Применимость продуктов Security Vision для компаний финансовой отрасли

solution

Выполнение требований

Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (Проект) устанавливает требования к системе управления операционным р Читать полностью

Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (Проект) устанавливает требования к системе управления операционным риском, включая требования к системам управления риском информационной безопасности и риском информационных систем.

Применимость:

·       Финансовый сектор

Список требований Положения «О требованиях к СУОР»

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения «О требованиях к СУОР»

Использование программного комплекса, обеспечивающего функционирование системы управления операционным риском и отдельных её элементов: п. 1.6

Автоматизация ведения базы событий и процедур управления операционным риском: п. 4.3

Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация

Выявление и сбор событий операционного риска, включая автоматизированное выявление информации из информационных систем, а также регистрация событий операционного риска в базе событий: п. 3.3

Ядро корреляции

Агент сбора

Комплектация «Incident Response Platform [IRP]»: База знаний

Применение средств автоматизации для проведения процедуры качественной оценки операционных рисков: п. 3.5

Кластер аналитики BigData

 

Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, определяет требования к организации и функционированию платежных систем.

Положение Банка России от 09 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» определяет требования к обеспечению защиты информации при осуществлении переводов денежных средств.

Применимость:

·       Финансовый сектор

Список требований Положения № 382-П

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения № 382-П

Использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации: п. 2.5.5.1 (вступает в силу с 01.01.2020)

Решение «Security Vision» сертифицировано ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей

Повышение осведомленности в области обеспечения защиты информации: п. 2.12

Повышение осведомленности (Awareness) в области ИБ

Выявление и реагирование на инциденты: п. 2.13

Комплектация «Incident Response Platform [IRP]»: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования

Выявление рисков в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2

Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов

Выявление уязвимостей в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Выявление событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств: п. 2.18.6

Ядро корреляции

Агент сбора

Агент доступности

 

Стандарт PCIDSS версии 3.2 «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности»устанавливает требования по защите данных держателей платежных карт и самих данных платежных карт. Данный стандарт является обязательным для всех организаций, которые обрабатывают данные банковских карт: торгово-сервисных предприятий, процессинговых центров, эквайеров, эмитентов и поставщиков услуг.

Применимость:

·       Финансовый сектор

Список требований стандарта PCIDSS 3.2

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандартаPCIDSS 3.2

Осуществление процесса обработки уязвимостей (выявление, оценка критичности, установка обновлений): п. 6.1, 6.2

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Осуществление процесса оценки рисков, включающего выявление критичных активов, угроз, уязвимостей, с заданной периодичностью и документированием: п. 12.2

Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов

Журналирование заданных типов событий с заданной полнотой: п. 10.1, 10.2, 10.3

Ядро корреляции

Агент сбора

Мониторинг целостности файлов: п. 11.5

Агент контроля целостности

Контроль хранения и доступности носителей: п. 9.7

Агент доступности

Агент инвентаризации

Реагирование на инциденты информационной безопасности: п. 12.5.3, 12.10

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом инцидентов, Оповещение и эскалация

Комплектация «Security Operation Center [SOC]»: Управление жизненным циклом инцидентов, Оповещение и эскалация, Витрина дашбордов

 

Стандарт СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» устанавливает определенные требования к техническим системам реагирования на инциденты ИБ, а также к самому процессу организации такого реагирования. Данный стандарт является обязательным для организаций, подчиняющихся нормативам Банка России.

Стандарт СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» определяет различные аспекты взаимодействия Банка России с участниками информационного обмена при выявлении кибер-инцидентов.

Применимость:

·       Финансовый сектор

Список требований стандартов СТО БР ИББС-1.3-2016, СТО БР БФБО-1.5-2018

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандартов

СТО БР ИББС-1.3-2016, СТО БР БФБО-1.5-2018

Контроль целостности, доступности, конфиденциальности технических данных об инциденте ИБ при их обработке: п. 5.2, 5.3, 5.4, 6.4

Агент контроля целостности

Средства инвентаризации систем: п. 12.1

Агент инвентаризации

Средства оценки защищенности систем: п. 12.1

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Использование систем автоматизированной обработки собранных технических данных (LM/SIEM-системы) и описание типов источников событий ИБ: п. 6.2, 6.3.1, 6.4, 6.6.3, 7.5 – 7.18, 7.21, 12.3

Ядро корреляции

Агент сбора

Использование систем автоматизации реагирования на инциденты ИБ (IRP-системы): п. 6.5 содержит указание на ограничение доступа или изоляцию элементов ИТ-инфраструктуры, содержащих технические данные об инциденте ИБ

Комплектация «Incident Response Platform [IRP]»: Конструктор сценариев реагирования

Автоматизация информационного обмена с Банком России: СТО БР БФБО-1.5-2018

Модуль интеграции с CERT  (FinCERT)

 

Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.

