контроль эс на наличие вредоносного кода
Вредоносный код: как обезопасить свой сайт
Из этого материала вы узнаете:
Атаки на интернет-ресурсы, как правило, происходят массово. Злоумышленник пишет специальный скрипт, через который внедряет на сервер вредоносный код. Это становится возможным, поскольку у любой системы управления сайтом есть слабое звено. Скрипт находит уязвимое место и через него загружает свои файлы. Таким атакам подвергается огромное количество сайтов, на многих из них код благополучно устанавливается. Большинство людей заблуждаются, считая, что вредоносный код — это вирус. Однако вирусы не представляют такую опасность. В статье мы рассмотрим этот вопрос более подробно.
Что такое вредоносный код
Вредоносный код наносит непоправимый вред ПК, поэтому программы с его использованием считаются противозаконными. От вредоносного следует отличать ошибочный код. Последствия, конечно, будут схожими, но в последнем случае нет злого умысла, так как ошибка в коде была допущена случайно. Если это повлечет за собой правовую ответственность, то будет квалифицировано как причинение ущерба по причине некомпетентности.
Такие ошибки могут сделать недостаточно квалифицированные специалисты, поэтому органам власти стоит задуматься над тем, как не допустить распространения программного обеспечения, неумелые манипуляции с которым влекут за собой серьезные последствия для социума. Такие ситуации нередко происходили еще до того, как мир узнал о существовании вредоносного кода.
Вредоносная программа выглядит как некий шифр из букв и символов, прописанных на латинице. За ним скрывается закодированное действие, которое выполняется при атаке на сайт. Например, весь новый контент, который вы создаете для своего ресурса, будет размещаться на другой площадке. Или же на вашем сайте опубликуют исходящие ссылки. Кроме кражи материалов, хакеры могут совершить самые коварные действия. Поэтому вредоносный программный код необходимо найти и ликвидировать.
Кто может заразить сайт
Как вредоносная программа попадает на сайт? Есть несколько вариантов. Расскажем об основных.
Как правило, все руководители в такой ситуации начинают подозревать своих конкурентов. Они думают, что противники специально заносят вредоносный код на сайт, чтобы упала посещаемость. Но в реальности атаки такого рода случаются довольно редко. Мошенникам интересны в первую очередь организации вроде Пентагона и крупных банков. Веб-ресурс небольшой компании для них особой выгоды не несет.
Злоумышленники атакуют сразу множество сайтов. Опасные файлы попадают на сервер через уязвимое место в CMS. Специальный скрипт находит в Сети веб-ресурсы, которые работают на данной модели CMS, и совершает попытки разместить на них вредоносный программный код. Иногда такие попытки заканчиваются успешно.
Есть несколько схем, как на сайты внедряют зараженные файлы:
Удалить вредоносный код сложно, особенно если делать это вручную. Какие решения существуют? Во-первых, можно использовать антивирусники. Например, есть плагин BulletProof Security. Однако на борьбу с вирусом придется потратить какое-то время. Более действенный метод, который помогает ликвидировать даже сложные коды, — восстановление сайта из предварительно сделанных копий. Если ресурсом занимался профессионал, то, скорее всего, он время от времени делал бэкапы. Таким образом, можно найти версию сайта, когда он еще не был заражен вирусом. Ну а если вы готовы заплатить много денег и не хотите сами возиться с этой проблемой, обратитесь в фирму, которая занимается такими вопросами, или к фрилансеру.
Как понять, присутствует ли на сайте вредоносный код
Существуют разные способы, как найти вредоносный код.
И Google, и «Яндекс» отмечают зараженные веб-ресурсы. Чтобы узнать, в порядке ли ваш сайт, введите в строку поиска его название. Если на площадке есть вредоносный код, поиск будет содержать предупреждение.
В случае с Google вообще невозможно попасть на зараженный сайт через браузер Chrome. Вы увидите предупреждение об этом.
