SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение

Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
04.10.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Рассмотрев в предыдущей публикации основные нормы Положения 382-П, перейдем к обзору требований этого документа к отчетности и реагированию на инциденты ИБ.


В 382-П отдельный пункт (п.2.13) посвящен требованиям по выявлению и реагированию на инциденты защиты информации при осуществлении переводов денежных средств. В частности, указано, что оператор платежной системы определяет порядок взаимодействия и обмена информацией об инцидентах ИБ с операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, а также ведет учет и предоставляет доступ к информации о выявленных инцидентах и методиках анализа и реагирования на них. Кроме того, финансовым организациям, за исключением операторов платежных систем, предписано:


·  выявлять и регистрировать инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, с применением организационных и технических средств;

·  информировать выделенное подразделение ИБ в случае выявления инцидентов ЗИ;

·  осуществлять реагирование на выявленные инциденты;

·  анализировать причины возникновения выявленных инцидентов и проводить оценку результатов реагирования на них.


Более того, Указанием ЦБ РФ №4793-У от 07.05.2018 г. для операторов по переводу денежных средств и операторов услуг платежной инфраструктуры введена обязанность по информированию Банка России о выявленных инцидентах защиты информации и о планируемом публичном раскрытии деталей инцидентов; при этом форма и срок предоставления информации согласуются с ФСБ РФ.


Немаловажным требованием к операторам по переводу денежных средств, операторам платежной системы и операторам услуг платежной инфраструктуры является обязательное проведение оценки соответствия, т.е. анализа полноты выполнения требований к обеспечению защиты информации. Такая оценка проводится не реже одного раза в два года с привлечением компаний-лицензиатов ФСТЭК России на основе информации о реализованных организационных и технических мерах ЗИ и анализа их соответствия положениям 382-П, а также по результатам мониторинга выполнения порядка обеспечения ЗИ при осуществлении переводов денежных средств. По результатам оценки соответствия указанные операторы в течение 30 рабочих дней должны сдать отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств», согласно указанию ЦБ РФ № 2831-У (в редакции Указания № 3024-У). Таким образом, ЦБ РФ получает от операторов количественную оценку выполнения ими организационных и технических требований по ЗИ. Отчетность от операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в целях анализа полноты применяемых защитных мер должны получать и сами операторы платежной системы, при этом они устанавливают требования к содержанию, форме и периодичности таких отчетов.


Еще одним видом отчетности операторов перед Банком России является предоставление сведений по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», установленной Указанием Банка России № 2831-У от 09.06.2012 г. «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» в редакции Указания Банка России № 4753-У от 30.03.2018 г. Нормы периодичности предоставления данной формы отчетности различаются в зависимости от категории оператора и объема переводимых денежных средств (далее - д/с). Данная форма отчетности должна содержать сведения о фактах несанкционированного использования электронных средств платежей клиентов, о переводах и снятии д/с и уменьшении остатка электронных д/с в результате НСД к объектам ИТ-инфраструктуры оператора (в т.ч. к банкоматам), о неоказании услуг по переводу д/с, о получении уведомлений от клиентов о фактах несанкционированного перевода д/с, а также о фактах несанкционированного списания с корреспондентских счетов участников платежной системы. Особые требования предъявляются к операторам по переводу д/с, являющимся кредитными организациями, признанными Банком России значимыми на рынке платежных услуг: отчитываться следует обо всех фактах неоказания услуг по переводу д/с в течение более 2 часов. Расчетный центр значимой платежной системы должен указывать в отчете сведения о событиях неоказания расчетных услуг на период более 1 операционного дня.


Форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт», установленная Указанием Банка России № 4212-У от 24.11.2016 г. «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» в редакции Указания №4927-У, должна содержать сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции, с разбивкой по количеству и сумме несанкционированных операций на территории РФ и за рубежом, совершенных в организациях торговли/услуг, в пунктах выдачи наличных, посредством банкоматов, доступа через Интернет или с использованием смартфонов. Данную форму отчетности должны предоставлять кредитные организации и небанковские кредитные организации, имеющие право на осуществление переводов д/с без открытия банковских счетов.


Следует отметить, что до середины 2018 года кредитные организации предоставляли в Банк России данные о несанкционированных операциях в рамках плановой формы отчетности 0409258, а сведения об их причинах – в рамках формы отчетности 0403203 на ежемесячной основе, однако в настоящий момент активно развивается и используется автоматизированная система обработки инцидентов (АСОИ) ФинЦЕРТ Банка России, при помощи которой обмен соответствующими сведениями осуществляется в режиме реального времени.


Сведения из переданных операторами отчетов включаются в ежегодные официальные обзоры несанкционированных переводов д/с, выпускаемые ФинЦЕРТ Банка России, где в формате предоставления статистической информации показаны тренды нарушений ЗИ в банковской сфере. Например, отчет за 2018 год показывает неуклонный рост количества несанкционированных CNP-транзакций (CNP, Card Not Present - операция, осуществленная без предъявления платежной карты, только её реквизитов), а причинами совершения несанкционированных операций с использованием платежных карт физических лиц в 97% случаев являются применяемые злоумышленниками методы социальной инженерии и нарушение порядка использования карт владельцами, при этом причинами несанкционированных операций со счетов юридических лиц в 46% случаев является воздействие вредоносного кода и лишь в 39% - методы социнженерии и нарушение правил работы владельцами.


Следует отметить, что 382-П в настоящее время действует совместно с новым Положением Банка России № 683-П от 21.05.2019 г. «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», о котором мы поговорим в следующей публикации.


382-п Финцерт Подкасты ИБ ГОСТы и документы ИБ Финансы в ИБ

Рекомендуем

Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать

Рекомендуем

Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы