Декабрь 12th, 2023 
raven000 В середине 2020 года Банк РФ произвел послание с трактовкой заключительных пунктов 683-П. У банков будто бы возникла отлагательство по данному расположению, а при этом присутствует прошлое майское послание, в котором заявлено точно противоположное. Эти послания противоречат друг дружке. Как будут откликаться на такое положение вещей стороны, не понимаю. Понимаю одно: им в настоящее время не позавидуешь в плане того, сколько надо в 2018 году сделать, подробнее на https://nbj.ru/publs/evgenii-tsarev-rtm-group-tsb-svoimi-trebovanijami-fakticheski-pytaetsja-izbavit-bankovskii-segment-ot-nedoverennogo-po/34623/.
NBJ: Поведайте более подробно про ГОСТ Р 57580.1-2017. Отчего вы находите данный стереотип главным для банков в 2021 году?
– Конструкция управления в части справочной безопасности такая, что расположения, которые производит Главный банк, акцентирует области использования и область оценки. Они могут быть различные: целая биометрическая система, платежный сектор Банка РФ, дистанционный банкинг. И дальше в расположении выдается сноска на ГОСТ. Выходит следующая иллюстрация. Нужно осуществить ряд условий самого расположения, плюс снабдить соответствие ГОСТу и, конечно же, провести аудит. ГОСТ становится беспристрастным и главным показателем для оценки не только лишь кредитных, но также и некредитных экономических организаций. ГОСТ был главным и ранее, а в 2021 году внимание к нему особенное.
NBJ: Вы упомянули особенную модель испытаний. Насколько часто кредитные компании заказывают у вас испытание на попадание, – так именуемые пентесты, – оценку безопасности компьютерных систем либо сетей средствами прогнозирования атаки мошенника? В чем смысл этих испытаний и способны ли вы предложить какую-то статистику обнаруженных погрешностей после их выполнения?
– В бумагах Банка РФ это можно назвать испытанием на попадание, а в среде экспертов мы, на самом деле, пристрастились представлять их «пентестами». Сущность этой работы в том, чтобы создать действия мошенника и предпринять попытку получить доступы к субъектам справочной инфраструктуры организации-заказчика. С моей точки зрения, это один из наиболее здоровых инструментариев для увеличения значения справочной безопасности компании. У банка могут быть введены все нужные системы, они работают отлично, а пентест может увидеть некоторый сравнительно простой метод, который дает возможность пробраться внутрь всей данной трудной архитектуры.
Что касается статистики обнаруженных погрешностей, то выходит увлекательная иллюстрация. еще 3 года назад пентесты давали почти стопроцентный итог при поиске и работы важных уязвимостей как в банках с группой активов ниже ТОП-50, так и поступающих в данный ТОП. Условия ЦБ по выполнению пентестов сыграли главную роль. Уязвимостей за прошедшие 2 года стало существенно меньше.
Тем не менее, «классика» остается. Вне зависимости от того, какие применяются технические решения, как используются средства безопасности, основной удар нужно по назначению парольной политики, политики обновлений и оплошностям в архитектуре и регулировке сети. Администраторы довольно часто применяют одни пароли к различным внешним системам. Выбирая пароль к одной учетной записи, в будущем можно получить доступ и прочим. % погрешностей, сопряженных с нашим условием, очень высок.
Банки пристрастились каждый год делать пентесты, они могут быть различного заполнения: наружные, внешние, заточенные под социальную инженерию. ЦБ на данный момент не установил точную методику выполнения пентестов, вследствие этого банк предпочитает без помощи других, какой размер испытания он желает у себя провести. снова повторюсь – данная работа дает отличный итог.
NBJ: Для чего банкам нужно временами вести анализ уязвимостей в соответствии с условиями ОУД4? Какая настоящая польза от этих проверок?Что вы делаете в данном направлении?