Сканеров для этой цели существует множество. Обычно они бесплатны и запускаются вручную при необходимости. Иногда они обнаруживают не все вирусы, поскольку не могут проверить файлы напрямую. Но в любом случае сканеры отреагируют, если есть проблема. Погрешности также бывают, и программа может по ошибке сообщить, что обнаружен вредоносный код. В Рунете для проверки сайтов чаще всего используют virustotal.com. Это система, которая направляет ваш ресурс для проверки в разные сканеры. Из зарубежных аналогов подобную функцию выполняют quttera.com и sitecheck.sucuri.net.
Рекомендуемые статьи по данной теме:
На сайте неожиданно могут появиться лишние страницы или статьи, которые вы не публиковали. Материалы обычно не соответствуют теме площадки. Например, на ресурсе для автолюбителей можно обнаружить информацию о косметике для лица. Статьи могут размещаться со старой датой, чтобы их нашли гораздо позже. Можно заподозрить заражение вредоносным кодом, если какой-нибудь официальный документ или материал, опубликованный в 2019, будет датироваться 2012 годом. Это сигнализирует о том, что веб-ресурс подвергся атаке.
Чем опасен вредоносный код для сайта
Если ваш ресурс имеет вредоносный код, «Яндекс» и Google определят это и занесут его в специальную базу. Из-за этого трафик вашего сайта существенно уменьшится. А пользователи Google Chrome и вовсе не смогут зайти на него. Браузер Firefox также может запретить доступ к порталу, если получит информацию о заражении через службу мониторинга.
Если злоумышленники делают с вашей площадки массовую рассылку, то будьте готовы столкнуться со следующими неприятностями:
Что делать, если сайт заражен
Есть несколько вариантов, как обезопасить сайт от заражения.
Для того чтобы найти вредоносный код, используют специальные программы. Но не рекомендуем удалять код самостоятельно, так как можно случайно стереть нужные файлы. Для этой работы пригласите специалиста, которому необходимо обеспечить доступ к серверным файлам. Доступ может дать компания, предоставляющая хостинг.
Не забудьте сделать резервную копию сайта. Такая предосторожность выручит, если программист допустит ошибку. После того как он закончит свою работу, еще раз скопируйте ресурс. Не зараженный вирусом вариант всегда пригодится, если сайт еще раз подвергнется атаке.
После того как вредоносный код будет удален, установите обновления системы управления сайтом. В противном случае мошенники через некоторое время снова смогут разместить на сайте вирус. Также необходимо обновить все компоненты, установленные дополнительно. Вы никогда не сможете точно определить, где в CMS находится уязвимое место, через которое на сайт попадают опасные файлы.
Существуют сканеры, которые помогают проверить сайт на вредоносный код онлайн. Их устанавливают на своём веб-ресурсе. Один из таких инструментов — virusdie.ru. Его задача — при обнаружении вредоносного кода оповестить об этом владельца сайта. Считается, что подобные виртуальные инструменты могут не только находить вирус, но и удалять его. Однако пока что данная функция не зарекомендовала себя.
Если поисковая система посчитала ваш ресурс вредоносным и отправила его в список зараженных сайтов, напишите в техподдержку о том, что вы уже ликвидировали проблему. Так сайт быстрее исключат из базы. Последствия могут быть особенно неприятными, если поисковики и браузеры запрещают веб-ресурс к показу в выдаче.
Как искать вредоносный код без антивирусов и сканеров
Как бы вы ни пытались защитить свой сайт, всегда существует риск, что его взломают. После удачной атаки на ресурс злоумышленники внедряют в системные директории свои веб-шеллы и загружают бэкдоры в базу данных системы управления сайтом и в код скриптов.
Найти вредоносный код в базе и файлах можно с помощью специальных антивирусных программ и сканеров хостинга. Их существует не так уж и много. Вот самые известные: MalDet (Linux Malware Detector), ClamAv, AI-BOLIT.
