Журнал "Системы безопасности" #5, 2019

S E C U R I T Y A N D I T M A N A G E M E N T 27 готовке специалистов в области обеспече- ния ИБ; l организация надзора в области обеспече- ния ИБ в организациях кредитно-финансо- вой сферы (КФС), включая мероприятия как дистанционного надзора (сюда отно- сится обработка отчетности, мониторинг СМИ, обращения граждан через интернет- приемную Банка России, информация по инцидентам, поступающая в ФинЦЕРТ), так и контактный надзор – это организация и участие в инспекционных проверках по вопросам обеспечения ИБ и применения информационных технологий в организа- циях КФС. Автоматизированная система обработки инцидентов Одним из самых значимых событий в деятель- ности ФинЦЕРТ в прошлом году стало внедрение автоматизированной системы обработки инци- дентов, более известной как АСОИ ФинЦЕРТ. Система должна существенно облегчить выпол- нение требований ряда федеральных законов, включая 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". До внедрения АСОИ ФинЦЕРТ участники информационного обмена взаимодействова- ли с ФинЦЕРТ, используя каналы электронной почты, при этом обязательность информиро- вания об инцидентах была предусмотрена только для участка платежной системы Банка России (речь идет об автоматизированном рабочем месте клиента банка России или АРМ КБР), информирование об остальных инци- дентах носило фактически добровольный характер. С 1 июля 2018 г. в соответствии с указанием Банка России № 4793-У "О внесении измене- ний в Положение Банка России № 382-П" для операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств предусмотрена обязательность информирования о выявленных инцидентах, связанных с нарушением требова- ний к обеспечению защиты информации при осуществлении переводов денежных средств (на всех технологических участках, участвую- щих в осуществлении переводов денежных средств, а не только на участке платежной системы Банка России). Все вышеперечисленные изменения, а также замена слабо защищенного канала взаимодей- ствия (электронной почты) на сервис личных кабинетов АСОИ ФинЦЕРТ, обладающий персо- нифицированным доступом и криптографиче- ской защитой канала связи, привели к суще- ственному увеличению (более чем в четыре раза) потока сообщений о событиях и инциден- тах, получаемого ФинЦЕРТ. АСОИ ФинЦЕРТ первой очереди состоит из информационного портала, сервиса личных кабинетов, специализированных технологиче- ских подсистем и защищенной инфраструкту- ры, что позволяет реализовать следующие про- цессы: l получение данных от участника (это может быть информация об инцидентах в организа- ции и ее клиентах, выявленных уязвимостях, угрозах, данных о раскрытии информации и другие запросы); l передача информации участнику и его опера- тивное информирование об актуальных угро- зах ИБ в КФС, в том числе путем направления соответствующих бюллетеней); l оперативное взаимодействие между участни- ками и ФинЦЕРТ по соответствующим инци- дентам и запросам; l мониторинг атак на организации КФС; l поддержка взаимодействия ФинЦЕРТ с реги- страторами и хостерами по вопросам разде- легирования или блокировки мошеннических и вредоносных ресурсов. Основные направления деятельности В рамках взаимодействия с участниками информационного обмена ФинЦЕРТ осуществ- ляет сбор и анализ выявленного вредоносного программного обеспечения (ВПО), выявляет подозрительную активность, пресекает распро- странение фишинга и т.д. Сбор и анализ вредоносного программного обеспечения В рамках работы по сбору и анализу выявленного ВПО специалисты ФинЦЕРТ (в основном это сотрудники отдела техниче- ского анализа) классифицируют ВПО, опре- деляют индикаторы компрометации. Затем выпускаются технические бюллетени с реко- мендациями по противодействию выявлен- ному ВПО и предложениями по минимиза- ции сопутствующих рисков. Среднее время реагирования на инциденты, включая подготовку бюллетеня, занимает от 40 до 90 минут. В ряде случаев, когда речь идет о критичной атаке и счет идет на минуты, выпускается несколько бюллетеней – первый выходит через несколько минут после обнару- жения атаки. Выявление подозрительной активности ФинЦЕРТ выявляет также подозрительную активность с внешних IP-адресов участников информационного обмена, направляет инфор- мацию о выявленной активности участникам с целью принятия необходимых мер по нейтра- лизации возможных угроз, а также рассылает www.secuteck.ru октябрь – ноябрь 2019 СПЕЦПРОЕКТ БЕЗОПАСНОСТЬ БАНКОВ И ФИНАНСОВЫХ УЧРЕЖДЕНИЙ Взаимодействие с центрами ботнет-сетей Рассылка информации о ВПО