SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение

Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
19.09.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     



Руслан Рахметов, Security Vision


Во исполнение норм по защите информации, указанных в 161-ФЗ и рассмотренных нами ранее, было разработано Положение Банка России № 382-П от 09.06.2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим этот документ подробно.


В соответствии с 382-П, субъектами регулирования и контроля со стороны Банка России являются операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры. Объектами защиты являются следующие категории обрабатываемой информации:

  • информация об остатках денежных средств на банковских счетах;
  • информация об остатках электронных денежных средств;
  • информация о совершенных переводах денежных средств;
  • информация, содержащаяся в оформленных распоряжениях клиентов, участников платежной системы, платежного клирингового центра;
  • информация о платежных клиринговых позициях;
  • клиентская информация и данные держателей платежных карт;
  • ключевая информация средств криптографической защиты информации (СКЗИ);
  • информация о конфигурации объектов информационной инфраструктуры и технических средств защиты информации;
  • информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите в соответствии с законодательством РФ.

Основными требованиями по защите информации при переводе денежных средств в финансовых учреждениях, сформулированными в 382-П, являются:

  • назначение и распределение прав доступа сотрудников финансовых организаций;
  • защита информации на всех стадиях жизненного цикла объектов информационной инфраструктуры (создание, эксплуатация, модернизация, вывод из эксплуатации);
  • защита информации при доступе к объектам информационной инфраструктуры, в т.ч. от несанкционированного доступа (НСД);
  • защита от вредоносного кода;
  • защита информации при переводе денежных средств через Интернет;
  • защита информации при использовании банкоматов и платежных терминалов;
  • защита информации при использовании платежных карт;
  • зашита информации с помощью СКЗИ;
  • защита технологии обработки информации при переводе денежных средств;
  • создание службы информационной безопасности, в том числе в филиалах;
  • проведение занятий по повышению осведомленности в области ИБ работников финансовых организаций;
  • разработка и реализация организационных мер обеспечения защиты информации (ЗИ);
  • оценка выполнения требований по ЗИ;
  • выполнение оператором платежной системы требований по ЗИ, продиктованных ему оператором по переводу денежных средств или оператором услуг платежной инфраструктуры;
  • совершенствование системы ЗИ при переводе денежных средств;
  • выявление, анализ причин возникновения и реагирование на инциденты ИБ, связанные с нарушениями требований к обеспечению ЗИ при переводе денежных средств.

При этом к таким инцидентам следует относить события, которые могут привести к осуществлению несанкционированных переводов денежных средств или неоказанию услуг по переводу денежных средств. Такие события могут быть включены в перечень типов инцидентов, согласованный с ФСБ РФ и публикуемый на сайте ЦБ РФ. На текущий момент данная информация не опубликована, но можно руководствоваться типами инцидентов, перечисленными в Стандарте Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. 


Управление инцидентами информационной безопасности», а также в «Руководстве участника по работе с автоматизированной системой обработки инцидентов (АСОИ) ФинЦЕРТ Банка России» (далее типы инцидентов приведены с их идентификаторами, использующимися в обоих документах):

  • Использование вредоносного программного обеспечения [malware];
  • Использование методов социальной инженерии [socialEngineering];
  • Изменения IMSI на SIM-карте, смена IMEI телефона [sim];
  • Использование фишинговых ресурсов [phishingAttacks];
  • Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
  • Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
  • Изменение маршрутно-адресной информации [trafficHijackAttacks];
  • Использование вредоносного программного обеспечения [malware];
  • Реализация атаки типа «отказ в обслуживании» [ddosAttacks];
  • Реализация несанкционированного доступа к банкоматам и платежным терминалам [atmAttacks];
  • Эксплуатация уязвимостей информационной инфраструктуры [vulnerabilities];
  • Компроментация аутентификационных/учетных данных [bruteForces];
  • Реализация спам рассылки [spams];
  • Взаимодействие с центрами «бот-нет» сетей [controlCenters];
  • Использование фишинговых ресурсов [phishingAttacks];
  • Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
  • Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
  • Выполнение изменение контента [changeContent];
  • Выполнение сканирования портов [scanPorts];
  • Иная компьютерная атака [other].

В тексте 382-П приводится детализация указанных выше требований по защите информации при переводе денежных средств. Следует отметить такие нормы, как идентификация, аутентификация и авторизация работающих с информационной инфраструктурой лиц и регистрация действий сотрудников и клиентов (при этом определен объем регистрируемой информации и пятилетний срок её хранения), реализация принципов минимизации полномочий (предоставление лишь минимально необходимых прав доступа для выполнения служебных обязанностей) и двойного контроля (запрет на выполнение критичных действий одним работником), вовлечение сотрудников службы информационной безопасности при создании или модернизации объектов информационной инфраструктуры. Кроме того, для переводов денежных средств, начиная с 01.01.2020 г., должно использоваться прикладное ПО, сертифицированное ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошедшее процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013. Отметим, что оценочные уровни доверия (ОУД) стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 не следует путать с уровнями доверия (УД) СЗИ, определяемыми в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г. (мы говорили об этом документе ранее).


В документе также присутствует требование о проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей объектов ИТ инфраструктуры, для чего следует привлекать стороннюю организацию - лицензиата ФСТЭК России. 


В 382-П отдельные пункты посвящены принципам защиты систем Интернет-банкинга, в том числе мобильным: публикация пользовательских инструкций по их использованию, проверка отсутствия ВПО и контроль целостности, использование одноразовых кодов подтверждения доступа, размещение в надежных репозиториях, поиск уязвимостей и своевременное обновление. Отдельно указан метод борьбы с атаками типа «подмена SIM-карты» (англ. SIM swapping): в случае замены SIM-карты или смены номера телефона клиентом финансовой организации рекомендуется приостанавливать пересылку чувствительной информации по данному абонентскому номеру.


Также в Положении отдельно подчеркивается, что в случае защиты ПДн с помощью СКЗИ финансовая организация должна выполнять требования Приказа ФСБ РФ №378 от 10.07.2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Финцерт Метрики ИБ 382-п ГосСОПКА ГОСТы и документы ИБ Оргмеры ИБ СЗИ Стандарты ИБ Управление уязвимостями Подкасты ИБ Финансы в ИБ

Рекомендуем

Динамические плейбуки
Динамические плейбуки
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
SGRC по закону. Финансы
SGRC по закону. Финансы
Конфиденциальная информация
Конфиденциальная информация
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Уязвимости
Уязвимости
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Что за зверь Security Champion?
Что за зверь Security Champion?
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Рекомендуем

Динамические плейбуки
Динамические плейбуки
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
SGRC по закону. Финансы
SGRC по закону. Финансы
Конфиденциальная информация
Конфиденциальная информация
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Уязвимости
Уязвимости
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Что за зверь Security Champion?
Что за зверь Security Champion?
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Похожие статьи

Тестирование на проникновение
Тестирование на проникновение
SGRC по закону. Финансы
SGRC по закону. Финансы
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты

Похожие статьи

Тестирование на проникновение
Тестирование на проникновение
SGRC по закону. Финансы
SGRC по закону. Финансы
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты