешние ресурсы. Здесь важно понимать, что передаваемая информация может иметь разный характер и это не обязательно будут какие-то цифровые данные и т. д.: это может быть просто закрытая информация, транслируемая «на словах». Поэтому помимо контроля файлов необходимо контролировать и содержимое сообщений, которыми сотрудники обмениваются с третьими лицами. Сотрудники должны знать, что АРМ предоставлено им для работы и они не должны использовать его для решения своих личных вопросов. При должном юридическом оформлении (наличии приказа о том, какая информация причислена к конфиденциальной, согласия на ведение наблюдения с помощью программных средств, подписанного сотрудником, и т. д.) не должно возникать проблем с анализом сообщений и нет никакого риска узнать какую-либо личную информацию.


Рис. 8 Статистика посещения сайтов по подбору вакансий

Приказ № 239 (и № 21 тоже) требуют регистрировать все операции сотрудников в сети «Интернет» и блокировать запрещённые к использованию сайты. Это предписание перекликается с требованиями приказов № 17 и № 21, которые мы рассмотрели в предыдущих абзацах, и имеет двойственную природу: помимо обеспечения информационной безопасности оно позволяет поддерживать высокий уровень продуктивности сотрудников. Как уже было сказано выше, рабочее место предназначено исключительно для исполнения рабочих обязанностей, и для обеспечения высокой продуктивности необходимо контролировать то, сколько рабочего времени тратит сотрудник на различные конкретные цели. Важно, чтобы система позволяла различать, какие интернет-ресурсы являются необходимыми для работы, а какие — развлекательными или опасными. Конечно же, блокирование нежелательных ресурсов способно значительно повысить работоспособность ваших сотрудников.

Если максимально обобщать требования руководящих документов, то можно сказать, что ваша система защиты должна контролировать любую передачу информации по любому каналу, а также регистрировать абсолютно все события. Разобраться в большом количестве неагрегированных данных зачастую весьма сложно и затратно, как по времени, так и по усилиям, поэтому необходимо, чтобы была возможность задавать представление информации в различных наглядных формах. В конце концов, в информационной безопасности слишком велики финансовые и репутационные потери в случае возникновения инцидента, поэтому важна скорость реагирования на него.

Контроль системы защиты на АРМ (включая дистанционное управление АРМ)

Приказы ФСТЭК России № 17 и № 21 содержат требования к функциям контроля и регистрации изменений параметров системы защиты или её отключения, а также к возможности удалённого контроля / перехвата управления.

Данные системы являются страховочными, гарантирующими то, что система защиты будет работать всегда и сотрудник не сможет её обойти путём механического отключения. Возможность удалённого управления позволяет обеспечивать страховку технического решения с помощью сотрудников безопасности. По большей части это — обязательные функции, которые априори должны быть в любой системе.


Рис. 9 Онлайн-просмотр рабочих столов сотрудников

Выводы

Несмотря на многообразие руководящих документов от разных организаций, набор функций для систем контроля, в том числе и для объектов КИИ, является ограниченным: все документы говорят и требуют примерно одно и то же. Если используемая вами система осуществляет:

  1. контроль и регистрацию всех без исключения событий в информационной системе предприятия — непосредственно на АРМ, при сетевом взаимодействии и при подключении внешних носителей,
  2. контроль состояния самого АРМ и системы защиты — с регистрацией и / или запретом всех изменений,
  3. представление всей собранной информации в удобном формате, для обеспечения сбора доказательной базы и получения полной картины происходящего,

то вы практически наверняка выполняете предписания всех руководящих документов — даже тех, в которых нет конкретных требований к ведению базы событий и рисков или к функциональным возможностям системы. Положения ЦБ РФ и документы ФСТЭК России перекликаются друг с другом, используя немного разные формулировки, но подразумевая одно и то же.

В цифровую эпоху необходимы тотальный контроль в цифровом пространстве и чёткое очерчивание границ взаимодействий. Практически наверняка вам не удастся сразу очертить эти границы правильно. Придётся потратить время на сбор всей необходимой информации, анализ потоков данных и действий сотрудников в цифровой инфраструктуре предприятия. И здесь важными будут функциональные возможности используемой системы — насколько подробно и правильно отображается там то, что происходит в вашей фирме.

Staffcop Enterprise создан, чтобы отвечать требованиям регуляторов и решать необходимые задачи - в том числе, перечисленные в статье. Вы можете абсолютно бесплатно попробовать весь доступный в Staffcop Enterprise – мы предоставляем такую возможность на целый месяц, на необходимое количество компьютеров.


Анонсы лучших вебинаров, курсов и других ИБ событий, тщательно отобранных экспертами на нашем телеграмм канале. Большинство мероприятий бесплатные!