Сканеры находят опасные скрипты, которые включены в базу сигнатур вредоносного кода: фишинговые страницы, рассыльщики спама, бэкдоры, веб-шеллы. AI-BOLIT и другие подобные сканеры благодаря набору эвристических правил способны отследить файлы с сомнительным кодом, который встречается в зараженных скриптах, или файлы с подозрительными атрибутами, которые могут быть внедрены злоумышленниками. Но даже если для мониторинга хостинга вы применяете несколько сканеров, существует вероятность, что они пропустят вредоносный скрипт и хакеры получат доступ к файловой системе сайта.
Вредоносные скрипты, которые программисты пишут сейчас, стали более совершенными, чем пять лет назад. Для того чтобы вирус было сложнее обнаружить, разработчики используют несколько техник сразу: шифрование, декомпозицию, обфускацию, внешнюю подгрузку. Это снижает эффективность современных антивирусников.
Так как найти вредоносный код на сайте и не пропустить ни одного хакерского скрипта на хостинге? Нужно применить тот же подход, что используют злоумышленники, — комплексную защиту. Это означает, что сначала сайт необходимо просканировать автоматически, а затем сделать анализ вручную. Далее расскажем о том, как искать зараженный код без сканеров.
Разберемся, что стоит искать при проверке на вредоносный код.
Чаще всего взломщики сайта размещают скрипты для спам-рассылок, бэкдоры, веб-шеллы, фишинговые страницы и обработчики форм, дорвеи и различные элементы вроде текстового послания от хакеров или изображений с логотипом их команды.
База данных — это еще одно популярное место для атаки хакерами. Они могут внедрить сюда статические элементы
Кейсы для применения средств анализа сетевых аномалий: обнаружение распространения вредоносного кода
Продолжу рассмотрение кейсов, связанных с применением решений по мониторингу ИБ с помощью решения класса NTA (Network Traffic Analysis). В прошлый раз я показал, как можно обнаруживать утечки информации, а в этот раз поговорим о выявлении вредоносного кода внутри корпоративной или ведомственной сети.
А что сложного в обнаружении вредоносного кода? Поставили антивирус и он ловит любые вредоносы. Увы! Если бы было все так просто, то, наверное, можно было бы навсегда и забыть про эту проблему, но нет… Число успешных заражений вредоносным кодом меньше не становится, а все потому, что злоумышленники постоянно меняют свои техники и тактики, модифицируют вредоносное ПО, используют бестелесных вредоносов, используют легальные утилиты для администрирования (тот же PowerShell)… И это если не рассматривать ситуации, когда на отдельных узлах либо вовсе нет антивируса (айтишники не хотят его ставить, потому что он тормозит), либо для данной платформы его просто не существует. А может быть и такая ситуация, с которой мне приходилось сталкиваться неоднократно в разных компаниях. Топ-менеджер подхватывает вредонос на свой домашний ноутбук или планшет и притаскивает его в компанию, чтобы местные айтишники разобрались. Устройство подключается к местному Wi-Fi и именно так начинается внутренняя эпиидемия; даже в изолированной от Интернет сети. В любом случае антивирус далеко не всегда является спасением от современного вредоносного кода и нам нужны и иные методы для обнаружение плохих парней в нашей сети.
Чем характеризуется современный вредоносный код? Есть ли какие-то признаки, которые могут подсказать нам, что в нашей сети происходит что-то не то и к нам все-таки попала какая-то зараза? Если не брать в расчет классические вирусы, которые не имеют функции самостоятельного распространения по сети (а вы давно видели классические вирусы), то среди признаков, которые могут характеризовать наличие в сети вредоносного кода, я бы назвал следующие:
Чем отличается обычное сканирование, например, сканером безопасности, от сканирования, осуществляемого вредоносным кодом? В первом случае, в большинстве ситуаций, осуществляется перебор открытых портов на одном компьютере, потом на другом, на третьем и так далее. Такие попытки идентифицировать достаточно легко. Несложно определить, когда сканер просто проверяет всего один открытый порт в диапазоне адресов. У вредоносного же кода принцип работы другой — он сканирует узлы, находит уязвимые, перебирается на них, вновь сканирует, вновь находит уязвимые и так далее.
