fbpx

НБУ выдвигает требования по администрированию банковских систем

Давайте вспомним наиболее известные хакерские атаки на украинские банки, такие как WannaCry и Petya.Not. Эти атаки были успешны для злоумышленников, и оказались большой проблемой для банковской отрасли, да и других отраслей бизнеса.

Можно заметить, что эти вирусы-шифровальщики использовали доступ к административным правам и захватили управление компьютерами с целью распространения копий вируса на другие компьютеры. Доступ к компьютеру администратора — это одно из необходимых действий, предназначенное для реализации коварных планов создателей и кураторов таких атак.

Чтобы в будущем избежать подобных инцидентов, Национальный банк Украины (НБУ) разработал и опубликовал Постановление №95 от 28.09.2017г.

Методологи НБУ при разработке данного постановления очень много внимания уделили регламентации работы системных администраторов с банковскими сетями и системами. Это очень разумно требовать от банков максимальной защиты компьютеров системных администраторов.

Администраторы информационных систем, также называемые пользователями, имеют привилегированный доступ в информационную структуру банка. Эти сотрудники имеют практически неограниченный доступ ко всем системам и, следовательно, ко всей информации, циркулирующей в банке. Не удивительно, что получение учётной записи администратора является заветной мечтой каждого хакера.

Мышление квартирного вора и хакера очень похожи. Одному необходимо взломать замок на входной двери, а другому — взломать доступ к компьютеру системного администратора, а дальше можно делать всё, что угодно!

Поэтому, привилегированные учётные записи необходимо тщательно защищать и контролировать их использование. Это одно из главных условий по обеспечению информационной безопасности.

Постановлене НБУ №95 должно положить конец безграничной свободе системных администраторов, так как его требования накладывают множество ограничений на их работу.

Возникли вопросы?

Свяжитесь с нами для консультации

В чём суть данных ограничений?

 

Первое ограничение.

Прежде всего, администраторам запрещено работать под стандартными административными учётными записями. Такие есть в каждой информационной системе и, как правило, называются они стандартно — Administrator, Admin, Root или Superuser.

Системный администратор банка должен работать под учётной записью обычного пользователя и переключаться на привилегированную учётную запись только при необходимости.

При этом его пароль должен быть на порядок сложнее, чем у обычных пользователей. Либо он обязан использовать для аутентификации электронный ключ.

 

Второе ограничение.

Рабочая станция администратора должна быть закреплена за ним персонально и любой доступ к критическим системам из дома или с других компьютеров банка должен быть строго запрещён.

  

Третье ограничение.

Если в банке работает несколько системных администраторов, их рабочие места должны быть перенесены в отдельную сеть. А эту сеть необходимо отделить от общей банковской сети с помощью межсетевого экрана с тем, чтобы предотвратить возможность проникновения в неё извне.

 

Четвёртое ограничение.

Часто производители оборудования и программ создают в своих системах административные учётные записи, установленные по умолчанию. Эти учётные записи используются для первичной настройки и должны быть отключены после введения системы в промышленную эксплуатацию. Системному администратору должно быть запрещено входить в систему под этими учётными записями для выполнения своих ежедневных задач.

Пятое ограничение.

Дополнительным требованием является обязательное использование промежуточного сервера для подключения к администрированным системам. Такой промежуточный сервер должен быть максимально защищён от атак и может использоваться для полного мониторинга всех действий администраторов.

 

Шестое ограничение.

Постановление НБУ №95 имеет ограничения на уровне бизнес-процессов. Системным администраторам запрещено принимать участие в формировании требований к защите информации, а также запрещено определять уровни критичности информационных систем.

Одному администратору не разрешается совмещать различные функции, такие как разработка, сопровождение, эксплуатация и контроль операций. Это требование достаточно сложно выполнить небольшим по размеру банкам, так как вместо 1-2 человек, необходимо иметь в штате 4-5 сотрудников, между которыми будут разделены полномочия.

Выше приведённые требования достаточно сложно реализовать в реальности, если учесть тот факт, что необходимо успеть в срок до 01.03.2018г.

Поэтому многие банки привлекают внешних профессиональных консультантов, имеющих опыт реализации систем контроля системных администраторов.

Компания «IТ Специалист» организовала процесс обеспечения безопасности административных функции для многих компаний и банков.

Мы готовы поделиться с вами успешными рецептами и решениями по выполнению требований Постановления №95 по администрированию банковских систем.

«IТ Специалист» — ваш надёжный партнёр в сфере информационной безопасности.

НБУ выдвигает требования по администрированию банковских систем обновлено: Июль 29, 2019 автором: Oleksandr Kubersky