14 сентября 2022

Применение UserGate в финансовых организациях

Кредитные организации и некредитные финансовые организации — цель киберпреступников номер один, поскольку они непосредственно связаны с денежными операциями и принесут прибыль хакерам. По данным Центрального Банка за полгода 2021 было совершено 168 атак на российские банки, в 2022 количество атак увеличилось в несколько раз. Часто атаки происходят не напрямую, а через партнеров и контрагентов банков.

В конце прошлого года стало известно, что кибермошенники успешно атаковали один из российских банков и выкрали более полумиллиарда рублей. Хакеры смогли проникнуть в сеть банка и ещё полгода оставаться незамеченными, изучая сеть организации изнутри.

К главным угрозам информационной безопасности для финансовых организаций относят: атаки хакеров и системные сбои. Важно научиться предвидеть именно эти риски и позаботиться о защите информации заранее. Необходим комплексный подход к защите технических средств, контроль за действиями сотрудников и построение SOC-центра для контроля и управления информационной безопасностью организации.

В статье вы узнаете, как:

  • Соблюсти актуальные требования регуляторов
  • Защитить финансовую организацию от кибератак
  • Построить понятную систему информационной безопасности

Законодательство по информационной безопасности в финансовых организациях

Развитие и укрепление банковской системы Российской Федерации, обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Банка России. Одним из основных условий реализации этих целей является обеспечение необходимого и достаточного уровня защиты информации в кредитных организациях, некредитных финансовых организациях РФ, а также субъектах национальной платежной системы (далее — финансовые организации).

Стоит отметить, что к финансовым организациям относятся кредитные (банки, займы и т.д.) и некредитные (страховые компании, пенсионные фонды и др.) организации.

Для финансовых организаций существует целый ряд нормативно-правовых документов, регламентирующих информационную безопасность. И некоторые организации до сих пор не понимают, каким требованиям им необходимо соответствовать.
Основным документов для финансовых организаций (а не только банков) по защите информации является ГОСТ Р 57580.1-2017.

ГОСТ Р 57580.1-2017

Данный стандарт распространяется на:

  • Банки;
  • Небанковские кредитные организации;
  • Некредитные финансовые организации;
  • и т.д.

Он определяет уровни защиты информации и соответствующие им требования к содержанию состава мер по защите информации.

В стандарте определено 3 уровня защиты информации. Уровень защиты информации для конкретного контура безопасности устанавливается нормативным актами Банка России.

Каждый из уровней устанавливается для определенного контура безопасности. Примерами таких контуров безопасности могут быть:

  • Работы с карточными данными;
  • Управление банкоматной сетью и платежными терминалами;
  • Системы взаимодействия с платежными системами (ССНП, СБП и др);
  • Технологический участок обработки персональных данных в ЕБС;
  • Другие.

Также данные уровни защиты сопоставимы с уровнями защищенности персональных данных. Сопоставление показано в таблице.
Базовые требования в ГОСТ 57580.1 подразделяются на три направления:

1. Требования к системе защиты информации;

2. Требования к организации и управлению защитой информации (Plan-Do-Check-Act);

3. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.

Мы же в статье подробно разберем первое направление – требования к системе защиты информации.

Требования к системе защиты в ГОСТ 57580.1-2017

Требования к защите информации в стандарте подразделяются на 8 процессов. Некоторые из них содержат подпроцессы:
Для каждого подпроцесса предусмотрен состав мер, который выглядит следующим образом:
Виды требований:

Т – выполняются с помощью технических средств.

О – выполняются с помощью организационных средств.

Н – необязательные меры.

Всего в документе перечислено 343 меры к системе защиты информации.

Теперь рассмотрим, как под эти требования подходит UserGate.

Процесс 1 – «Обеспечение защиты информации при управлении доступом»

UserGate позволяет осуществлять идентификацию, аутентификацию, авторизацию и разграничение доступа при осуществлении логического доступа.
Аутентификация пользователей и применение к пользователям правил межсетевого экранирования, контентной фильтрации, контроля приложений возможна с поддержкой:

  • Active Directory;
  • Kerberos;
  • RADIUS;
  • TACACS +;
  • Captive Portal.

Также возможно использование многофакторной аутентификации, как для локальных, так и для удаленных пользователей.

Процесс 2 – «Обеспечение защиты вычислительных сетей»

UserGate позволяет выполнять требования таких подпроцессов как:

1. Сегментация и межсетевое экранирование вычислительных сетей;

2. Выявление сетевых вторжений и атак;

3. Защита информации, передаваемой по вычислительным сетям;

4. Защита беспроводных сетей.
Usergate используют зоны интерфейсов, а не непосредственно интерфейсы. Это дает необходимую гибкость политикам безопасности.

По умолчанию в Usergate представлены следующие зоны:

Management

Представляет собой зону для подключения доверенных сетей, для администрирования Usergate.

Trusted

Представляет собой зону для подключения доверенных сетей (LAN-сети).

Untrusted

Представляет собой зону для подключения к недоверенным сетям (Интернет).

DMZ

Представляет собой зону для интерфейсов, подключенных к общедоступному сегменту корпоративной сети (общедоступный веб-сервер, общедоступный почтовый сервер и т.д.).

VPN for Site-to-Site

Зона для организации Site-to-Site VPN.