Именно такое развитие мы и можем распознать с помощью специальных алгоритмов, заложенных в NTA.
Дополнительной подсказкой нам служит роль компьютеров, с которых зафиксировано сканирование, — во всех случаях это рабочие станции сотрудников отдела продаж и маркетинга, которые сканируют целые подсети, логически относящиеся также к подразделению продаж.
Найдя одну точку заражения с последующим распространением вредоносного кода:
Мы можем попытаться найти и остальные потенциальные жертвы вредоносного кода:
Правильно настроив систему анализа аномалий, в следующий раз мы можем уже не проводить отдельных расследований, отвечающих на вопрос, есть у нас в сети сканирование или нет? Достаточно будет просто увидеть на главной консоли соответствующий индикатор тревоги (recon):
и кликнув на него, получить список всех, кто замечен в “противоправных” компьютерных действиях (кстати, первая иллюстрация в этой статье показывает другой способ визуализации масштаба распространения вредоносного кода).
Стоит напомнить, что казалось бы простое сканирование может быть первым сигналом для более серьезных проблем. Если фишинговые письма являются одним из первых шагов, с которых злоумышленники начинают свою деятельность, то заразив один компьютер, они расширяют свой плацдарм и основной способ сделать это начинается как раз со сканирования. Так действовал WannaCry, так действовал Shamoon, так действуют сотни других вредоносных программ, повлекших за собой серьезные инциденты.
Зафиксировав факт сканирования и распространения вредоносного кода, перед нами встает задача — провести более детальное расследование и понять, не был ли какой узел уже заражен, чем заражен, когда и т.п.? Само по себе решение класса NTA это сделать не может, так как по одной телеметрии на эти вопросы не ответишь. Но в случае с Cisco Stealthwatch нам на помощь придет бесплатное решение Cisco Threat Response, ооб интеграции с которым я уже рассказывал. Нам достаточно кликнуть на интересующем нас узле и в выпадающем контекстном меню мы увидим возможность запуска CTR, который в свою очередь может собрать информацию об интересующем нас узле из различных систем — Cisco AMP for Endpoints, Cisco Umbrella, Cisco Talos и т.п.
Вот как может выглядеть картина, которую отобразит бесплатный Cisco Threat Response, опираясь на свои возможности по обогащению и визуализации событий безопасности:
CTR нам может показать вредоносные файлы, ассоциированные с интересующим нас узлом, которые мы можем проверить через песочницу Cisco Threat Grid или сервис VirusTotal. Имея данные по одному узлу, мы можем увидеть с кем он взаимодействовал или взаимодействует в рамках инцидента, откуда началась атака, какой вредоносной код в ней задействован, как произошло проникновение внутрь сети и ответить на многие другие вопросы, которые интересуют аналитика ИБ.
А затем мы можем уже проводить дополнительную проверку полученных артефактов с помощью внешних сервисов Threat Intelligence, которые могут нам предоставить больше индикаторов компрометации, больше информации об атакующих, больше информации об используемых ими техниках и тактиках. А все началось с простого сканирования сети, обнаруженного решением по анализу аномалий с помощью Netflow (или иного flow-протокола).
Контроль эс на наличие вредоносного кода
(1).jpg "контроль эс на наличие вредоносного кода. p1110798(1)(1). контроль эс на наличие вредоносного кода фото. контроль эс на наличие вредоносного кода-p1110798(1)(1). картинка контроль эс на наличие вредоносного кода. картинка p1110798(1)(1). Из этого материала вы узнаете:")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Письмо Банка России от 24 марта 2014 г. № 49-т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
В связи с участившимися случаями воздействия на программное обеспечение компьютеров, банковских автоматизированных систем и информационно-телекоммуникационных сетей кредитных организаций, осуществляемого с применением вредоносного кода, следствием которого является нарушение их функционирования и финансовые потери кредитных организаций и их клиентов, в целях защиты интересов кредиторов и вкладчиков, а также повышения качества управления в кредитных организациях банковскими рисками (операционным, правовым, стратегическим, риском потери деловой репутации (репутационным риском) и риском ликвидности) Банк России направляет Рекомендации по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности.
