Новые требования Банка России по защите от вредоносного кода

Законодательство
ЦБ в лице г-на Симановского, первого зампреда Банка России, выпустил новое письмо 49-Т от 24 марта 2014-го года «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». Если мне не изменяет память, слухи об этом документе ходили достаточно давно (чуть ли не с конца 2012-го года), но тогда он по разным причинам так и не увидел свет. И вот сейчас свершилось — 16 страниц разъяснений тех требований, которым в СТО БР ИББС и 382-П было отведено совсем немного места.

Документ очень подробный. Расписывает не только технические, но и организационные вопросы по защите от вредоносного кода. Например,

  • требование регулярного обучения и контроля знаний у работников банка по тематике защиты от вредоносного кода
  • доведение до руководства банка результатом мер защиты от вредоносного кода
  • сбор и анализ информации о распространении вредоносного кода
  • тестирование совместимости приобретаемых средств защиты от вредоносного кода с используемыми ИТ
  • обязательное применение средств защиты от вредоносного кода в электронной почте
  • заключение договоров с Интернет-провайдерами в части фильтрации вредоносного кода.
С технической точки зрения требуется применять:
  • терминальный доступ
  • анализа защищенности
  • контроль состава и целостности ПО и железа
  • сегментацию
  • инвентаризацию ПО и железа
  • резервирование и восстановление из резервных копий
  • меры по локализации эпидемий вредоносного кода.

Помимо антивирусов 49-Т требует использования:
  • средств контроля использования съемных носителей
  • автоматизированных средств обобщения и анализа информации, фиксируемой в журналах протоколирования работы защитного ПО (если я правильно понял эту формулировку, то речь идет о SIEM)
  • средств анализа наличия на средствах вычислительной техники и объектах защиты неустраненных недостатков системного и прикладного ПО в части защиты от вредоносного кода (если я правильно понял эту заумную фразу, то авторы хотели прописать сюда сканеры SAST/DAST/IAST).
Хотя есть и нестыковки в 49-Т и 382-П. Например, классический вопрос — сколько разных производителей антивируса должно быть в банке? В п.2.7.3 382-П говорится об использовании средств защиты от вредоносного кода разных производителей при наличии технической возможности. В 49-Т (а надзор будет считать это письмо не рекомендацией, а обязательным документом) такой приписки уже нет — там говорится просто о раздельной установке антивирусов различных производителей (п.2.1.10).
П.2.1.17 меня «убил». Он требует выделить независимый ПК, изолированный от сети, в т.ч. и Интернет, на котором с помощью загрузочного диска будут проверяться все съемные машинные носители информации перед их использованием в банке. Я так себе и представил очередь к этому ПК 🙂 А писанины по этому письму сколько требуется… Жуть просто. На каждый пункт нужен свой регламент.
Отдельный раздел документа посвящен функциям органов управления кредитной организации в части организации защиты от вредоносного кода. Там много всего — от анализа защищенности и назначения ответственных до прогнозирования неблагоприятного развития событий и подробной отчетности по всем вопросам защиты от вредоносного кода.
Отдельный раздел посвящен регламентации защиты от вредоносного кода клиентов банка. Там и изменение договоров с клиентами, и разработка памяток, и информирование об угрозах, и обеспечение консультирования клиентов по защите от вирусов, и сбор информации о вредоносном коде и передача этой информации разработчикам антивируса (на все свой регламент нужен), и обучение персонала, работающего с клиентами, по вопросам борьбы с вирусами.
Последний раздел касается требований к провайдерам связи. Тут и SLA, и требование к провайдеру защищать банк от вирусов, и согласование внутренних документов по борьбе с вредоносным кодом с провайдерами, и т.д.
В целом у меня сложилось впечатление (наверное неверное), что 49-Т — это переложение 382-П понятным языком и в контексте борьбы с вредоносным кодом. Учтены почти все 15 разделов 382-го положения; кроме отчетности и криптографии 🙂
По сути это методические рекомендации, разъясняющие, как выполнять требования 382-П или СТО. Вообще сейчас у регуляторов (исключая 8-й Центр) наблюдается движение в сторону трехзвенной иерархии требований по безопасности:

  1. Высокоуровневые требования федерального законодательства
  2. Требования ведомственных приказов, определяющих «что» надо делать
  3. Требования методических документов, определяющих «как» надо делать.
По такому принципу сейчас строятся документы ФСТЭК. Видимо и в ЦБ решили последовать этому примеру.
Интересно, если требования этого документа в полном объеме не выполнить (наряду с другими мелкими огрехами), не станет ли это основанием для отзыва лицензии у банка за невыполнение требований Банка России?.. Кто знает, кто знает…
ЗЫ. Кстати, когда читал документ, с ходу транслировал его требования к решениям Cisco Sourcefire Advanced Malware Protection (AMP). Выполнить можно многое из требуемого на техническом уровне 🙂
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).