SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение

Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
04.10.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Рассмотрев в предыдущей публикации основные нормы Положения 382-П, перейдем к обзору требований этого документа к отчетности и реагированию на инциденты ИБ.


В 382-П отдельный пункт (п.2.13) посвящен требованиям по выявлению и реагированию на инциденты защиты информации при осуществлении переводов денежных средств. В частности, указано, что оператор платежной системы определяет порядок взаимодействия и обмена информацией об инцидентах ИБ с операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, а также ведет учет и предоставляет доступ к информации о выявленных инцидентах и методиках анализа и реагирования на них. Кроме того, финансовым организациям, за исключением операторов платежных систем, предписано:


·  выявлять и регистрировать инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, с применением организационных и технических средств;

·  информировать выделенное подразделение ИБ в случае выявления инцидентов ЗИ;

·  осуществлять реагирование на выявленные инциденты;

·  анализировать причины возникновения выявленных инцидентов и проводить оценку результатов реагирования на них.


Более того, Указанием ЦБ РФ №4793-У от 07.05.2018 г. для операторов по переводу денежных средств и операторов услуг платежной инфраструктуры введена обязанность по информированию Банка России о выявленных инцидентах защиты информации и о планируемом публичном раскрытии деталей инцидентов; при этом форма и срок предоставления информации согласуются с ФСБ РФ.


Немаловажным требованием к операторам по переводу денежных средств, операторам платежной системы и операторам услуг платежной инфраструктуры является обязательное проведение оценки соответствия, т.е. анализа полноты выполнения требований к обеспечению защиты информации. Такая оценка проводится не реже одного раза в два года с привлечением компаний-лицензиатов ФСТЭК России на основе информации о реализованных организационных и технических мерах ЗИ и анализа их соответствия положениям 382-П, а также по результатам мониторинга выполнения порядка обеспечения ЗИ при осуществлении переводов денежных средств. По результатам оценки соответствия указанные операторы в течение 30 рабочих дней должны сдать отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств», согласно указанию ЦБ РФ № 2831-У (в редакции Указания № 3024-У). Таким образом, ЦБ РФ получает от операторов количественную оценку выполнения ими организационных и технических требований по ЗИ. Отчетность от операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в целях анализа полноты применяемых защитных мер должны получать и сами операторы платежной системы, при этом они устанавливают требования к содержанию, форме и периодичности таких отчетов.


Еще одним видом отчетности операторов перед Банком России является предоставление сведений по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», установленной Указанием Банка России № 2831-У от 09.06.2012 г. «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» в редакции Указания Банка России № 4753-У от 30.03.2018 г. Нормы периодичности предоставления данной формы отчетности различаются в зависимости от категории оператора и объема переводимых денежных средств (далее - д/с). Данная форма отчетности должна содержать сведения о фактах несанкционированного использования электронных средств платежей клиентов, о переводах и снятии д/с и уменьшении остатка электронных д/с в результате НСД к объектам ИТ-инфраструктуры оператора (в т.ч. к банкоматам), о неоказании услуг по переводу д/с, о получении уведомлений от клиентов о фактах несанкционированного перевода д/с, а также о фактах несанкционированного списания с корреспондентских счетов участников платежной системы. Особые требования предъявляются к операторам по переводу д/с, являющимся кредитными организациями, признанными Банком России значимыми на рынке платежных услуг: отчитываться следует обо всех фактах неоказания услуг по переводу д/с в течение более 2 часов. Расчетный центр значимой платежной системы должен указывать в отчете сведения о событиях неоказания расчетных услуг на период более 1 операционного дня.


Форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт», установленная Указанием Банка России № 4212-У от 24.11.2016 г. «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» в редакции Указания №4927-У, должна содержать сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции, с разбивкой по количеству и сумме несанкционированных операций на территории РФ и за рубежом, совершенных в организациях торговли/услуг, в пунктах выдачи наличных, посредством банкоматов, доступа через Интернет или с использованием смартфонов. Данную форму отчетности должны предоставлять кредитные организации и небанковские кредитные организации, имеющие право на осуществление переводов д/с без открытия банковских счетов.


Следует отметить, что до середины 2018 года кредитные организации предоставляли в Банк России данные о несанкционированных операциях в рамках плановой формы отчетности 0409258, а сведения об их причинах – в рамках формы отчетности 0403203 на ежемесячной основе, однако в настоящий момент активно развивается и используется автоматизированная система обработки инцидентов (АСОИ) ФинЦЕРТ Банка России, при помощи которой обмен соответствующими сведениями осуществляется в режиме реального времени.


Сведения из переданных операторами отчетов включаются в ежегодные официальные обзоры несанкционированных переводов д/с, выпускаемые ФинЦЕРТ Банка России, где в формате предоставления статистической информации показаны тренды нарушений ЗИ в банковской сфере. Например, отчет за 2018 год показывает неуклонный рост количества несанкционированных CNP-транзакций (CNP, Card Not Present - операция, осуществленная без предъявления платежной карты, только её реквизитов), а причинами совершения несанкционированных операций с использованием платежных карт физических лиц в 97% случаев являются применяемые злоумышленниками методы социальной инженерии и нарушение порядка использования карт владельцами, при этом причинами несанкционированных операций со счетов юридических лиц в 46% случаев является воздействие вредоносного кода и лишь в 39% - методы социнженерии и нарушение правил работы владельцами.


Следует отметить, что 382-П в настоящее время действует совместно с новым Положением Банка России № 683-П от 21.05.2019 г. «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», о котором мы поговорим в следующей публикации.


382-п Финцерт Подкасты ИБ ГОСТы и документы ИБ Финансы в ИБ

Рекомендуем

Пентесты
Пентесты
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
False или не false?
False или не false?
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
SGRC по закону. Финансы
SGRC по закону. Финансы

Рекомендуем

Пентесты
Пентесты
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
False или не false?
False или не false?
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
SGRC по закону. Финансы
SGRC по закону. Финансы

Похожие статьи

TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Динамический анализ исходного кода
Динамический анализ исходного кода
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
DLP системы (Data Loss Prevention, ДЛП) - что это такое
DLP системы (Data Loss Prevention, ДЛП) - что это такое

Похожие статьи

TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Динамический анализ исходного кода
Динамический анализ исходного кода
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
DLP системы (Data Loss Prevention, ДЛП) - что это такое
DLP системы (Data Loss Prevention, ДЛП) - что это такое