Территориальным учреждениям Банка России довести настоящее письмо до сведения кредитных организаций.
Настоящее письмо подлежит опубликованию в “Вестнике Банка России”.
Приложение: на 15 л.
| Первый заместитель председателя Банка России | А.Ю. Симановский |
Приложение
к письму Банка России
от 24 марта 2014 г. № 49-Т
Рекомендации
по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности
Раздел 1. Общие положения
1.2.В целях настоящих Рекомендаций используются следующие понятия:
Раздел 2. Организация применения средств защиты от ВК
2.1. Учитывая расширение применения систем ДБО, кредитным организациям рекомендуется обеспечивать надежное и эффективное противодействие атакам ВК, совершенствуемым по способам распространения и воздействия на автоматизированные системы, ПО, средства вычислительной техники, телекоммуникационное оборудование кредитной организации, на основе организации постоянного применения мер защиты от ВК, включающих нижеперечисленные.
серверов, предназначенных для хранения информационных файлов (файловых серверов) и централизованного доступа к ним;
серверов баз данных;
серверов, обеспечивающих представительство кредитной организации в сети Интернет (Web-, FTP-, proxy-серверов, серверов доменных имен (DNS) и тому подобное);
банкоматов, платежных терминалов и тому подобное.
2.1.2. Закрепление функций по осуществлению защиты от ВК, а также по контролю над ее состоянием в положениях о структурных подразделениях кредитной организации, к компетенции которых отнесены: применение информационных технологий, обеспечение информационной безопасности и внутренний контроль, а также в должностных инструкциях работников кредитной организации, осуществляющих данные функции, и всех работников, имеющих доступ к компьютерам и объектам защиты.
2.1.3. Регулярное проведение обучающих мероприятий и контроля знаний работников кредитной организации по тематике защиты от ВК.
2.1.4. Регламентация и контроль выполнения порядка доведения до органов управления кредитной организации результатов осуществления мер защиты от ВК, сведений о предотвращенных и (или) состоявшихся атаках ВК, а также об их последствиях.
2.1.6. Регламентация и контроль выполнения мер защиты от ВК в части обезвреживания выявленного ВК и устранения последствий его воздействия на деятельность кредитной организации.
2.1.7. Организация функционирования постоянной защиты от ВК в автоматическом режиме и использование средств централизованного контроля и управления средствами антивирусной защиты.
2.1.8. Сочетание дистанционного (осуществляемого централизованно через информационно-телекоммуникационные сети кредитной организации со специально организованного управляющего АРМ) и локального контроля ВК (осуществляемого непосредственно на серверах различного назначения, рабочих станциях и АРМ администраторов банковских автоматизированных систем, информационной безопасности, баз данных, информационно-телекоммуникационных сетей кредитной организации, систем ДБО и тому подобное).
2.1.9. Организация функционирования рабочих станций автоматизированных систем с наделением пользователей этих рабочих станций минимально необходимыми для выполнения их функций правами и исключением их учетных записей из группы локальных администраторов.
2.1.10. Использование средств защиты от ВК различных организаций-производителей или поставщиков и их раздельная установка на следующих группах средств вычислительной техники и объектов защиты:
— маршрутизаторы и межсетевые экраны.
2.1.11. Проведение испытаний приобретаемых средств защиты от ВК на совместимость со средствами вычислительной техники и объектами защиты, используемыми в кредитной организации, с другими средствами защиты от ВК, согласно разработанным и утвержденным регламентам. По результатам испытаний рекомендуется определять оптимальные настройки средств защиты от ВК для каждого средства вычислительной техники и объекта защиты с учетом особенностей технологии осуществляемого на нем процесса.
2.1.12. Регулярный контроль целостности и работоспособности защитного ПО (согласно разработанному и утвержденному регламенту).
