SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание

Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
18.11.2019


 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision


В предыдущей статье мы начали рассматривать Положение ЦБ РФ №683-П. В этой части мы продолжим анализ данного документа и других актуальных норм ЦБ РФ.


В Положении № 683-П пункт 5 посвящен перечислению требований к ЗИ при осуществлении переводов д/с, таких как:

  • использование электронной подписи сообщений;

  • регламентация, реализация и контроль процедур:

    • идентификации, аутентификации и авторизации клиентов;

    • формирования, передачи и приема электронных сообщений;

    • удостоверения права клиентов распоряжаться д/с (в этом случае дополнительно обеспечивается использование электронных подписей и получение подтверждения от клиента о совершенной операции);

    • осуществления банковских операций, учет результатов их осуществления (в этом случае дополнительно обеспечиваются проверка соответствия выходных сообщений входным, проверка соответствия результатов банковской операции данным из электронного сообщения и направление уведомлений клиентам о проведенных операциях);

    • хранения электронных сообщений и информации об осуществленных банковских операциях;

  • обеспечение целостности и достоверности защищаемой информации, включая проверку корректности формирования и заполнения электронного сообщения, контроль дублирования и структурный контроль электронного сообщения, а также непосредственно защиту информации при передаче;

  • регистрация действий работников и клиентов, включая данные о дате и времени совершения операции, уникальный идентификатор субъекта, код технологического участка, результат выполнения операции, сетевой идентификатор использовавшегося устройства.


Указано, что кредитным организациям следует не менее 5 лет хранить информацию, относящуюся к переводам д/с, фактам действий работников и сотрудников, а также инцидентам ЗИ, а при использовании СКЗИ следует руководствоваться соответствующей нормативной базой в области криптографической защиты информации.


Немаловажным пунктом в рассматриваемом документе является его «клиентоориентированность»: кредитные организации обязаны информировать клиентов о возможных рисках использования технических средств при осуществлении платежей и о мерах по минимизации данных рисков.


Отдельным пунктом указаны требования по реагированию на инциденты ЗИ. Так, указано, что кредитные организации должны относить к инцидентам ЗИ все события несанкционированных операций с д/с и неоказания банковских услуг, а также руководствоваться перечнем типов инцидентов, сформированным ЦБ РФ (мы говорили о нем ранее). Инциденты ЗИ следует обрабатывать совместно со службой управления рисками и регистрировать факты, касающиеся инцидента ЗИ (защищаемую информацию, к которой был осуществлен НСД, а также результаты реагирования на инцидент). Кроме этого, организации должны хранить информацию, касающуюся инцидентов ЗИ, не менее 5 лет, а также уведомлять ЦБ РФ о выявленных инцидентах ЗИ и о планах по публикации информации, касающейся инцидентов ЗИ.


С 1 января 2021 года кредитные должны обеспечить проведение оценки соответствия уровню защиты информации (в соответствии с ГОСТ Р 57580.2-2018, о котором мы уже писали) не реже одного раза в два года, при этом следует привлекать стороннюю организацию-лицензиата ФСТЭК России, а выданный по результатам оценки отчет требуется хранить не менее 5 лет.


Перейдем к обзору еще одного документа, выпущенного Центробанком России одновременно с рассмотренным выше документом: Положению № 684-П от 17.04.2019 «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» применяется уже к другому типу финансовых компаний, нежели 683-П, но содержит перекликающиеся нормы. Так, с 1 января 2021 года некредитные финансовые организации обязаны обеспечивать защиту информации в соответствии с ГОСТ Р 57580.1-2017 (мы писали о нем ранее), при этом усиленный уровень ЗИ должны соблюдать центральные контрагенты и центральный депозитарий, а стандартный уровень - специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, клиринговые организации, организаторы торговли, репозитарии, а также крупные страховые организации, брокеры, дилеры, депозитарии, регистраторы и управляющие; все перечисленные организации также обязаны проводить пентесты и анализ уязвимостей. Прочие некредитные финансовые организации ежегодно осуществляют выбор применимого к ним уровня ЗИ самостоятельно - напомним, что ГОСТ Р 57580.1-2017 устанавливает три уровня ЗИ: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).


Начиная с 1 января 2021 года оценка определенного некредитными организациями уровня ЗИ осуществляется в соответствии с ГОСТ Р 57580.2-2018 с привлечением сторонних организаций-лицензиатов ФСТЭК России, при этом такая оценка проводится не реже 1 раза в год организациями, выполняющими требования усиленного уровня ЗИ, и не реже 1 раза в 3 года - организациями, выполняющими требования стандартного уровня ЗИ, при этом некредитные финансовые организации обязаны выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня - к 01.01.2023. Отчет о проведенной проверке подлежит хранению в течение как минимум 5 лет.


