Статья

Виртуализация для банков: как обеспечить соответствие требованиям СТО БР ИББС

Облачные технологии
мобильная версия
, Текст: Наталья Рудычева

Данная статья посвящена отраслевому стандарту информационной безопасности СТО БР ИББС. Статья является завершающей в серии публикаций, рассказывающих об ограничениях, возникающих при размещении информационных систем у профессионального провайдера инфраструктурных ИТ-сервисов, таких как соответствие стандарту PCI DSS и требованиям 161-ФЗ.

Что такое СТО БР ИББС?

Стандарт Банка России по обеспечению информационной безопасности (ИБ) организаций банковской системы Российской Федерации (СТО БР ИББС) описывает единый подход к построению системы обеспечения ИБ с учетом требований российского законодательства. Он распространяется на организации банковской системы Российской Федерации, а также на организации, проводящие оценку соответствия их ИБ требованиям стандарта. Периодически появляется информация, что действия данного стандарта будет распространяться на все организации, подконтрольные Центральному Банку, в том числе небанковские кредитно-финансовые институты (инвестиционные компании, инвестиционные фонды, страховые компании, пенсионные фонды, ломбарды, трастовые компании).

Важно отметить, что данный стандарт, согласно действующему законодательству, носит рекомендательный характер. Однако, стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении к стандарту. По данным Центрального Банка РФ, на сегодняшний день к стандарту присоединились 510 организаций.

Состав комплекта СТО БР ИББС

Нормативные документы Банка России Краткое описание
Стандарты
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014) Определяет общую концепцию построения комплексной системы обеспечения информационной безопасности, общие требования по обеспечению ИБ, а также требования к системе менеджмента ИБ
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014) Стандартизирует подходы и способы оценки соответствия обеспечения ИБ организации БС РФ требованиям СТО БР ИББС
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007) Определяет основную схему и основные принципы и этапы проведения аудита ИБ организацией БС РФ.

Источник: IBS DataFort, 2016

Перейти к полной таблице


Следует отметить, что во многих крупных организациях банковской системы уже широко используются технологии виртуализации на собственных инфраструктурных  мощностях, в то время как средние и небольшие организации чаще рассматривают размещение информационных систем  у профессионального провайдера сервисов ИТ-инфраструктуры, использующего современные технологии, в том числе системы виртуализации.

Виртуализация по СТО БР ИББС

Одним из наиболее часто встречающихся аргументов против передачи информационных систем стороннему ИТ-провайдеру является невозможность соблюдения требований СТО БР ИББС. Но такая передача возможна.

Требования по обеспечению информационной безопасности при управлении доступом и регистрацией, при использовании средств антивирусной и криптографической защиты, ресурсов сети интернет являются общими для физических и виртуальных сред обработки. Тем не менее, обработка данных в виртуальной среде имеет свои особенности, на которые надо обратить особое внимание.

Остановимся более подробно на документе «Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015). В нем содержится 8 групп рекомендаций, таких как разделение потоков информации и изоляция виртуальных машин, обеспечение ИБ виртуальных машин и их образов, серверных компонентов виртуализации, систем хранения данных (СХД), АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, а также мониторинг ИБ и определение состава ролей и разграничение полномочий эксплуатационного персонала.

В состав услуг по предоставлению вычислительных мощностей и емкостей хранения данных ИТ-инфраструктуры, предлагаемых IBS DataFort, входят, в том числе, и сервисы ИБ, которые соответствуют всем перечисленным рекомендациям

Сервисы для выполнения рекомендаций СТО БР ИББС

Рекомендации Услуги, предоставляемые IBS DataFort для выполнения рекомендаций
Рекомендации по разделению потоков информации и изоляции виртуальных машин
Определяют необходимость размещения виртуальных машин разного контура безопасности на разных хост серверах, осуществление доступа к ВМ только с АРМ входящих в контур безопасности ПТП (ограничение не ниже 3 уровня модели OSI, а также с помощью сертифицированных средств защиты информации), выделение отдельных логических областей оперативной памяти для групп ВМ с разным контуром безопасности, запрет обмена информацией между ВМ с использованием общих ресурсов физического хост сервера и др. Сертифицированные* средства защиты виртуализации:
  • - межсетевой экран;
  • - средство защиты платформ виртуализации;
  • - выполнение рекомендаций по настройкам системы виртуализации в целях усиления ее информационной защищенности
Рекомендации по обеспечению ИБ образов виртуальных машин
Определяет необходимость документирования процесса жизненного цикла базовых образов ВМ, выделенное размещение каждого СЗИ на отдельные ВМ или СВТ, выделенное размещение тестового стенда и дальнейшая проверка базовых образов на предмет ИБ, выполнение обновлений СЗИ и ПО и др. Сертифицированные* средства защиты виртуализации: документированный процесс жизненного цикла базовых образов ВМ, включающий в себя полную проверку данных образов и контроль целостности.

Источник: IBS DataFort, 2016

* Под сертифицированными средствами понимаются средства, прошедшие в установленном порядке сертификацию во ФСТЭК РФ

Перейти к полной таблице


Важно отметить, что функции встроенной в платформу сертифицированной ФСТЭК РФ системы защиты среды виртуализации в той или иной мере используются для реализации всех категорий рекомендаций. Также используются встроенные механизмы гипервизоров. А на рабочих местах администраторов виртуальной платформы реализованы все рекомендации СТО БР ИББС, в том числе использование сертифицированных систем двухфакторной аутентификации.

Анализ состава рекомендаций Банка России относительно использования технологий виртуализации показывает, что никаких технических трудностей и ограничений для их выполнение не существует. Использование стандартных сервисов профессиональных провайдеров ИТ-инфраструктуры позволит существенно снизить стоимость владения инфраструктурой и сопутствующих средств информационной безопасности и существенно сократит сроки развертывания информационных систем.

Основываясь на многолетнем опыте предоставления услуг финансовым организациям, IBS DataFort предлагает компаниям банковского сектора, в том числе, попадающим под требования СТО БР ИББС, хорошо зарекомендовавшие и доказавшие свою эффективность сценарии использования профессиональных и безопасных сервисов по предоставлению  ИТ-инфраструктуры, такие как создание резервной (disaster recovery, DR) площадки для информационных систем; перенос непрофильных с точки зрения основного бизнеса информационных систем, например, HR систем, размещение контуров разработки и тестирования на ресурсах провайдера.

Иван Гузев, директор по информационной безопасности IBS DataFort