2.1.13. Осуществление в автоматическом режиме обновления баз данных ВК средств защиты от ВК по мере их размещения (обновления) разработчиками средств защиты от ВК.
2.1.14. Осуществление фильтрации ВК во всех сообщениях электронной почты кредитной организации (применение защитных почтовых шлюзов).
2.1.15. Применение автоматизированных средств обобщения и анализа информации, фиксируемой в журналах протоколирования работы защитного ПО.
2.1.16. Заключение договоров (соглашений) с провайдерами*(2) доступа к сети Интернет, предусматривающих осуществление ими фильтрации ВК в информационных потоках, поступающих от них в кредитную организацию.
2.1.17. Организация в кредитной организации специальных АРМ, обособленных от информационно-телекоммуникационных сетей, в том числе от сети Интернет, и оснащенных всеми используемыми в кредитной организации средствами защиты от ВК. Рекомендуется использовать указанные АРМ для проведения дополнительного системно-независимого контроля на наличие ВК носителей информации, встроенных в средства вычислительной техники и в объекты защиты кредитной организации. Системно-независимому контролю на наличие ВК целесообразно подвергать носители информации, в отношении которых есть основания предполагать наличие ВК, не обнаруживаемого средствами защиты от ВК соответствующих средств вычислительной техники и объектов защиты кредитной организации. Также рекомендуется осуществлять системно-независимый контроль на наличие ВК съемных машинных носителей информации перед их использованием на средствах вычислительной техники и объектах защиты кредитной организации. Системно-независимый контроль на наличие ВК осуществляется под управлением операционной системы, загружаемой с носителя информации, заведомо не содержащего ВК.
2.1.18. Осуществление контроля использования съемных носителей информации с использованием организационных мер и специализированных средств, осуществляющих централизованный мониторинг подключаемых устройств, ограничение использования съемных носителей информации.
2.1.19. Регламентация состава и правил использования автоматизированных систем, ПО, средств вычислительной техники, телекоммуникационного оборудования кредитной организации на всех этапах их создания и эксплуатации в части обеспечения защиты от ВК в интересах выявления в составе ПО “посторонних” программных модулей, не-регламентированных процессов в оперативной памяти средств вычислительной техники и признаков некорректного функционирования ПО, что может свидетельствовать о воздействии ВК.
2.1.20. Регулярный контроль (предпочтительно не реже одного раза в месяц) состава и целостности ПО автоматизированных систем, средств вычислительной техники, телекоммуникационного оборудования кредитной организации, а также выполнения правил его использования в части обеспечения защиты от ВК (согласно разработанному и утвержденному регламенту).
2.1.21. Регламентация правил создания, ведения и защиты от несанкционированного доступа резервных копий и архивов баз данных автоматизированных систем, телекоммуникационного оборудования кредитной организации, а также эталонных и рабочих копий системного и прикладного ПО автоматизированных систем.
2.1.22. Регулярный контроль (предпочтительно не реже одного раза в год) выполнения правил создания, ведения и защиты от несанкционированного доступа резервных копий и архивов баз данных автоматизированных систем, телекоммуникационного оборудования кредитной организации, а также эталонных и рабочих копий системного и прикладного ПО автоматизированных систем.
2.1.23. Разделение информационно-телекоммуникационных сетей кредитной организации на подсети (сегменты) по их функциональному назначению, по степени критичности влияния на выполнение бизнес-процессов и с учетом подверженности воздействию ВК с целью ограничения возможностей его распространения.
2.1.24. Использование средств анализа наличия на средствах вычислительной техники и объектах защиты неустраненных недостатков системного и прикладного ПО в части защиты от ВК.
2.1.25. Использование рабочих станций кредитной организации в терминальном режиме (с ограниченными функциональными возможностями) для обеспечения доступа к сети Интернет через специально выделенный сервер, целостность системного ПО которого регулярно контролируется согласно разработанному и утвержденному регламенту.