VPN for remote access

Зона для организации Remote access VPN.

Cluster

Зона для интерфейсов, используемых для работы кластера.

Таким образом можно сегментировать сетевые объекты:
С помощью политик сети администратор может настроить необходимый доступ в интернет для пользователей, опубликовать внутренние ресурсы сети в интернете и управлять скоростью передачи данных для определенных сервисов и приложений.
Встроенный модуль системы обнаружения и предотвращения вторжений (СОВ) позволяет реагировать на атаки злоумышленников, использующих известные уязвимости
UserGate позволяет создавать списки гостевых пользователей. Данная возможность может быть полезна для гостиниц, публичных Wi-Fi, сетей интернет, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время.

Процесс 4 – «Защита от вредоносного кода»

UserGate может обеспечивать защиту от вредоносного кода в финансовых организациях
В UserGate встроен модуль потокового антивируса, который позволяет проверять трафик на наличие вредоносных активностей.
Предусмотрен вариант с передачей веб и почтового трафика на внешние серверы ICAP для антивирусной проверки.

Процесс 6 – «Управление инцидентами защиты информации»

UserGate позволяет осуществлять:

1. Мониторинг и анализ событий защиты информации;

2. Обнаружение инцидентов защиты информации и реагирование на них.
У UserGate существует собственная система мониторинга – UserGate Log Analyzer. C помощью LogAn можно выполнить следующие задачи:

  • Мониторинг внешней и внутренней сетей;
  • Сбор логов с сетевых устройств для анализа информации;
  • Построение автоматизированной системы отчетности.
Одним из возможных сценариев использования UserGate Log Analyzer является построение комплексной системы мониторинга и реагирования.

Основные системы, входящие в комплекс мониторинга и реагирования:

  • Системы управления журналами событий (Log Management);
  • Системы сбора и корреляции событий информационной безопасности (SIEM);
  • Системы обнаружения и предотвращения вторжений (IDS/IPS);
  • Системы управления, автоматизации и реагирования на инциденты информационной безопасности (SOAR);
  • Системы управления информационной безопасностью, рисками и соответствием законодательству;
  • Средства и системы защиты и мониторинга, встроенные в ОС и оборудование, которые подключаются в качестве источников событий информационной безопасности к LM/SIEM-системам.
На момент публикации статьи Log Analyzer является LM-системой, но планируется расширить функционал до полноценной SIEM-системы.

Процесс 7 – «Защиты среды виртуализации»

Для обеспечения должного уровня защиты информации при использовании технологии виртуализации UserGate позволяет осуществлять:

1. Идентификацию, аутентификацию, авторизацию (разграничение доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации;

2. Сегментацию и межсетевое экранирование вычислительных сетей.
Межсетевой экран UserGate может поставляться в виртуальном исполнении, поэтому все функции безопасности могут быть применимы и для защиты виртуальных машин.

Процесс 8 – «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»

Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств должны обеспечивать:

1. Защиту информации от раскрытия и модификации при осуществлении удаленного доступа;

2. Защиту внутренних вычислительных сетей при осуществлении удаленного доступа;

3. Защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.
В UserGate поддерживается работа сотрудников с персональных устройств, принадлежащих самим сотрудникам. Это так называемая поддержка устройств BYOD (Bring Your Own Device). UserGate дает администратору возможность управлять BYOD устройствами, например, установив ограничения на типы разрешенных устройств, на количество устройств, с которых пользователь может получить доступ к сети одновременно, или указав конкретные устройства, с которых будет разрешен доступ в интернет.
Еще одной возможностью для работы с использованием личных устройств является веб-портал, реализованный по технологии SSL VPN. Веб-портал позволяет предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS. Данная технология не требует установки специального клиента VPN, будет достаточно обычного браузера.

Сертификация продуктов UserGate

UserGate NGFW обладает сертификатами ФСТЭК России:

  • По 4 уровню доверия к средствам технической защиты информации;
  • По требованиям к профилям защиты межсетевых экранов типа «А», «Б» и «Д» 4 класса защиты;
  • Системам обнаружения вторжений 4 класса защиты.

UserGate NGFW занесён в Реестр отечественного ПО Минкомсвязи (№ записи 1194), а недавно Минпромторг России включил новые аппаратные платформы UserGate C150 в единый реестр российской радиоэлектронной промышленности.
30 марта 2022 года президент России Владимир Путин подписал указ, запрещающий закупать иностранный софт для критической информационной инфраструктуры (КИИ), к которым могут быть отнесены банковская сфера и иные сферы финансового рынка.

Поэтому сертификация по вышеперечисленным требованиям и наличие в Реестре отечественного ПО Минкомсвязи делает возможным использование UserGate в финансовых организациях.

Заключение

Финансовые организации обрабатывают большие объемы денежных средств, поэтому необходимо минимизировать риски, выполняя требования регуляторов и решая проблемы практической защиты информации.

Продукты UserGate позволяют соответствовать требованиям регуляторов и решать проблемы комплексной защиты информации от различных угроз.

Связка UserGate NGFW и UserGate Log Analyzer позволит организовать центр реагирования и мониторинга на инциденты информационной безопасности, отслеживать и контролировать все критичные бизнес-процессы.

Автор статьи: Дмитрий Лебедев, инженер TS Solution