SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение

Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
19.09.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     



Руслан Рахметов, Security Vision


Во исполнение норм по защите информации, указанных в 161-ФЗ и рассмотренных нами ранее, было разработано Положение Банка России № 382-П от 09.06.2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим этот документ подробно.


В соответствии с 382-П, субъектами регулирования и контроля со стороны Банка России являются операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры. Объектами защиты являются следующие категории обрабатываемой информации:

  • информация об остатках денежных средств на банковских счетах;
  • информация об остатках электронных денежных средств;
  • информация о совершенных переводах денежных средств;
  • информация, содержащаяся в оформленных распоряжениях клиентов, участников платежной системы, платежного клирингового центра;
  • информация о платежных клиринговых позициях;
  • клиентская информация и данные держателей платежных карт;
  • ключевая информация средств криптографической защиты информации (СКЗИ);
  • информация о конфигурации объектов информационной инфраструктуры и технических средств защиты информации;
  • информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите в соответствии с законодательством РФ.

Основными требованиями по защите информации при переводе денежных средств в финансовых учреждениях, сформулированными в 382-П, являются:

  • назначение и распределение прав доступа сотрудников финансовых организаций;
  • защита информации на всех стадиях жизненного цикла объектов информационной инфраструктуры (создание, эксплуатация, модернизация, вывод из эксплуатации);
  • защита информации при доступе к объектам информационной инфраструктуры, в т.ч. от несанкционированного доступа (НСД);
  • защита от вредоносного кода;
  • защита информации при переводе денежных средств через Интернет;
  • защита информации при использовании банкоматов и платежных терминалов;
  • защита информации при использовании платежных карт;
  • зашита информации с помощью СКЗИ;
  • защита технологии обработки информации при переводе денежных средств;
  • создание службы информационной безопасности, в том числе в филиалах;
  • проведение занятий по повышению осведомленности в области ИБ работников финансовых организаций;
  • разработка и реализация организационных мер обеспечения защиты информации (ЗИ);
  • оценка выполнения требований по ЗИ;
  • выполнение оператором платежной системы требований по ЗИ, продиктованных ему оператором по переводу денежных средств или оператором услуг платежной инфраструктуры;
  • совершенствование системы ЗИ при переводе денежных средств;
  • выявление, анализ причин возникновения и реагирование на инциденты ИБ, связанные с нарушениями требований к обеспечению ЗИ при переводе денежных средств.

При этом к таким инцидентам следует относить события, которые могут привести к осуществлению несанкционированных переводов денежных средств или неоказанию услуг по переводу денежных средств. Такие события могут быть включены в перечень типов инцидентов, согласованный с ФСБ РФ и публикуемый на сайте ЦБ РФ. На текущий момент данная информация не опубликована, но можно руководствоваться типами инцидентов, перечисленными в Стандарте Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. 


Управление инцидентами информационной безопасности», а также в «Руководстве участника по работе с автоматизированной системой обработки инцидентов (АСОИ) ФинЦЕРТ Банка России» (далее типы инцидентов приведены с их идентификаторами, использующимися в обоих документах):

  • Использование вредоносного программного обеспечения [malware];
  • Использование методов социальной инженерии [socialEngineering];
  • Изменения IMSI на SIM-карте, смена IMEI телефона [sim];
  • Использование фишинговых ресурсов [phishingAttacks];
  • Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
  • Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
  • Изменение маршрутно-адресной информации [trafficHijackAttacks];
  • Использование вредоносного программного обеспечения [malware];
  • Реализация атаки типа «отказ в обслуживании» [ddosAttacks];
  • Реализация несанкционированного доступа к банкоматам и платежным терминалам [atmAttacks];
  • Эксплуатация уязвимостей информационной инфраструктуры [vulnerabilities];
  • Компроментация аутентификационных/учетных данных [bruteForces];
  • Реализация спам рассылки [spams];
  • Взаимодействие с центрами «бот-нет» сетей [controlCenters];
  • Использование фишинговых ресурсов [phishingAttacks];
  • Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
  • Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
  • Выполнение изменение контента [changeContent];
  • Выполнение сканирования портов [scanPorts];
  • Иная компьютерная атака [other].

В тексте 382-П приводится детализация указанных выше требований по защите информации при переводе денежных средств. Следует отметить такие нормы, как идентификация, аутентификация и авторизация работающих с информационной инфраструктурой лиц и регистрация действий сотрудников и клиентов (при этом определен объем регистрируемой информации и пятилетний срок её хранения), реализация принципов минимизации полномочий (предоставление лишь минимально необходимых прав доступа для выполнения служебных обязанностей) и двойного контроля (запрет на выполнение критичных действий одним работником), вовлечение сотрудников службы информационной безопасности при создании или модернизации объектов информационной инфраструктуры. Кроме того, для переводов денежных средств, начиная с 01.01.2020 г., должно использоваться прикладное ПО, сертифицированное ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошедшее процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013. Отметим, что оценочные уровни доверия (ОУД) стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 не следует путать с уровнями доверия (УД) СЗИ, определяемыми в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г. (мы говорили об этом документе ранее).


В документе также присутствует требование о проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей объектов ИТ инфраструктуры, для чего следует привлекать стороннюю организацию - лицензиата ФСТЭК России. 


В 382-П отдельные пункты посвящены принципам защиты систем Интернет-банкинга, в том числе мобильным: публикация пользовательских инструкций по их использованию, проверка отсутствия ВПО и контроль целостности, использование одноразовых кодов подтверждения доступа, размещение в надежных репозиториях, поиск уязвимостей и своевременное обновление. Отдельно указан метод борьбы с атаками типа «подмена SIM-карты» (англ. SIM swapping): в случае замены SIM-карты или смены номера телефона клиентом финансовой организации рекомендуется приостанавливать пересылку чувствительной информации по данному абонентскому номеру.


Также в Положении отдельно подчеркивается, что в случае защиты ПДн с помощью СКЗИ финансовая организация должна выполнять требования Приказа ФСБ РФ №378 от 10.07.2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Финцерт Метрики ИБ 382-п ГосСОПКА ГОСТы и документы ИБ Оргмеры ИБ СЗИ Стандарты ИБ Управление уязвимостями Подкасты ИБ Финансы в ИБ

Рекомендуем

Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
False или не false?
False или не false?
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
XDR - eXtended Detection and Response
XDR - eXtended Detection and Response

Рекомендуем

Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
False или не false?
False или не false?
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
XDR - eXtended Detection and Response
XDR - eXtended Detection and Response

Похожие статьи

Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Динамический анализ исходного кода
Динамический анализ исходного кода
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Уязвимости
Уязвимости
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)

Похожие статьи

Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Динамический анализ исходного кода
Динамический анализ исходного кода
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Уязвимости
Уязвимости
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)