2.1.26. Разработка и тестирование планов по локализации средств вычислительной техники и объектов защиты кредитной организации, подвергшихся воздействию ВК, и последующему восстановлению работоспособности этих средств вычислительной техники и объектов защиты.
Раздел 3. Функции органов управления кредитной организации в части организации защиты от ВК
3.1. В связи с возрастанием значимости противодействия в банковской деятельности угрозам, обусловленным распространением ВК, ориентированного на автоматизированные системы, ПО, средства вычислительной техники, телекоммуникационное оборудование кредитных организаций, органам управления кредитной организации целесообразно организовать:
3.1.1. Оценку защищенности от ВК автоматизированных систем, ПО, средств вычислительной техники, телекоммуникационного оборудования кредитной организации.
3.1.2. Оценку банковских рисков (операционного, правового, стратегического, потери деловой репутации (репутационного риска) и ликвидности), связанных с недостаточной защищенностью от ВК автоматизированных систем, ПО, средств вычислительной техники, телекоммуникационного оборудования кредитной организации, а также финансовых затрат на хеджирование указанных рисков и на необходимые организационно-технические мероприятия по защите от ВК.
3.1.3. Прогнозирование возможных неблагоприятных изменений ситуации с атаками ВК, вариантов реагирования кредитной организации на эти изменения и, при необходимости, оценку предполагаемых финансовых затрат для обеспечения мер защиты от ВК.
3.1.4. Определение лица, ответственного за организацию защиты от ВК (из числа заместителей единоличного исполнительного органа), а также структурных подразделений, участвующих в осуществлении защиты от ВК, к компетенции которых отнесены применение информационных технологий, обеспечение информационной безопасности и внутренний контроль (целесообразна подготовка плана организации защиты от ВК и возложение обязанностей по ее организации и осуществлению на ответственных лиц).
3.1.5. Определение подотчетности ответственных лиц и структурных подразделений, указанных в подпункте 3.1.4. пункта 3.1 настоящих Рекомендаций.
3.1.6. Определение порядка оперативного информирования органов управления кредитной организации о возможном возрастании угрозы атак ВК лицами, ответственными за осуществление мер защиты от ВК.
3.3. Органам управления кредитной организации рекомендуется организовать разработку внутреннего документа, регламентирующего регулярное (предпочтительно не реже одного раза в квартал) рассмотрение результатов осуществления мер защиты от ВК с выработкой необходимых организационных решений, в том числе по корректировке состава и содержания этих мер.
4.2. Для снижения банковских рисков, которые связаны с недостаточной защитой от ВК клиентских АРМ систем ДБО (операционного, правового, стратегического, риска потери деловой репутации (репутационного риска) и риска ликвидности), кредитной организации рекомендуется:
4.2.3. При внесении кредитной организацией изменений в состав и содержание требований по защите от ВК клиентских АРМ систем ДБО информировать клиентов об этом и вносить соответствующие изменения в ранее заключенные договоры и эксплуатационную документацию на системы ДБО.
4.2.4. При изменении порядка подтверждения выполнения клиентами требований по защите от ВК клиентских АРМ систем ДБО вносить соответствующие изменения в ранее заключенные договоры.
4.2.5. Предусматривать в договорах положения, в соответствии с которыми кредитная организация не несет ответственность в случаях финансовых потерь, понесенных клиентами в связи с нарушением и (или) ненадлежащим исполнением ими требований по защите от ВК клиентских АРМ систем ДБО, а также включать в договоры описание процедур разрешения споров, возникающих в связи с компрометацией аутентификационной и идентификационной информации, используемой клиентами для доступа к системам ДБО (логины, пароли, биометрическая информация и тому подобное) и (или) с нарушениями в работе клиентских АРМ систем ДБО, в том числе являющимися следствием воздействия на клиентские АРМ ВК.