– ОУД4 (Оценивающий значения доверия 4-го значения – прим. Ред.) – это автономная история. Я считаю, регулятором принято стратегически важное решение: в банках в масштабах платежного процесса не должно остаться ПО, которое бы не прошло оценку по ОУД 4-го значения либо сертификацию.
Поясню: ПО, которое применяется, должно осматриваться на содержание погрешностей, уязвимостей в коде, применения ранимых элементов. Для банков это, к слову, в настоящее время главная неприятность. 3 раза переносились сроки взысканий с кредитных организаций за нарушения условия по ОУД4. Очередной период – это половина года 2021 года. Абонентное ПО, тот интернет-банкинг, с которым мы с вами работаем, должно проходить такую оценку. Серверная часть на стороне банка также должна проходить такую оценку.
Это изобретено и выполнено регулятором для того, чтобы приучить банковское объединение к испытанию собственных приложений, которые они отдают в продуктив. Уязвимостей в дополнениях достаточно много. Не во всех банках построена система Patch Management (Процесс управления обновлениями ПО – прим. Ред.), которая дает возможность проверить собственные планы перед выкладкой в продуктив. Не устроена система безопасной подготовки, когда ПО на всех шагах контролируется с позиции безопасности.
Условия по ОУД4 – это то, что через 3 года не оставит в масштабах платежного процесса некоторого незнакомого ПО. Что в настоящее время, пока, имеет место быть. А это опасности. Главный банк собственными условиями практически старается освободить кредитный сектор от недоверенного ПО.
NBJ: По результатам аудитов, какие советы вы даете кредитным компаниям? Что покупатели принимают легко, а что из ваших объявлений ими не совершается категорично?
– Действительно нет абсолютно никаких неисполнимых условий и советов к кредитным компаниям. Есть некоторые технические трудности с аналогичным ОУД4, а, в целом, они все решаемы.
Другое дело, что это не дешево по имплементации и внедрению. В конечном итоге часто формируется картина, когда в участке безопасности банка действует лишь 1 человек, а нужно, к примеру, 5 служащих. Когда такое требование возникает, разумеется, у него есть возможность удивить топ-менеджеров и владельцев банка.
Условия ГОСТа градированы, там есть значения соответствия. Для того, чтобы выходить на представляемый уровень, – а на данный момент это 0,7 из 1, – им просто надо легко и внимательным образом работать в сфере безопасности. Ничего необычного.
Банк свободен выбирать любого аудитора, условия к нему урезаны только лицензией. Важность работы с RTM Group в том, что мы хотим предложить варианты, которые дают возможность по результатам аудита и оценку отличную получить, и сделать это благоразумно с позиции экономии средств. Самое важное – наш аудит нацелен не только лишь на приобретение официального доклада, но также и на увеличение беспристрастной безопасности заказчика.
Потребовать от клиента сменить все сетевые устройства, согласитесь, вариант так себе. Это очень дорого, неясно также, что, например, случится далее с сертификатом. Мы не раз вели наблюдение: технологическое решение еще задумывается и вводится, а сертификат просрочен. Иного сертификата не вышло.
Принимая во внимание, что аудиты имеют постоянный характер, банку в целях экономии ресурсов более удобно работать с одним-двумя аудиторами на регулярной базе. Чтобы они всегда были внутри процесса, делали 1 аудит, через два-три месяца другой.
Мы всегда на связи с собственными заказчиками, регулярно даем update: какие перемены случились в нормативной основе, что нужно исправить, на что обратить свое внимание. Всегда поделимся, каким-либо документом, наконец. И работе справочной безопасности кредитной компании в этом случае существенно легче работать – она приобретает профессиональные решения от самых различных экспертов нашей компании. Если всегда сохранять такой контакт, – к чему мы хотим, – в конце концов, выигрывают все. У нас не бывает такого, чтобы мы работу сделали и ушли. На самом деле, собственную работу с банками мы проводим как раз в направлении регулярного взаимодействия.
Опубликовано в рубрике 
