SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций

Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
05.09.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    



Руслан Рахметов, Security Vision


Обсудив в предыдущих публикациях вопросы защиты персональных данных, критической информационной инфраструктуры и коммерческой тайны, логично будет перейти и к проблематике информационной безопасности финансовых организаций.


В кредитно-финансовых учреждениях вопросы защиты данных являются крайне актуальными по причине того, что именно в них зачастую можно поставить знак тождественности между информацией и деньгами. Вопросы конфиденциальности клиентских данных, целостности платежных поручений, доступности банковских сервисов стоят как никогда остро именно в наш цифровой век. С учетом внушительной конкуренции и разнообразия банковских продуктов лояльность клиентов (как физических, так и юридических лиц) ценится крайне высоко, а безопасность платежей и конфиденциальность предоставленных банку сведений относятся к важнейшим факторам выбора. Кроме очевидной и понятной широкому кругу людей цели проведения платежей банковская система служит фактически кровеносной системой экономики всей страны, и именно поэтому к субъектам критической информационной инфраструктуры РФ относятся в том числе и организации банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка).


По данным, предоставленным Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ/FinCERT), в 2018 г. объем несанкционированных операций по картам составил 1,4 млрд. руб., а средняя сумма одной несанкционированной операции - 3,32 тыс руб., при этом данные значения непрерывно растут. Для многих банков киберриски стали одними из важнейших факторов, сдерживающих развитие, а ущерб от киберпреступлений, в том числе репутационный, уже давно превысил таковой от  «классических» ограблений.


Логичным ответом на данные вызовы послужил ряд инициатив руководства страны, в соответствии с которыми были приняты нормативно-правовые акты для регулирования сферы информационной безопасности в финансовых организациях РФ. Главным регулятором российской финансовой сферы является Банк России. Целями ЦБ РФ в разрезе информационной безопасности являются обеспечение киберустойчивости (с помощью контроля показателей риска реализации информационных угроз, обеспечения непрерывности предоставления финансовых и банковских услуг, контроля уровня мошеннических операций), защита потребителей финансовых услуг (путем мониторинга и контроля показателей, характеризующих уровень финансовых потерь), а также содействие развитию инновационных финансовых технологий (с помощью контроля риска реализации информационных угроз и реализации необходимого уровня ИБ).


Основным документом, регламентирующим защиту информации в российских банках, является Федеральный закон №161 от 27.06.2011 г.  «О национальной платежной системе». Данный документ непрерывно дополняется и изменяется, оставаясь актуальным с появлением новых угроз и вызовов. Основными статьями 161-ФЗ, непосредственно посвященными защите информации, являются ст. 27  «Обеспечение защиты информации в платежной системе», а также ст. 28  «Система управления рисками в платежной системе» (п. 3.11 которой непосредственно говорит о необходимости определения порядка обеспечения защиты информации в платежной системе). На основании ст.2 п.3 данного Федерального Закона Банком России были разработаны подзаконные нормативные акты в целях регулирования отношений в национальной платежной системе, о которых мы поговорим в этой и дальнейших публикациях.


Прежде всего, необходимо ознакомиться с основными терминами и определениями, которые применяются регулятором в лице Банка России при обсуждении вопросов ИБ в финансовой сфере. Итак,

  • национальная платежная система - это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов услуг информационного обмена, иностранных поставщиков платежных услуг, операторов иностранных платежных систем, поставщиков платежных приложений (субъектов национальной платежной системы);

  • оператор по переводу денежных средств - это организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств;

  • оператор электронных денежных средств - это оператор по переводу денежных средств, осуществляющий перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств);

  • банковский платежный агент - юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления отдельных банковских операций;

  • банковский платежный субагент - юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления отдельных банковских операций;

  • оператор платежной системы - это организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные в 161-ФЗ;

  • оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр;

  • операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями;

  • платежная система - это совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств;

  • поставщик платежного приложения - юридическое лицо, в том числе иностранная организация, предоставляющее на основании договора с оператором по переводу денежных средств платежное приложение для его применения клиентами оператора по переводу денежных средств.

В соответствии со ст.27 161-ФЗ операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными в Положении Банка России от 09.06.2012 № 382-П  «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Кроме того, операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, могут получать от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке, установленном Указанием Банка России от 08.10.2018 № 4926-У  «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Иначе говоря, Указание №4926-У определяет форму, порядок и содержание сообщений, отправляемых финансовыми организациями в ФинЦЕРТ ЦБ РФ. При этом сам Центробанк осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

Финцерт Метрики ИБ 382-п Подкасты ИБ ГОСТы и документы ИБ Защита персональных данных (ИСПДН) Финансы в ИБ

Рекомендуем

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Интернет вещей и безопасность
Интернет вещей и безопасность
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Пентесты
Пентесты
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Что за зверь Security Champion?
Что за зверь Security Champion?
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM

Рекомендуем

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Интернет вещей и безопасность
Интернет вещей и безопасность
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Пентесты
Пентесты
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Что за зверь Security Champion?
Что за зверь Security Champion?
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM

Похожие статьи

Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Сертификация ФСТЭК
Сертификация ФСТЭК
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Конфиденциальная информация
Конфиденциальная информация
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Визуализация: лучшие практики
Визуализация: лучшие практики
Что за зверь Security Champion?
Что за зверь Security Champion?
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
False или не false?
False или не false?

Похожие статьи

Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Сертификация ФСТЭК
Сертификация ФСТЭК
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Конфиденциальная информация
Конфиденциальная информация
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Визуализация: лучшие практики
Визуализация: лучшие практики
Что за зверь Security Champion?
Что за зверь Security Champion?
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
False или не false?
False или не false?