Раздел 5. Организация договорных отношений с провайдерами, обеспечивающими функционирование систем ДБО кредитной организации, в части обеспечения защиты от ВК
5.1. Для снижения банковских рисков, которые зависят от состояния защиты от ВК у провайдеров, обеспечивающих функционирование систем ДБО кредитной организации*(5), рекомендуется включать в состав договоров на обслуживание и соглашения с ними об уровне обслуживания (Service Level Agreement) положения, предусматривающие обязательства этих провайдеров по осуществлению защиты от ВК в их автоматизированных системах и информационно-телекоммуникационных сетях, а также возможности кредитной организации по контролю выполнения этих обязательств.
5.2. Внутренние документы, регламентирующие осуществление кредитной организацией контроля выполнения обязательств по защите от ВК провайдерами, обеспечивающими функционирование систем ДБО кредитной организации и принявшими на себя обязательства по предоставлению кредитной организации возможности осуществления такого контроля, рекомендуется согласовывать с этими провайдерами.
5.3. Для организации и осуществления контроля выполнения обязательств по защите от ВК провайдерами, обеспечивающими функционирование систем ДБО кредитной организации, предусмотренных договорами на обслуживание и Service Level Agreement, органам управления кредитной организации рекомендуется назначить ответственных исполнителей и определить их функциональные обязанности в должностных инструкциях.
5.4. В целях предотвращения распространения на автоматизированные системы, ПО, средства вычислительной техники, телекоммуникационное оборудования кредитной организации атак ВК, предпринимаемых в отношении провайдеров, обеспечивающих функционирование систем ДБО кредитной организации, рекомендуется предусматривать в договорах с этими провайдерами их обязательства по локализации воздействий ВК и их последствий в пределах автоматизированных систем и информационно-телекоммуникационных сетей провайдеров, а также ответственность за нарушение этих обязательств.
*(1) Принимаемые кредитной организацией в соответствии с пунктом 3.8, пунктом 14 приложения 2 к Положению Банка России от 16 декабря 2003 года № 242-П “Об организации внутреннего контроля в кредитных организациях и банковских группах” (“Вестник Банка России” от 4 февраля 2004 года № 7).
*(2) Понятие “провайдер” используется в значении, определенном в письме Банка России от 31 марта 2008 года № 36-Т “О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга” (“Вестник Банка России” от 9 апреля 2008 года № 16).
*(3) Требования по защите от ВК клиентских АРМ систем ДБО могут касаться вопросов необходимости осуществления контроля на наличие ВК клиентских АРМ систем ДБО, настройки средств защиты от ВК, периодичности обновления баз данных ВК и других вопросов, относящихся к организации и осуществлению защиты от ВК.
*(5) К числу таких рисков относятся операционный, правовой, стратегический, риск потери деловой репутации (репутационный риск) и риск ликвидности ввиду их причинно-следственных связей с возможными аварийными ситуациями у провайдеров.
Обзор документа
Банк России разработал рекомендации для кредитных организаций по применению средств защиты программного обеспечения (ПО) компьютеров, банковских автоматизированных систем и информационно-телекоммуникационных сетей от вредоносного кода (ВК).
Определен перечень объектов защиты. Это, в частности, автоматизированные рабочие места системных и сетевых администраторов, серверы, рабочие станции, банкоматы, платежные терминалы.
Приведены рекомендуемые меры защиты от ВК. Так, постоянная защита от ВК должна функционировать в автоматическом режиме. Пользователей рабочих станций целесообразно наделять минимально необходимыми для выполнения их функций правами. Их учетные записи следует исключать из группы локальных администраторов.
Рекомендуется использовать средства защиты от ВК различных организаций-производителей или поставщиков. При этом предпочтение желательно отдавать известным, хорошо зарекомендовавшим себя в течение продолжительного времени компаниям. Целесообразно приобретать средства защиты от ВК у авторизованных партнеров компаний-разработчиков.
Приведены функции органов управления банка в части организации защиты от ВК.
Особое внимание уделяется защите от ВК автоматизированных рабочих мест клиентов кредитной организации, используемых ими для проведения сеансов дистанционного банковского обслуживания (ДБО). Даны рекомендации по организации договорных отношений с провайдерами, обеспечивающими функционирование систем ДБО.