SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций

Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
05.09.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    



Руслан Рахметов, Security Vision


Обсудив в предыдущих публикациях вопросы защиты персональных данных, критической информационной инфраструктуры и коммерческой тайны, логично будет перейти и к проблематике информационной безопасности финансовых организаций.


В кредитно-финансовых учреждениях вопросы защиты данных являются крайне актуальными по причине того, что именно в них зачастую можно поставить знак тождественности между информацией и деньгами. Вопросы конфиденциальности клиентских данных, целостности платежных поручений, доступности банковских сервисов стоят как никогда остро именно в наш цифровой век. С учетом внушительной конкуренции и разнообразия банковских продуктов лояльность клиентов (как физических, так и юридических лиц) ценится крайне высоко, а безопасность платежей и конфиденциальность предоставленных банку сведений относятся к важнейшим факторам выбора. Кроме очевидной и понятной широкому кругу людей цели проведения платежей банковская система служит фактически кровеносной системой экономики всей страны, и именно поэтому к субъектам критической информационной инфраструктуры РФ относятся в том числе и организации банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка).


По данным, предоставленным Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ/FinCERT), в 2018 г. объем несанкционированных операций по картам составил 1,4 млрд. руб., а средняя сумма одной несанкционированной операции - 3,32 тыс руб., при этом данные значения непрерывно растут. Для многих банков киберриски стали одними из важнейших факторов, сдерживающих развитие, а ущерб от киберпреступлений, в том числе репутационный, уже давно превысил таковой от  «классических» ограблений.


Логичным ответом на данные вызовы послужил ряд инициатив руководства страны, в соответствии с которыми были приняты нормативно-правовые акты для регулирования сферы информационной безопасности в финансовых организациях РФ. Главным регулятором российской финансовой сферы является Банк России. Целями ЦБ РФ в разрезе информационной безопасности являются обеспечение киберустойчивости (с помощью контроля показателей риска реализации информационных угроз, обеспечения непрерывности предоставления финансовых и банковских услуг, контроля уровня мошеннических операций), защита потребителей финансовых услуг (путем мониторинга и контроля показателей, характеризующих уровень финансовых потерь), а также содействие развитию инновационных финансовых технологий (с помощью контроля риска реализации информационных угроз и реализации необходимого уровня ИБ).


Основным документом, регламентирующим защиту информации в российских банках, является Федеральный закон №161 от 27.06.2011 г.  «О национальной платежной системе». Данный документ непрерывно дополняется и изменяется, оставаясь актуальным с появлением новых угроз и вызовов. Основными статьями 161-ФЗ, непосредственно посвященными защите информации, являются ст. 27  «Обеспечение защиты информации в платежной системе», а также ст. 28  «Система управления рисками в платежной системе» (п. 3.11 которой непосредственно говорит о необходимости определения порядка обеспечения защиты информации в платежной системе). На основании ст.2 п.3 данного Федерального Закона Банком России были разработаны подзаконные нормативные акты в целях регулирования отношений в национальной платежной системе, о которых мы поговорим в этой и дальнейших публикациях.


Прежде всего, необходимо ознакомиться с основными терминами и определениями, которые применяются регулятором в лице Банка России при обсуждении вопросов ИБ в финансовой сфере. Итак,

  • национальная платежная система - это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов услуг информационного обмена, иностранных поставщиков платежных услуг, операторов иностранных платежных систем, поставщиков платежных приложений (субъектов национальной платежной системы);

  • оператор по переводу денежных средств - это организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств;

  • оператор электронных денежных средств - это оператор по переводу денежных средств, осуществляющий перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств);

  • банковский платежный агент - юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления отдельных банковских операций;

  • банковский платежный субагент - юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления отдельных банковских операций;

  • оператор платежной системы - это организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные в 161-ФЗ;

  • оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр;

  • операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями;

  • платежная система - это совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств;

  • поставщик платежного приложения - юридическое лицо, в том числе иностранная организация, предоставляющее на основании договора с оператором по переводу денежных средств платежное приложение для его применения клиентами оператора по переводу денежных средств.

В соответствии со ст.27 161-ФЗ операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными в Положении Банка России от 09.06.2012 № 382-П  «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Кроме того, операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, могут получать от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке, установленном Указанием Банка России от 08.10.2018 № 4926-У  «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Иначе говоря, Указание №4926-У определяет форму, порядок и содержание сообщений, отправляемых финансовыми организациями в ФинЦЕРТ ЦБ РФ. При этом сам Центробанк осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

Финцерт Метрики ИБ 382-п Подкасты ИБ ГОСТы и документы ИБ Защита персональных данных Финансы в ИБ

Рекомендуем

Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты

Рекомендуем

Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты

Похожие статьи

Как устроены вредоносные программы
Как устроены вредоносные программы
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Управление мобильными устройствами
Управление мобильными устройствами
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Обзор Баз данных угроз
Обзор Баз данных угроз
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Принципы информационной безопасности
Принципы информационной безопасности

Похожие статьи

Как устроены вредоносные программы
Как устроены вредоносные программы
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Управление мобильными устройствами
Управление мобильными устройствами
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Обзор Баз данных угроз
Обзор Баз данных угроз
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Принципы информационной безопасности
Принципы информационной безопасности