SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение

Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
20.10.2019

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      


Руслан Рахметов, Security Vision


Рассмотрев в предыдущей публикации положения 382-П, следует проанализировать и другие Положения ЦБ (переходя от более старым к более новым), а также поговорить про Постановление Правительства №584. Начнем с последнего.


Постановление Правительства №584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе» было подписано во исполнение норм 161-ФЗ «О национальной платежной системе» и вступило в силу с 01.07.2012. Данное Постановление содержит требования к операторам и агентам платежных систем по обеспечению в них безопасности информации, подлежащей обязательной защите в соответствии с законодательством РФ, включая ПДн. В документе описаны следующие требования к ЗИ в платежной системе:


·  назначение ответственного за ЗИ работника или подразделения;

·  включение требований по ЗИ в должностные инструкции работников платежной системы;

·  определение угроз безопасности (т.е. моделирование угроз) и анализ уязвимостей;

·  анализ и управление рисками нарушения требований к ЗИ;

·  применение СЗИ;

·  выявление и реагирование на инциденты ИБ;

·  обеспечение ЗИ при использовании сети Интернет;

·  определение порядка доступа к компонентам платежной системы;

·  организация и проведение контроля и оценки выполнения требований к ЗИ не реже 1 раза в 2 года.


Работы по ЗИ и оценка соблюдения требований к ЗИ могут осуществляться операторами и агентами платежных систем самостоятельно или с привлечением лицензиатов ФСТЭК России. Отдельно указано, что требования к ЗИ должны быть реализованы на всех этапах создания и эксплуатации собственных информационных систем, а в случае приобретения таких систем - на этапах ввода в эксплуатацию и непосредственно при эксплуатации.


В целом, рассмотренное Постановление Правительства носит декларативный характер по сравнению с документами ЦБ РФ, которые содержат детальные требования по ЗИ и рекомендации по их исполнению.


Положение Банка России №379-П от 31.05.2012 «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах» было принято практически одновременно с 382-П, однако утратило силу в связи с принятием Положения Банка России №607-П от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». В 607-П речь идет об управлении рисками и непрерывностью предоставления услуг в платежной системе. В данном документе, в частности, говорится о необходимости проводить оценку рисков не реже 1 раза в год, а пересматривать систему риск-менеджмента - не реже 1 раза в 2 года. Приводится перечень количественных показателей доступности услуг платежной инфраструктуры, бесперебойности функционирования платежной системы и частоты инцидентов (т.е. событий, приведших к нарушению предоставления платежных сервисов, возникших в том числе вследствие нарушений ЗИ), а также методы расчета этих показателей. Рассчитанные показатели затем используются при оценке системы управления рисками в платежной системе, при этом для оценки рисков следует применять стандарт ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». Период хранения сведений об инцидентах равен 3 годам, а форма отчетности оператора платежной системы определена в Указании ЦБ РФ №3280-У от 11.06.2014 «О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры». Кроме этого, в 607-П подчеркивается важность разработки, тестирования и актуализации планов обеспечения непрерывности деятельности и восстановления работоспособности.


По сути аналогичный Положению №607-П документ принят и для самого Банка России - речь идет о Положении Банка России №680-П от 27.03.2019 «О порядке обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи». В данном документе указаны конкретные количественные и временные показатели бесперебойности функционирования платежной системы Банка России, а также указано, что Центробанк будет обязан выполнять нормы стандарта ГОСТ Р 57580.2-2018 (мы говорили о нем ранее) не ниже 4-го уровня соответствия к 01.01.2021. В целом, 680-П является очень глубоким риск-ориентированным документом, который можно взять за образец при проработке норм указанного ранее Положения №607-П.


Положение ЦБ РФ №380-П от 31.05.2012 «О порядке осуществления наблюдения в национальной платежной системе» устанавливает правила наблюдения Банком России за деятельностью субъектов НПС. Мониторинг осуществляется путем направления Центробанком запросов субъектам НПС об оказываемых ими платежных услугах и тарифах, характеристиках ИТ-инфраструктуры, показателях бесперебойности оказания платежных услуг, уровне обеспечения ЗИ (в т.ч. о выявленных инцидентах ИБ), введении новых услуг и о жалобах клиентов. На основании полученных данных ЦБ РФ затем осуществляет анализ в целях формирования показателей функционирования субъектов НПС и корректировки нормативных документов, а также для повышения осведомленности самих субъектов НПС и вынесения им рекомендаций. Отдельная глава посвящена оценке и корректировке деятельности значимых платежных систем (платежная система признается значимой на основании положений ст.22 161-ФЗ), в т.ч. в разрезе совершенствования обеспечения ЗИ при осуществлении переводов д/с. На основе результатов мониторинга Банк России формирует обобщенный обзор результатов наблюдения в НПС, включая значимые платежные системы, который подлежит опубликованию.


Положение ЦБ РФ №381-П от 09.06.2012 «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года №161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России» было заменено Положением ЦБ РФ №640-П от 16.04.2018 «О порядке осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года №161-ФЗ «О национальной платежной системе» и принимаемых в соответствии с ним нормативных актов Банка России». Положение №640-П формулирует права Банка России при осуществлении надзора за соблюдением требований 161-ФЗ, такие как анализ документов и информации и проведение инспекционных проверок (в соответствии с Инструкцией ЦБ РФ №184-И), а также устанавливает способы воздействия на операторов для устранения выявленных недостатков. При этом Центробанк вправе осуществлять проверку соблюдения операторами требований к обеспечению ЗИ при осуществлении переводов д/с.


Перейдем к более новым документам, разработанным ЦБ РФ. Положение № 683-П от 17.04.2019 «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» предъявляет требования по защите электронных сообщений банков и их клиентов, клиентской аутентификационной информации, информации об осуществленных банковских операциях, а также ключевой информации применяемых СКЗИ. Положение ЦБ РФ №683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017 (мы уже писали о нем), а иные - в соответствии со стандартным (2-ым) уровнем защиты. При этом, кредитные организации обязаны выполнять нормы 3-его уровня соответствия с 01.01.2021 и нормы 4-го уровня - с 01.01.2023. Далее, по 683-П кредитные организации обязаны проводить ежегодные пентесты и анализ уязвимостей инфраструктуры. Кроме того, банки обязаны использовать применяемое для осуществления банковских операций ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 382-П, о которых мы писали ранее). При этом в части ПО, не применяемого для банковских операций, банки могут самостоятельно принимать решение о необходимости сертификации, анализа уязвимостей и контроля отсутствия НДВ. Отдельно указано, что для проведения анализа уязвимостей кредитные организации должны привлекать лицензиатов ФСТЭК России.

382-п Финцерт Управление уязвимостями Стандарты ИБ Подкасты ИБ ГОСТы и документы ИБ Финансы в ИБ

Рекомендуем

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Отчеты нового поколения
Отчеты нового поколения
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Что за зверь Security Champion?
Что за зверь Security Champion?

Рекомендуем

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Отчеты нового поколения
Отчеты нового поколения
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Что за зверь Security Champion?
Что за зверь Security Champion?

Похожие статьи

ChatGPT в ИБ - на темной и светлой стороне
ChatGPT в ИБ - на темной и светлой стороне
Тестирование на проникновение
Тестирование на проникновение
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Импортозамещение
Импортозамещение
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"

Похожие статьи

ChatGPT в ИБ - на темной и светлой стороне
ChatGPT в ИБ - на темной и светлой стороне
Тестирование на проникновение
Тестирование на проникновение
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Импортозамещение
Импортозамещение
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"