Виртуализация для банков: как обеспечить соответствие требованиям СТО БР ИББС
Данная статья посвящена отраслевому стандарту информационной безопасности СТО БР ИББС. Статья является завершающей в серии публикаций, рассказывающих об ограничениях, возникающих при размещении информационных систем у профессионального провайдера инфраструктурных ИТ-сервисов, таких как соответствие стандарту PCI DSS и требованиям 161-ФЗ.
Что такое СТО БР ИББС?
Стандарт Банка России по обеспечению информационной безопасности (ИБ) организаций банковской системы Российской Федерации (СТО БР ИББС) описывает единый подход к построению системы обеспечения ИБ с учетом требований российского законодательства. Он распространяется на организации банковской системы Российской Федерации, а также на организации, проводящие оценку соответствия их ИБ требованиям стандарта. Периодически появляется информация, что действия данного стандарта будет распространяться на все организации, подконтрольные Центральному Банку, в том числе небанковские кредитно-финансовые институты (инвестиционные компании, инвестиционные фонды, страховые компании, пенсионные фонды, ломбарды, трастовые компании).
Важно отметить, что данный стандарт, согласно действующему законодательству, носит рекомендательный характер. Однако, стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении к стандарту. По данным Центрального Банка РФ, на сегодняшний день к стандарту присоединились 510 организаций.
Состав комплекта СТО БР ИББС
Нормативные документы Банка России | Краткое описание |
---|---|
Стандарты | |
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014) | Определяет общую концепцию построения комплексной системы обеспечения информационной безопасности, общие требования по обеспечению ИБ, а также требования к системе менеджмента ИБ |
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014) | Стандартизирует подходы и способы оценки соответствия обеспечения ИБ организации БС РФ требованиям СТО БР ИББС |
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007) | Определяет основную схему и основные принципы и этапы проведения аудита ИБ организацией БС РФ. |
Следует отметить, что во многих крупных организациях банковской системы уже широко используются технологии виртуализации на собственных инфраструктурных мощностях, в то время как средние и небольшие организации чаще рассматривают размещение информационных систем у профессионального провайдера сервисов ИТ-инфраструктуры, использующего современные технологии, в том числе системы виртуализации.
Виртуализация по СТО БР ИББС
Одним из наиболее часто встречающихся аргументов против передачи информационных систем стороннему ИТ-провайдеру является невозможность соблюдения требований СТО БР ИББС. Но такая передача возможна.
Требования по обеспечению информационной безопасности при управлении доступом и регистрацией, при использовании средств антивирусной и криптографической защиты, ресурсов сети интернет являются общими для физических и виртуальных сред обработки. Тем не менее, обработка данных в виртуальной среде имеет свои особенности, на которые надо обратить особое внимание.
Остановимся более подробно на документе «Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015). В нем содержится 8 групп рекомендаций, таких как разделение потоков информации и изоляция виртуальных машин, обеспечение ИБ виртуальных машин и их образов, серверных компонентов виртуализации, систем хранения данных (СХД), АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, а также мониторинг ИБ и определение состава ролей и разграничение полномочий эксплуатационного персонала.
Константин Симонов, DataSpace Cloud: В области информационной безопасности существует множество заблуждений
В состав услуг по предоставлению вычислительных мощностей и емкостей хранения данных ИТ-инфраструктуры, предлагаемых IBS DataFort, входят, в том числе, и сервисы ИБ, которые соответствуют всем перечисленным рекомендациям
Сервисы для выполнения рекомендаций СТО БР ИББС
Рекомендации | Услуги, предоставляемые IBS DataFort для выполнения рекомендаций |
---|---|
Рекомендации по разделению потоков информации и изоляции виртуальных машин | |
Определяют необходимость размещения виртуальных машин разного контура безопасности на разных хост серверах, осуществление доступа к ВМ только с АРМ входящих в контур безопасности ПТП (ограничение не ниже 3 уровня модели OSI, а также с помощью сертифицированных средств защиты информации), выделение отдельных логических областей оперативной памяти для групп ВМ с разным контуром безопасности, запрет обмена информацией между ВМ с использованием общих ресурсов физического хост сервера и др. | Сертифицированные* средства защиты виртуализации:
|
Рекомендации по обеспечению ИБ образов виртуальных машин | |
Определяет необходимость документирования процесса жизненного цикла базовых образов ВМ, выделенное размещение каждого СЗИ на отдельные ВМ или СВТ, выделенное размещение тестового стенда и дальнейшая проверка базовых образов на предмет ИБ, выполнение обновлений СЗИ и ПО и др. | Сертифицированные* средства защиты виртуализации: документированный процесс жизненного цикла базовых образов ВМ, включающий в себя полную проверку данных образов и контроль целостности. |
Важно отметить, что функции встроенной в платформу сертифицированной ФСТЭК РФ системы защиты среды виртуализации в той или иной мере используются для реализации всех категорий рекомендаций. Также используются встроенные механизмы гипервизоров. А на рабочих местах администраторов виртуальной платформы реализованы все рекомендации СТО БР ИББС, в том числе использование сертифицированных систем двухфакторной аутентификации.
Анализ состава рекомендаций Банка России относительно использования технологий виртуализации показывает, что никаких технических трудностей и ограничений для их выполнение не существует. Использование стандартных сервисов профессиональных провайдеров ИТ-инфраструктуры позволит существенно снизить стоимость владения инфраструктурой и сопутствующих средств информационной безопасности и существенно сократит сроки развертывания информационных систем.
Основываясь на многолетнем опыте предоставления услуг финансовым организациям, IBS DataFort предлагает компаниям банковского сектора, в том числе, попадающим под требования СТО БР ИББС, хорошо зарекомендовавшие и доказавшие свою эффективность сценарии использования профессиональных и безопасных сервисов по предоставлению ИТ-инфраструктуры, такие как создание резервной (disaster recovery, DR) площадки для информационных систем; перенос непрофильных с точки зрения основного бизнеса информационных систем, например, HR систем, размещение контуров разработки и тестирования на ресурсах провайдера.
Иван Гузев, директор по информационной безопасности IBS DataFort