SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение

Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     



Руслан Рахметов, Security Vision


Во исполнение норм по защите информации, указанных в 161-ФЗ и рассмотренных нами ранее, было разработано Положение Банка России № 382-П от 09.06.2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим этот документ подробно.


В соответствии с 382-П, субъектами регулирования и контроля со стороны Банка России являются операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры. Объектами защиты являются следующие категории обрабатываемой информации:

  • информация об остатках денежных средств на банковских счетах;
  • информация об остатках электронных денежных средств;
  • информация о совершенных переводах денежных средств;
  • информация, содержащаяся в оформленных распоряжениях клиентов, участников платежной системы, платежного клирингового центра;
  • информация о платежных клиринговых позициях;
  • клиентская информация и данные держателей платежных карт;
  • ключевая информация средств криптографической защиты информации (СКЗИ);
  • информация о конфигурации объектов информационной инфраструктуры и технических средств защиты информации;
  • информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите в соответствии с законодательством РФ.

Основными требованиями по защите информации при переводе денежных средств в финансовых учреждениях, сформулированными в 382-П, являются:

  • назначение и распределение прав доступа сотрудников финансовых организаций;
  • защита информации на всех стадиях жизненного цикла объектов информационной инфраструктуры (создание, эксплуатация, модернизация, вывод из эксплуатации);
  • защита информации при доступе к объектам информационной инфраструктуры, в т.ч. от несанкционированного доступа (НСД);
  • защита от вредоносного кода;
  • защита информации при переводе денежных средств через Интернет;
  • защита информации при использовании банкоматов и платежных терминалов;
  • защита информации при использовании платежных карт;
  • зашита информации с помощью СКЗИ;
  • защита технологии обработки информации при переводе денежных средств;
  • создание службы информационной безопасности, в том числе в филиалах;
  • проведение занятий по повышению осведомленности в области ИБ работников финансовых организаций;
  • разработка и реализация организационных мер обеспечения защиты информации (ЗИ);
  • оценка выполнения требований по ЗИ;
  • выполнение оператором платежной системы требований по ЗИ, продиктованных ему оператором по переводу денежных средств или оператором услуг платежной инфраструктуры;
  • совершенствование системы ЗИ при переводе денежных средств;
  • выявление, анализ причин возникновения и реагирование на инциденты ИБ, связанные с нарушениями требований к обеспечению ЗИ при переводе денежных средств.

При этом к таким инцидентам следует относить события, которые могут привести к осуществлению несанкционированных переводов денежных средств или неоказанию услуг по переводу денежных средств. Такие события могут быть включены в перечень типов инцидентов, согласованный с ФСБ РФ и публикуемый на сайте ЦБ РФ. На текущий момент данная информация не опубликована, но можно руководствоваться типами инцидентов, перечисленными в Стандарте Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. 


Управление инцидентами информационной безопасности», а также в «Руководстве участника по работе с автоматизированной системой обработки инцидентов (АСОИ) ФинЦЕРТ Банка России» (далее типы инцидентов приведены с их идентификаторами, использующимися в обоих документах):

  • Использование вредоносного программного обеспечения [malware];
  • Использование методов социальной инженерии [socialEngineering];
  • Изменения IMSI на SIM-карте, смена IMEI телефона [sim];
  • Использование фишинговых ресурсов [phishingAttacks];
  • Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
  • Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
  • Изменение маршрутно-адресной информации [trafficHijackAttacks];
  • Использование вредоносного программного обеспечения [malware];
  • Реализация атаки типа «отказ в обслуживании» [ddosAttacks];
  • Реализация несанкционированного доступа к банкоматам и платежным терминалам [atmAttacks];
  • Эксплуатация уязвимостей информационной инфраструктуры [vulnerabilities];
  • Компроментация аутентификационных/учетных данных [bruteForces];
  • Реализация спам рассылки [spams];
  • Взаимодействие с центрами «бот-нет» сетей [controlCenters];
  • Использование фишинговых ресурсов [phishingAttacks];
  • Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
  • Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
  • Выполнение изменение контента [changeContent];
  • Выполнение сканирования портов [scanPorts];
  • Иная компьютерная атака [other].

В тексте 382-П приводится детализация указанных выше требований по защите информации при переводе денежных средств. Следует отметить такие нормы, как идентификация, аутентификация и авторизация работающих с информационной инфраструктурой лиц и регистрация действий сотрудников и клиентов (при этом определен объем регистрируемой информации и пятилетний срок её хранения), реализация принципов минимизации полномочий (предоставление лишь минимально необходимых прав доступа для выполнения служебных обязанностей) и двойного контроля (запрет на выполнение критичных действий одним работником), вовлечение сотрудников службы информационной безопасности при создании или модернизации объектов информационной инфраструктуры. Кроме того, для переводов денежных средств, начиная с 01.01.2020 г., должно использоваться прикладное ПО, сертифицированное ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошедшее процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013. Отметим, что оценочные уровни доверия (ОУД) стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 не следует путать с уровнями доверия (УД) СЗИ, определяемыми в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г. (мы говорили об этом документе ранее).


В документе также присутствует требование о проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей объектов ИТ инфраструктуры, для чего следует привлекать стороннюю организацию - лицензиата ФСТЭК России. 


В 382-П отдельные пункты посвящены принципам защиты систем Интернет-банкинга, в том числе мобильным: публикация пользовательских инструкций по их использованию, проверка отсутствия ВПО и контроль целостности, использование одноразовых кодов подтверждения доступа, размещение в надежных репозиториях, поиск уязвимостей и своевременное обновление. Отдельно указан метод борьбы с атаками типа «подмена SIM-карты» (англ. SIM swapping): в случае замены SIM-карты или смены номера телефона клиентом финансовой организации рекомендуется приостанавливать пересылку чувствительной информации по данному абонентскому номеру.


Также в Положении отдельно подчеркивается, что в случае защиты ПДн с помощью СКЗИ финансовая организация должна выполнять требования Приказа ФСБ РФ №378 от 10.07.2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Финцерт Метрики ИБ ГосСОПКА Организационные меры в ИБ СЗИ Стандарты, ГОСТы и документы ИБ Управление уязвимостями (VM) Подкасты ИБ ИБ в финансовых организациях

Похожие статьи

Между печеньем и морковкой: удержание команды в условиях неопределенности
Между печеньем и морковкой: удержание команды в условиях неопределенности
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Bug Bounty: как превратить любопытство в заработок
Bug Bounty: как превратить любопытство в заработок
Сертификация и безопасная разработка: простым языком
Сертификация и безопасная разработка: простым языком
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
Защита от спама для компаний и в быту
Защита от спама для компаний и в быту
Возможности обновленного продукта Security Vision КИИ
Возможности обновленного продукта Security Vision КИИ
CyBOK. Глава 1. Введение
CyBOK. Глава 1. Введение
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ

Похожие статьи

Между печеньем и морковкой: удержание команды в условиях неопределенности
Между печеньем и морковкой: удержание команды в условиях неопределенности
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Bug Bounty: как превратить любопытство в заработок
Bug Bounty: как превратить любопытство в заработок
Сертификация и безопасная разработка: простым языком
Сертификация и безопасная разработка: простым языком
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
Защита от спама для компаний и в быту
Защита от спама для компаний и в быту
Возможности обновленного продукта Security Vision КИИ
Возможности обновленного продукта Security Vision КИИ
CyBOK. Глава 1. Введение
CyBOK. Глава 1. Введение
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