Уже с 1 января 2020 года некредитные финансовые организации, реализующие усиленный и стандартный уровни ЗИ, будут обязаны при проведении финансовых операций использовать ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 683-П и 382-П). Указано, что иные некредитные финансовые организации (т.е. не реализующие ни усиленный, ни стандартный уровни ЗИ) обязаны самостоятельно определять необходимость сертификации или анализа уязвимостей используемого и предоставляемого клиентам ПО. При этом в части ПО, не применяемого для финансовых операций, организации могут самостоятельно принимать решение о необходимости сертификации или анализа уязвимостей. В части анализа уязвимостей в прикладном ПО автоматизированных систем и приложений для некредитных организаций, по сравнению с кредитными, сделано послабление - они могут проводить данную процедуру как самостоятельно, так и с привлечением проверяющей организации.


В части описания требований к ЗИ при осуществлении финансовых операций, реагирования на инциденты ЗИ и требований по работе с СКЗИ нормы 684-П полностью повторяют требования 683-П, описанные выше.


Еще одним нормативным актом, касающимся вопросов информационной безопасности в банковской сфере, является Положение № 607-П Банка России от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». Данный документ регламентирует процессы управления и оценки рисков, а также вводит количественные показатели непрерывности функционирования платежной системы в зависимости от уровня её значимости. Описан порядок обработки инцидентов услуг платежной инфраструктуры, включая объем сохраняемых сведений, касающихся таких инцидентов, и срок их хранения (3 года). Количественные значения показателей непрерывности предоставления услуг платежной системы рассчитываются по формулам, приведенным в Приложении к данному документу, и, в зависимости от полученных количественных значений, система управления рисками в платежной системе может быть пересмотрена. В зависимости от нарушенных пороговые значения показателей непрерывности инцидент услуг платежной инфраструктуры может быть признан влияющим или непосредственно не влияющим на бесперебойность функционирования платежной системы. В документе также дана ссылка на применение Указания №3280-У, которое регламентирует оповещение ЦБ РФ и других участников платежной системы о приостановлении оказания услуг оператором платежной системы.


Как мы видим, регуляторная база для финансовых организаций отличается своим объемом и непрерывной актуализацией. Отвечая текущим вызовам информационной безопасности финансового сектора и регуляторным нормам, компания «Интеллектуальная безопасность» предлагает продукт Security Vision Cyber Risk System, предназначенный для финансовых организаций. Данный продукт помогает в расчете и анализе киберрисков, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в части управления киберрисками, а также в реагировании на инциденты ЗИ из модуля Security Vision Incident Response Platform, построении ситуационных центров мониторинга информационной безопасности в финансовых учреждениях. Кроме того, Security Vision Cyber Risk System обеспечивает взаимодействие с FinCERT, включая автоматизированный прием электронных сообщений от АСОИ ФинЦЕРТ, и мониторинг ИБ при работе с Единой биометрической системой.


Список требований Положения № 382-П Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения № 382-П

Использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации: п. 2.5.5.1 (вступает в силу с 01.01.2020)

Решение Security Vision сертифицировано ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей

Повышение осведомленности в области обеспечения защиты информации: п. 2.12

Повышение осведомленности (Awareness) в области ИБ

Выявление и реагирование на инциденты: п. 2.13

Комплектация Security Vision Incident Response Platform [IRP]: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования

Выявление рисков в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2

Комплектация Security Vision Cyber Risk System [CRS]: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов

Выявление уязвимостей в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2

Комплектация Security Vision Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей

Выявление событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств: п. 2.18.6

Ядро корреляции

 

 

Список требований Положения «О требованиях к СУОР»

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения «О требованиях к СУОР»

Использование программного комплекса, обеспечивающего функционирование системы управления операционным риском и отдельных её элементов: п. 1.6

Автоматизация ведения базы событий и процедур управления операционным риском: п. 4.3

Комплектация Security Vision Cyber Risk System [CRS]: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация

Выявление и сбор событий операционного риска, включая автоматизированное выявление информации из информационных систем, а также регистрация событий операционного риска в базе событий: п. 3.3

Ядро корреляции

Комплектация Incident Response Platform [IRP]: База знаний

Применение средств автоматизации для проведения процедуры качественной оценки операционных рисков: п. 3.5

Кластер аналитики BigData

 

 

Киберриски (Cyber Risk, CRS) IRP Метрики ИБ Финцерт Подкасты ИБ 382-п Финансы в ИБ

Рекомендуем

API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Рекомендуем

API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Похожие статьи

Два столпа Linux мониторинга
Два столпа Linux мониторинга
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Управление мобильными устройствами
Управление мобильными устройствами
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Принципы информационной безопасности
Принципы информационной безопасности
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Похожие статьи

Два столпа Linux мониторинга
Два столпа Linux мониторинга
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Управление мобильными устройствами
Управление мобильными устройствами
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Принципы информационной безопасности
Принципы информационной безопасности
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации