СТАНДАРТ БАНКА РОССИИ

СТО БР ИББС-1.3-2016

Обеспечение информационной безопасности организаций банковской системы Российской Федерации

Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств

     
Дата введения: 2017-01-01

     

Предисловие

1. ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 30 ноября 2016 года N ОД-4234.

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

Введение

Документами Банка России в области стандартизации обеспечения информационной безопасности, в том числе стандартом Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) определена необходимость выполнения организациями банковской системы (далее - БС) Российской Федерации (далее - РФ) деятельности по выявлению инцидентов информационной безопасности (далее - ИБ) и реагированию на инциденты ИБ.

К числу инцидентов ИБ относятся свершившиеся, предпринимаемые или вероятные реализации угроз ИБ, целью и (или) результатом которых являются:

- несанкционированное распоряжение денежными средствами, которое привело или может привести к:

- осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;

- несвоевременности осуществления переводов денежных средств;

- осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей);

- деструктивное воздействие на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которое привело или может привести к нарушению непрерывности оказания платежных услуг.

Такие угрозы ИБ могут осуществляться как работниками организации БС РФ и иными лицами, имеющими легально предоставленный доступ к информационной инфраструктуре, используемой для осуществления переводов денежных средств (внутренними нарушителями ИБ), так и лицами, не имеющими такого доступа, в том числе не являющимися работниками организации БС РФ (внешними нарушителями ИБ).

Одними из ключевых направлений работ в рамках реагирования на инциденты ИБ являются:

- определение технических способов и схем реализаций угроз ИБ, целью и (или) результатом которых являются несанкционированное распоряжение денежными средствами и (или) нарушение непрерывности оказания платежных услуг (далее - угрозы ИБ), на основе сбора и анализа технических данных, формируемых объектами информационной инфраструктуры организации БС РФ и (или) клиентов;

- предотвращение повторных реализаций угроз ИБ с использованием ранее примененных технических способов и схем;

- проведение идентификации субъектов, реализующих угрозы ИБ, на основе результатов обработки технических данных, полученных в рамках реагирования на инциденты ИБ;

- проведение своевременного выявления маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемыми для осуществления переводов денежных средств, на основе результатов обработки технических данных, полученных в рамках реагирования на инциденты ИБ.

Для обеспечения возможности выполнения указанных направлений работ в рамках системы менеджмента инцидентов ИБ (в том числе на стадии сбора и фиксации информации об инциденте ИБ), реализуемой в соответствии с рекомендациями в области стандартизации Банка России РС БР ИББС-2.5 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" (далее - РС БР ИББС-2.5), организации БС РФ рекомендуется применение методов сбора, обработки, анализа и документирования данных, формируемых объектами информационной инфраструктуры, в том числе техническими средствами защиты информации, используемыми организациями БС РФ и их клиентами для осуществления переводов денежных средств (далее - технические данные), связанных со свершившимися, предпринимаемыми или вероятными реализациями угроз ИБ.

Настоящий документ устанавливает рекомендации к деятельности организаций БС РФ, реализующих функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры, по применению организационных, технологических и технических подходов, связанных со сбором, обработкой, анализом и распространением (передачей) технических данных.

1. Область применения

Настоящий стандарт распространяется на организации БС РФ, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры, и устанавливает рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных, в рамках деятельности по выявлению следующих типов инцидентов ИБ и реагированию на них:

- инциденты ИБ, информация о которых получена от клиентов операторов по переводу денежных средств (далее - клиентов), в том числе инциденты ИБ (события ИБ), выявленные клиентами, классифицированные клиентами как потенциальные попытки несанкционированных переводов денежных средств от их имени;

- инциденты ИБ (события ИБ), выявленные организацией БС РФ, классифицированные организацией БС РФ как попытки реализации угроз ИБ или как приготовление к их реализации;

- инциденты ИБ, информация о которых получена организацией БС РФ от Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (далее - FinCert Банка России), а также иных организаций, например, операторов связи, провайдеров сети Интернет.

Положения настоящего стандарта могут применяться организациями, не входящими в БС РФ, реализующими функции операторов услуг платежной инфраструктуры, банковских платежных агентов (субагентов).

В настоящем стандарте не рассматриваются рекомендации, направленные на обеспечение выявления несанкционированных переводов денежных средств на основе анализа реквизитов распоряжений на осуществление переводов денежных средств, в том числе рекомендации к правилам настройки автоматизированных систем, реализующим функции противодействия мошенническим операциям ("системы антифрод").

Настоящий стандарт не устанавливает рекомендации к реализации системы менеджмента инцидентов ИБ, в том числе не регламентирует процедуры обнаружения инцидентов ИБ и классификации отдельных событий ИБ или их групп в качестве инцидентов ИБ. В настоящем стандарте предполагается, что реализация системы менеджмента инцидентов ИБ осуществлена организацией БС РФ в соответствии с положениями РС БР ИББС-2.5. При этом настоящий стандарт развивает положения РС БР ИББС-2.5 в части сбора и анализа технических данных.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организаций БС РФ, а также в договорах.

Положения настоящего стандарта имеют рекомендательный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, нормативными правовыми актами, в том числе нормативными актами Банка России.

Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ о присоединении к настоящему стандарту.

2. Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

СТО БР ИББС-1.0;

РС БР ИББС-2.5;

рекомендации в области стандартизации Банка России РС БР ИББС-2.6 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем" (далее - РС БР ИББС-2.6).

3. Термины и определения

В настоящем стандарте применяются термины в соответствии с СТО БР ИББС-1.0, РС БР ИББС-2.5, РС БР ИББС-2.6, а также следующие термины с соответствующими определениями.

3.1. Инцидент ИБ при осуществлении переводов денежных средств, Инцидент ИБ - событие ИБ или их комбинация, указывающие на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, результатом которой являются:

- несанкционированные переводы денежных средств, которые привели или могут привести к:

- осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;

- несвоевременности осуществления переводов денежных средств;

- осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей);

- деструктивные воздействия на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которые привели или могут привести к нарушению непрерывности оказания платежных услуг.

3.2. Несанкционированный перевод денежных средств - перевод денежных средств лицами, не обладающими правом распоряжения денежными средствами.

4. Обозначения и сокращения

АБС - автоматизированная банковская система;

ИБ - информационная безопасность;

БС - банковская система;

ДБО - дистанционное банковское обслуживание;

НСД - несанкционированный доступ;

РФ - Российская Федерация;

СУБД - система управления базами данных;

СВТ - средство вычислительной техники;

СКЗИ - средство криптографической защиты информации.

5. Общие положения по организации процесса обработки технических данных в рамках реагирования на инциденты ИБ

5.1. В настоящем стандарте рассматриваются следующие группы рекомендаций по организации обработки технических данных при выявлении инцидентов ИБ и реагировании на них:

- рекомендации по сбору технических данных с компонентов информационной инфраструктуры, задействованных в осуществлении переводов денежных средств;

- рекомендации по проведению поиска (выделения) из собранных технических данных содержательной (семантической) информации, ее анализу и оформлению;

- рекомендации по распространению (передаче) выделенной и оформленной содержательной (семантической) информации;

- рекомендации по распределению зон ответственности подразделений организации БС РФ в рамках процесса обработки технических данных, включая анализ, оформление и распространение (передачу) содержательной (семантической) информации;

- рекомендации по взаимодействию с клиентами организации БС РФ в рамках процесса сбора технических данных;

- рекомендации по компетенции персонала организации БС РФ и (или) иных внешних организаций, задействованных в процессах обработки технических данных;

- рекомендации по обеспечению наличия технических данных на этапах создания и эксплуатации информационной инфраструктуры, используемой для осуществления переводов денежных средств или для обеспечения защиты информации при осуществлении переводов денежных средств.

5.2. При организации обработки технических данных рекомендуется соблюдать следующие общие принципы:

- любые выполняемые процедуры и сервисные команды обработки технических данных, реализуемые организацией БС РФ и (или) ее клиентами (в том числе процедуры сбора, хранения, передачи технических данных) не должны вносить изменения в исходные технические данные и (или) их эталонные копии;

- сбор технических данных, поиск (выделение) из технических данных содержательной (семантической) информации, ее анализ должны проводиться лицами, обладающими необходимым опытом и компетенцией;

- выполнение всех процедур и сервисных команд обработки технических данных, реализуемых организацией БС РФ и (или) ее клиентами (в том числе процедуры и сервисные команды их сбора, хранения и передачи), должно сопровождаться выполнением процедур и сервисных команд, обеспечивающих возможность последующего контроля целостности (неизменности) технических данных;

- обработка технических данных должна сопровождаться описанием и протоколированием:

- всех выполняемых процедур и сервисных команд, использованных для сбора, сохранения и передачи технических данных. Реализация описания и протоколирования выполненных процедур и сервисных команд должна обеспечивать возможность их точного повторного выполнения;

- перечня использованных технических средств и инструментов, применяемых для сбора, сохранения и передачи технических данных, а также параметров их настройки;

- места, даты и времени выполнения сбора, сохранения и передачи технических данных;

________________

Здесь и далее рекомендуется протоколирование времени с указанием часового пояса.

- места, даты и времени выполнения процедур и сервисных команд;

- идентификационных данных лиц, выполнивших процедуры и сервисные команды сбора, сохранения и передачи технических данных;

- обеспечение хранения указанных описаний и протоколов совместно с обрабатываемыми техническими данными, а также обеспечение их доступности для представления;

- обеспечение протоколирования действий по передаче копий собранных технических данных между лицами, участвующими в расследовании инцидентов ИБ, хранения указанных протоколов совместно с обрабатываемыми техническими данными, а также обеспечение их доступности для представления.

При наличии соответствующих знаний рекомендуется сопровождать выполнение процедур и сервисных команд обработки технических данных описанием и протоколированием ожидаемого изменения в состоянии информационной инфраструктуры (например, появления временных файлов, изменения даты и времени последнего обращения к файлу).