SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение

Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
20.10.2019

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      

Руслан Рахметов, Security Vision

Рассмотрев в предыдущей публикации положения 382-П, следует проанализировать и другие Положения ЦБ (переходя от более старым к более новым), а также поговорить про Постановление Правительства №584. Начнем с последнего.

Постановление Правительства №584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе» было подписано во исполнение норм 161-ФЗ «О национальной платежной системе» и вступило в силу с 01.07.2012. Данное Постановление содержит требования к операторам и агентам платежных систем по обеспечению в них безопасности информации, подлежащей обязательной защите в соответствии с законодательством РФ, включая ПДн. В документе описаны следующие требования к ЗИ в платежной системе:

·       назначение ответственного за ЗИ работника или подразделения;

·       включение требований по ЗИ в должностные инструкции работников платежной системы;

·       определение угроз безопасности (т.е. моделирование угроз) и анализ уязвимостей;

·       анализ и управление рисками нарушения требований к ЗИ;

·       применение СЗИ;

·       выявление и реагирование на инциденты ИБ;

·       обеспечение ЗИ при использовании сети Интернет;

·       определение порядка доступа к компонентам платежной системы;

·       организация и проведение контроля и оценки выполнения требований к ЗИ не реже 1 раза в 2 года.

Работы по ЗИ и оценка соблюдения требований к ЗИ могут осуществляться операторами и агентами платежных систем самостоятельно или с привлечением лицензиатов ФСТЭК России. Отдельно указано, что требования к ЗИ должны быть реализованы на всех этапах создания и эксплуатации собственных информационных систем, а в случае приобретения таких систем - на этапах ввода в эксплуатацию и непосредственно при эксплуатации.

В целом, рассмотренное Постановление Правительства носит декларативный характер по сравнению с документами ЦБ РФ, которые содержат детальные требования по ЗИ и рекомендации по их исполнению.

Положение Банка России №379-П от 31.05.2012 «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах» было принято практически одновременно с 382-П, однако утратило силу в связи с принятием Положения Банка России №607-П от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». В 607-П речь идет об управлении рисками и непрерывностью предоставления услуг в платежной системе. В данном документе, в частности, говорится о необходимости проводить оценку рисков не реже 1 раза в год, а пересматривать систему риск-менеджмента - не реже 1 раза в 2 года. Приводится перечень количественных показателей доступности услуг платежной инфраструктуры, бесперебойности функционирования платежной системы и частоты инцидентов (т.е. событий, приведших к нарушению предоставления платежных сервисов, возникших в том числе вследствие нарушений ЗИ), а также методы расчета этих показателей. Рассчитанные показатели затем используются при оценке системы управления рисками в платежной системе, при этом для оценки рисков следует применять стандарт ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». Период хранения сведений об инцидентах равен 3 годам, а форма отчетности оператора платежной системы определена в Указании ЦБ РФ №3280-У от 11.06.2014 «О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры». Кроме этого, в 607-П подчеркивается важность разработки, тестирования и актуализации планов обеспечения непрерывности деятельности и восстановления работоспособности.

По сути аналогичный Положению №607-П документ принят и для самого Банка России - речь идет о Положении Банка России №680-П от 27.03.2019 «О порядке обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи». В данном документе указаны конкретные количественные и временные показатели бесперебойности функционирования платежной системы Банка России, а также указано, что Центробанк будет обязан выполнять нормы стандарта ГОСТ Р 57580.2-2018 (мы говорили о нем ранее) не ниже 4-го уровня соответствия к 01.01.2021. В целом, 680-П является очень глубоким риск-ориентированным документом, который можно взять за образец при проработке норм указанного ранее Положения №607-П.

Положение ЦБ РФ №380-П от 31.05.2012 «О порядке осуществления наблюдения в национальной платежной системе» устанавливает правила наблюдения Банком России за деятельностью субъектов НПС. Мониторинг осуществляется путем направления Центробанком запросов субъектам НПС об оказываемых ими платежных услугах и тарифах, характеристиках ИТ-инфраструктуры, показателях бесперебойности оказания платежных услуг, уровне обеспечения ЗИ (в т.ч. о выявленных инцидентах ИБ), введении новых услуг и о жалобах клиентов. На основании полученных данных ЦБ РФ затем осуществляет анализ в целях формирования показателей функционирования субъектов НПС и корректировки нормативных документов, а также для повышения осведомленности самих субъектов НПС и вынесения им рекомендаций. Отдельная глава посвящена оценке и корректировке деятельности значимых платежных систем (платежная система признается значимой на основании положений ст.22 161-ФЗ), в т.ч. в разрезе совершенствования обеспечения ЗИ при осуществлении переводов д/с. На основе результатов мониторинга Банк России формирует обобщенный обзор результатов наблюдения в НПС, включая значимые платежные системы, который подлежит опубликованию.

Положение ЦБ РФ №381-П от 09.06.2012 «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года №161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России» было заменено Положением ЦБ РФ №640-П от 16.04.2018 «О порядке осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года №161-ФЗ «О национальной платежной системе» и принимаемых в соответствии с ним нормативных актов Банка России». Положение №640-П формулирует права Банка России при осуществлении надзора за соблюдением требований 161-ФЗ, такие как анализ документов и информации и проведение инспекционных проверок (в соответствии с Инструкцией ЦБ РФ №184-И), а также устанавливает способы воздействия на операторов для устранения выявленных недостатков. При этом Центробанк вправе осуществлять проверку соблюдения операторами требований к обеспечению ЗИ при осуществлении переводов д/с.

Перейдем к более новым документам, разработанным ЦБ РФ. Положение № 683-П от 17.04.2019 «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» предъявляет требования по защите электронных сообщений банков и их клиентов, клиентской аутентификационной информации, информации об осуществленных банковских операциях, а также ключевой информации применяемых СКЗИ. Положение ЦБ РФ №683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017 (мы уже писали о нем), а иные - в соответствии со стандартным (2-ым) уровнем защиты. При этом, кредитные организации обязаны выполнять нормы 3-его уровня соответствия с 01.01.2021 и нормы 4-го уровня - с 01.01.2023. Далее, по 683-П кредитные организации обязаны проводить ежегодные пентесты и анализ уязвимостей инфраструктуры. Кроме того, банки обязаны использовать применяемое для осуществления банковских операций ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 382-П, о которых мы писали ранее). При этом в части ПО, не применяемого для банковских операций, банки могут самостоятельно принимать решение о необходимости сертификации, анализа уязвимостей и контроля отсутствия НДВ. Отдельно указано, что для проведения анализа уязвимостей кредитные организации должны привлекать лицензиатов ФСТЭК России.

382-п Финцерт Управление уязвимостями Стандарты ИБ Подкасты ИБ ГОСТы и документы ИБ Финансы в ИБ

Рекомендуем

Практическая защита персональных данных
Практическая защита персональных данных
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Защита веб-приложений: WAF
Защита веб-приложений: WAF
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
ChatGPT на темной и светлой стороне
ChatGPT на темной и светлой стороне
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Рекомендуем

Практическая защита персональных данных
Практическая защита персональных данных
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Защита веб-приложений: WAF
Защита веб-приложений: WAF
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
ChatGPT на темной и светлой стороне
ChatGPT на темной и светлой стороне
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Похожие статьи

Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Защита веб-приложений: WAF
Защита веб-приложений: WAF

Похожие статьи

Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Защита веб-приложений: WAF
Защита веб-приложений: WAF