НБУ выдвигает требования по администрированию банковских систем

Давайте вспомним наиболее известные хакерские атаки на украинские банки, такие как WannaCry и Petya.Not. Эти атаки были успешны для злоумышленников, и оказались большой проблемой для банковской отрасли, да и других отраслей бизнеса.

 

Можно заметить, что эти вирусы-шифровальщики использовали доступ к административным правам и захватили управление компьютерами с целью распространения копий вируса на другие компьютеры. Доступ к компьютеру администратора - это одно из необходимых действий, предназначенное для реализации коварных планов создателей и кураторов таких атак.

 

Чтобы в будущем избежать подобных инцидентов, Национальный банк Украины (НБУ) разработал и опубликовал Постановление №95 от 28.09.2017г.

 

Методологи НБУ при разработке данного постановления очень много внимания уделили регламентации работы системных администраторов с банковскими сетями и системами. Это очень разумно требовать от банков максимальной защиты компьютеров системных администраторов.

 

Администраторы информационных систем, также называемые пользователями, имеют привилегированный доступ в информационную структуру банка. Эти сотрудники имеют практически неограниченный доступ ко всем системам и, следовательно, ко всей информации, циркулирующей в банке. Не удивительно, что получение учётной записи администратора является заветной мечтой каждого хакера.

 

Мышление квартирного вора и хакера очень похожи. Одному необходимо взломать замок на входной двери, а другому - взломать доступ к компьютеру системного администратора, а дальше можно делать всё, что угодно!

 

Поэтому, привилегированные учётные записи необходимо тщательно защищать и контролировать их использование. Это одно из главных условий по обеспечению информационной безопасности.

 

После выхода Постановления НБУ №95 безграничной свободе системных администраторов должен быть положен конец, так как требования этого Постановления накладывают множество ограничений на их работу.

Возникли вопросы?

 

 

Свяжитесь с нами для консультации

В чём суть данных ограничений?

 

Первое ограничение.

 

Прежде всего, администраторам запрещено работать под стандартными административными учётными записями. Такие есть в каждой информационной системе и, как правило, называются они стандартно - Administrator, Admin, Root или Superuser.

 

Системный администратор банка должен работать под учётной записью обычного пользователя и переключаться на привилегированную учётную запись только при необходимости.

 

При этом его пароль должен быть на порядок сложнее, чем у обычных пользователей. Либо он обязан использовать для аутентификации электронный ключ.

 

Второе ограничение.

 

Рабочая станция администратора должна быть закреплена за ним персонально и любой доступ к критическим системам из дома или с других компьютеров банка должен быть строго запрещён.

  

Третье ограничение.

 

Если в банке работает несколько системных администраторов, их рабочие места должны быть перенесены в отдельную сеть. А эту сеть необходимо отделить от общей банковской сети с помощью межсетевого экрана с тем, чтобы предотвратить возможность проникновения в неё извне.

 

Четвёртое ограничение.

 

Часто производители оборудования и программ создают в своих системах административные учётные записи, установленные по умолчанию. Эти учётные записи используются для первичной настройки и должны быть отключены после введения системы в промышленную эксплуатацию. Системному администратору должно быть запрещено входить в систему под этими учётными записями для выполнения своих ежедневных задач.

 

Пятое ограничение.

 

Дополнительным требованием является обязательное использование промежуточного сервера для подключения к администрированным системам. Такой промежуточный сервер должен быть максимально защищён от атак и может использоваться для полного мониторинга всех действий администраторов.

 

Шестое ограничение.

 

В Постановлении НБУ №95 есть ограничения на уровне бизнес-процессов. Системным администраторам запрещено принимать участие в формировании требований к защите информации, а также запрещено определять уровни критичности информационных систем.

 

Одному администратору не разрешается совмещать различные функции, такие как разработка, сопровождение, эксплуатация и контроль операций. Это требование достаточно сложно выполнить небольшим по размеру банкам, так как вместо 1-2 человек, необходимо иметь в штате 4-5 сотрудников, между которыми будут разделены полномочия.

 

Выше приведённые требования достаточно сложно реализовать в реальности, если учесть тот факт, что необходимо успеть в срок до 01.03.2018г.

 

Поэтому многие банки привлекают внешних профессиональных консультантов, имеющих опыт реализации систем контроля системных администраторов.

 

Компания «IТ Специалист» организовала процесс обеспечения безопасности административных функции для многих компаний и банков.

 

Мы готовы поделиться с вами успешными рецептами и решениями по выполнению требований Постановления №95 по администрированию банковских систем.

 

«IТ Специалист» - ваш надёжный партнёр в сфере информационной безопасности.

НБУ выдвигает требования по администрированию банковских систем обновлено: Январь 17, 2018 автором: Oleksandr Kubersky