Сегодня был опубликован новый стандарт Банка России СТО БР ИББС-1.3-2016 “Cбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств”. Вступает в силу с 1 января 2017 г.
Стандарт достаточно объемный – 49 страниц, при этом практический и полезный. Давайте посмотрим на основные моменты поподробнее.
В стандарте идет речь о том, как надо правильно собирать, обрабатывать, анализировать и документировать технические данные - данные, формируемые объектами информационной инфраструктуры, в том числе техническими средствами защиты информации, используемыми организациями БС РФ и их клиентами для осуществления переводов денежных средств, связанных со свершившимися, предпринимаемыми или вероятными реализациями угроз ИБ.
Рассматриваются инциденты ИБ следующих типов по источникам получения информации:
· Информация о которых получена от клиентов
· Выявленные организацией БС РФ
· Информация о которых получена от FinCERT и других внешних источников
Инциденты ИБ по типу воздействия:
· Несанкционированным переводом ДС
· Деструктивными воздействиями на инфраструктуру платежей
Инциденты ИБ, связанные с несанкционированными переводами ДС, по типам угроз
· НСД к ИИ клиентов
· Спам-рассылки клиентам, включая социальную инженерию и распространение вирусов
· DDoS атаки на ИИ клиентов
· Воздействие вирусов на ИИ клиентов
· НСД к ИИ системы дистанционного банковского обслуживания (ДБО)
· НСД к ИИ автоматизированной банковской системы (АБС)
· НСД к ИИ систем обработки карточных транзакций (фронт-офис)
· НСД к ИИ систем пост транзакционного обслуживания (бэк-офис)
Инциденты ИБ, связанные с деструктивными воздействиями на инфраструктуру платежей, по типам угроз
· DDoS атаки на ИИ организации БС
· Воздействие вирусов на ИИ организации БС
В стандарте приводятся последовательности действий (с указанием приоритета) по сбору данных при инцидентах ИБ для каждого типа угроз.
Рекомендуется собирать большое количество технических данных. Для примера приведу перечень данных собираемых с клиента:
· дампы (или извлечение) дисков СВТ участвующего в работе с ДБО
· дампы памяти СВТ
· данные из ОС СВТ, в том числе:
o данные о сетевых конфигурациях
o данные о сетевых соединениях
o данные о запущенных программных процессах
o данные об открытых файлах
o список открытых сессий доступа
o системные дата и время операционной системы
· журналы регистрации телекоммуникационного оборудования
· журналы регистрации средств защиты информации
· журналы регистрации и данные почтовых серверов
· данные сетевого трафика
· журналы регистрации АТС
· журналы регистрации и данные систем видеонаблюдения и СКУД
· носители ключевой информации СКЗИ, используемой в системах ДБО
Каждое действие по сбору данных также подробно описывается.
По сути, дан концентрированный опыт которыми раньше владели только Group-IB, отдел К МВД и ещё несколько криминалистических лабораторий.
В некоторых случаях последовательность действий получается очень глубокой и труднореализуемой. Следуя рекомендациям, например, при DDoS атаке на клиента, нам необходимо идентифицировать владельцев СВТ участвующих в DDoS атаке, связаться с ними и собрать технические данные ещё и с тех СВТ (дампы, данные, журналы).
Далее приводятся рекомендации по анализу собранных данных: что искать, на какие события обращать внимание. Хотя и указано что “В большинстве случаев деятельность по поиску (выделению) и анализу содержательной (семантической) информации не может быть формализована, а результат ее выполнения определяется опытом и компетенцией аналитика”
Помимо технических данных, необходимо собирать и документировать профиль инцидента ИБ:
· способ выявления
· источник информации
· информация об инциденте ИБ, полученная от источника;
· сценарий реализации
· дату и время выявления
· состав информационной инфраструктуры (далее - ИИ), задействованной в реализации инцидента ИБ, уровень ее критичности
· способы подключения ИИ, к сети Интернет или сетям общего пользования;
· контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации ИИ
· информация об операторе связи и провайдере сети Интернет
Так как предполагаются достаточно объемные действия, которые надо выполнить оперативно, то рекомендуется заранее подготовить следующие документы:
· план (регламент) сбора технических данных банком
· план первоочередных действия клиента
· план (регламент) сбора технических данных клиентом
· регламентировать передачу носителей тех. данных от клиента - банку
Для оперативной реализации всех указанных действий организации БС необходимо заранее подготовить комплекс технических средств и инструментов: выделенные АРМы, носители информации, ПО для сбора данных, ПО для контроля целостности, средства сбора и анализа журналов (SIEM), средства записи трафика, контейнеры, наклейки, блокноты, фотоаппараты, диктофоны. Получится в нашем банке своя криминалистическая лаборатория.
Для получения помощи в рамках расследования инцидента рекомендуется обращаться в МВД и FinCERT.
В приложениях к стандарту приводятся правильные формы протоколов и примеры технических средств, которые подойдут для нашей лаборатории.
В целом могу сказать, что документ очень полезен в реальном расследовании инцидентов ИБ. Но в полной степени он применим, наверное, только в самых крупных банках, либо в специализированных организациях, привлекаемых банками для расследования инцидентов.
Для большинства организаций БС, можно применять 25-50% от рекомендованного, либо привлекать внешних экспертов и от них требовать выполнения стандарта. В таком случае как мне кажется необходимо дополнительно проанализировать стандарт и правильно разделить требуемые мероприятия между двумя организациями.
Также стандарт полезен для SOC-ов, лабораторий и других организаций занимающихся анализом инцидентов ИБ.