Обеспечение безопасности бизнес-приложений: E-commerce, БД, банкинг



Под Web-приложением понимают решения в основе которых лежит взаимодействие браузера и Web-сервера. Преимущества Web-приложений заключаются в том, что они доступны с любого устройства, включая мобильные и стационарные, и не требуют установки дополнительного программного обеспечения.

Основные угрозы безопасности Web-приложениям связаны с получением несанкционированного доступа к серверной части (серверам приложений, базам данных и т.д.) с которыми пользователь осуществляет взаимодействие. Также следует понимать, что угрозы могут возникать как от внешних, так и внутренних злоумышленников.

Таким образом, к основным угрозам Web-приложений можно отнести:

  •          DDoS-атаки
  •          Уязвимости программного обеспечения
  •          Нелегитимный трафик или трафик ботов

Для устранения данных угроз и обеспечения безопасного функционирования Web-приложений мы предлагаем следующие решения:

Отдельно стоит рассматривать угрозы, направленные на хищение информации из баз данных.

В основном выделяют следующие виды угроз:

  •          Действия злоумышленников, направленные на искажение, хищение и уничтожение информации, находящейся в базе данных
  •          Сбои и отказы оборудования
  •          Воздействие вредоносного ПО
  •          Несанкционированный доступ со стороны внешних источников, например, потребителей
  •          Несанкционированный доступ администраторов и разработчиков

В качестве мер защиты мы предлагаем:

  •          Аудит СУБД и дальнейшее внедрение систем защиты. Например, таких как:
    •           Управление привилегированным доступом (PAM)
    •           СЗИ от НСД, в случае использования в системах, требующих соответствия требованиям регуляторов
  •          Использование специализированных средств защиты СУБД
  •          Антивирусные решения
  •          Разработка комплекса мероприятий по защиты системы виртуализации, в случае её использования
  •          Планирование среды разработки и тестирования
  •          Проработка замкнутой программной среды, для минимизации угроз со стороны внешних источников
  •          Планирование процедур и среды резервного копирования
  •          Внедрение системы мониторинга

Защита банкинга также зависит от актуальных угроз информационной безопасности, но при этом дополнительно регулируется Банком России, что накладывает ограничения в выборе средств защиты информации для некоторых систем и процессов.

Основными положениями по защите информации являются:

  •          СТО БР ИББС-1.1-2007. Аудит информационной безопасности
  •          СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010
  •          ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
  •          Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"

Для многих специалистов остается открытым вопрос о применимости 187-ФЗ «О безопасности критической информационной инфраструктуры» к банковской сфере. Этот закон действительно накладывает определенные требования, но чтобы понять применимость закона, нужно обратится к Постановлению правительства №127 от 8 Февраля 2018 г. «Об утверждении правил категорирования объектов критической информационной инфраструктуры …». в частности в пункте 5б, указано что требования распространяются к Системно значимым кредитным организациям список которых указан на сайте Банка России.

К угрозам банковских систем обычно относят следующие:

  •          Риски утечки информации
  •          Риски потери данных вследствие потери целостности
  •          Мошеннические действия клиентов банка
  •          Репутационные риски
  •          Целенаправленные атаки
  •          Внутренние нарушители
  •          Иные факторы, влияющие на доступность автоматизированной банковской системы, вследствие непредвиденных факторов (форс-мажор)

В качестве противодействия угрозам финансового сектора, мы предлагаем следующие решения:

  •          Защита мобильных устройств (MDM)
  •          Средства защиты класса Honeypot («приманки»)
  •          Средства для защиты от целевых атак
  •          Защита от утечек данных (DLP)
  •          Построение защищенных каналов связи
  •          Построение эшелонированного периметра сети
  •          Средства анализа защищенности
  •          Антивирусные средства
  •          Антифрод-системы
  •          SIEM системы
  •          Системы поиска и анализа уязвимостей