Банк России поднимает требования по борьбе с утечками информации на уровень отраслевого стандарта

В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций

Банк России поднимает требования по борьбе с утечками информации на уровень отраслевого стандарта

Защита информации в банковском бизнесе регулируется целым рядом нормативных актов и надзорных органов. Наиболее важными нормативами, регулирующими информационную безопасность в российской банковской отрасли, являются стандарты Банка России группы “Обеспечение информационной безопасности организаций банковской системы Российской Федерации".

Сергей Вахонин
Директор по решениям АО “Смарт Лайн Инк"

Стандарт Банка России СТО БР ИББС-1.0-2014 совершенно справедливо обращает внимание на проблему инсайдеров. Некоторые банки пытаются не замечать угрозы со стороны внутренних нарушителей, однако игнорирование риска утечки персональных и/или финансовых сведений клиентов или злоупотребление ими могут привести к многомиллионным потерям и испорченной репутации.

Несмотря на то, что стандарты Банка России группы СТО БР ИББС носят рекомендательный характер, де-факто многими действующими в России банками они рассматриваются как обязательные. Некоторые финансовые организации уже реализовали соответствие требованиям стандартов, другие – находятся в начале этого пути.

Весной 2016 г. Банк России выпустил новый ключевой документ, также имеющий рекомендательный характер, – "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" (РС БР ИББС-2.9-2016), где прямо указано, что организациям банковской системы РФ следует принимать меры по обеспечению конфиденциальности обрабатываемой информации. Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации и ее клиентам в части возможного нарушения конфиденциальности обрабатываемой информации обладают работники организации БС РФ и иные лица, обладающие легальным доступом к информации.

Рекомендации по предотвращению утечек

Особая ценность рекомендаций заключается в том, что, помимо перечисления категорий нарушителей и указания потенциальных каналов утечки информации, Банк России приводит также широкий перечень действий, рекомендуемых для обеспечения необходимого и достаточного уровня предотвращения утечек информации. В частности, организациям рекомендуется обеспечить мониторинг и контроль использования различных сервисов и каналов электронных (сетевых) коммуникаций, канала печати, а также мониторинг, контроль, блокирование копирования информации на переносные носители информации.

Утечка информации является одной из наиболее актуальных угроз нарушения информационной безопасности, которую могут реализовать внутренние нарушители ИБ.
Защитой информации от утечек признается деятельность, направленная на предотвращение неконтролируемого предоставления или распространения информации конфиденциального характера.

Особо отмечается, что режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля рекомендуется определять в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей. При этом применение режима блокирования возможности использования потенциальных каналов утечки информации не отменяет целесообразность проведения службой информационной безопасности организации БС РФ регулярного контроля, направленного на корректность реализации процессов мониторинга и контроля потенциальных каналов утечки информации.

Кроме того, рекомендации указывают, что для большей эффективности в решении задачи предотвращения утечки информации рекомендуется реализация автоматизированного протоколирования и (или) блокирования передачи информации на основе контентного анализа передаваемой (переносимой) информации – в частности, при передаче информации на внешние адреса электронной почты, публикации в сети Интернет, включая социальные сети и форумы; при печати, сохранении на переносные носители информации и др. Что важно, контентный анализ рекомендуется использовать именно и непосредственно для реализации процессов мониторинга, контроля, блокирования использования каналов передачи информации, а не только для анализа архива электронных сообщений и файлов.

Инструмент предотвращения утечек

Программный комплекс DeviceLock DLP прежде всего ориентирован на предотвращение утечек данных, связанных с нарушениями со стороны именно внутренних пользователей корпоративных ИС, и потому является необходимым инструментом обеспечения информационной безопасности организаций, желающих успешно реализовать требования и пройти аудит соответствия стандартам Банка России. DeviceLock DLP контролирует перемещение (передачу) данных через локальные порты рабочей станции, съемные носители и каналы сетевых коммуникаций на основе гибких, персонализированных политик с использованием технологий контентной фильтрации. Каждый раз решение о том, чтобы разрешить или запретить доступ к устройству или сетевому протоколу, чтобы разрешить, запретить или сделать теневую копию передаваемого файла или документа, принимается автоматически в реальном времени на основании контекстных параметров и при необходимости – анализа содержимого перемещаемых данных.

* На правах рекламы

СМАРТ ЛАЙН ИНК, АО
107140 Москва,
1-й Красносельский пер., 3,
пом. 1, ком. 17
Тел.: (495) 647-9937
Факс: (495) 647-9938
E-mail: ru.sales@devicelock.com
devicelock.com/ru
www.smartline.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2016

Банк России поднимает требования по борьбе с утечками информации на уровень отраслевого стандарта