Применимость:

·       Построение центров мониторинга информационной безопасности

Список требований стандарта ISO/IEC 27035-1:2016

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта

ISO/IEC 27035-1:2016

Сбор информации относительно событий ИБ или уязвимостей: п. 5.3 c)

Мониторинг и журналирование событий о действиях систем и сетей: п. 5.3 a)

Ядро корреляции

Агент сбора

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Детектирование и сообщение о произошедшем событии ИБ или о существовании уязвимости, в ручном или автоматическом режиме: п. 5.3 b)

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Список требований стандарты ISO/IEC 27035-2:2016

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта

ISO/IEC 27035-2:2016

Автоматизация передачи и обмена данных об инцидентах ИБ: п. 6.3, 8.3.

Детектирование и сообщение о произошедшем событии ИБ, в ручном или автоматическом режиме: п. 6.4 b) 4)

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей, Управление жизненным циклом инцидентов

Комплектация«Security Operation Center [SOC]»: Оповещение и эскалация

Детектирование и сообщение об уязвимостях: п. 6.4 b) 7)

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Использование средств криптографического контроля целостности для определения наличия внесенных в результате инцидента изменений в данных систем, сервисов и/или сетей: п. 9.1 e)

Агент контроля целостности

Внесение изменений (учет новых угроз и уязвимостей, внедрение новых средств защиты) в имеющуюся систему оценки рисков по результатам анализа инцидентов: п. 6.4f) 3), 12.4

Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности

 

Стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»устанавливает требования к системам защиты информации при осуществлении финансовых операций.

Стандарт ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» определяет способ оценки соответствия защиты информации независимой организацией.

Применимость:

·       Финансовый сектор

Список требований Стандарта ГОСТ Р 57580.1-2017

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Стандарта ГОСТ Р 57580.1-2017

Регистрация событий защиты информации: п. 3.18

Ядро корреляции

Агент сбора

Централизованное управление техническими мерами защиты информации: п. 3.44

Комплектация «Security Operation Center [SOC]»: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация

Агент контроля целостности

Ядро корреляции

Агент сбора

Контроль отсутствия известных уязвимостей: п. 7.4.2

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Контроль состава и целостности ПО информационной инфраструктуры: п. 7.4.1

Агент контроля целостности

Организация и контроль размещения, хранения и обновления ПО: п. 7.4.3

Агент инвентаризации

Управление инцидентами информационной безопасности: п. 7.7

Комплектация «Incident Response Platform [IRP]»: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования

Ядро корреляции

Агент сбора

 

Проблематика

Российские компании, работающие в финансовой отрасли, подпадают под действие разнообразных нормативно-правовых актов, стандартов, процедур. Так, на сегодняшний день банковская организация должн Читать полностью

Российские компании, работающие в финансовой отрасли, подпадают под действие разнообразных нормативно-правовых актов, стандартов, процедур. Так, на сегодняшний день банковская организация должна соответствовать в том числе и следующим нормам, относящимся к ИТ-инфраструктуре и риск-менеджменту организации: Федеральное Законодательство (ФЗ №395-1 «О банках и банковской деятельности», 161-ФЗ «О национальной платежной системе», 187-ФЗ «О безопасности критической информационной инфраструктуры», 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», 98-ФЗ «О коммерческой тайне», 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком», 63-ФЗ «Об электронной подписи»); нормативы Центрального банка Российской Федерации (серия стандартов СТО БР ИББС, положения ЦБ РФ); стандарты PCIDSS 3.2, ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.

Для соответствия данному спектру регуляторных норм и правил организации, работающие в финансовой отрасли, вынуждены выполнять многочисленные требования, среди которых:

·       Документальное обеспечение деятельности по защите информации (разработка внутренних политик, стандартов, регламентов, процедур в области информационной безопасности), а также взаимодействие с регуляторами

·       Осуществление процессов управления рисками

·       Ограничение и контроль доступа к информации ограниченного распространения (банковская тайна, персональные данные, коммерческая тайна, платежная информация и данные держателей карт, сведения о мерах и средствах защиты объектов критической информационной инфраструктуры)

·       Выявление, анализ, обработка уязвимостей информационных ресурсов

·       Применение соответствующих средств защиты информации

·       Мониторинг и аудит сети, инфраструктуры, событий и инцидентов информационной безопасности

·       Реагирование на инциденты информационной безопасности (подготовка, обнаружение, анализ, сдерживание, устранение, восстановление, улучшение защиты)

Кроме того, некоторые нормативные документ вносят дополнительные требования к системам, обеспечивающим информационные процессы в организациях финансовой отрасли. Например, Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в качестве одного из элементов системы управления операционным риском указывает программный комплекс, обеспечивающий функционирование системы управления операционным риском и отдельных её элементов. Более того, этот же документ указывает на необходимость использования базы событий операционного риска, а также на привлечение средств автоматизации для проведения процедуры качественной оценки операционных рисков.

Таким образом, очевидным становится, что выполнить всё множество норм и требований без существенного увеличения трудозатрат и денежных вложений практически нереально. Если добавить к данному спектру вопросов существенную нехватку опытных специалистов по информационной безопасности и необходимость в их привлечении, обучении, удержании, то картина получается удручающая.

Решение

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами Читать полностью

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, инцидентами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.

Например, продукт «Security Vision» в комплектации «Security Operation Center [SOC]» предлагает решение по автоматизации взаимодействия банков и некредитных финансовых организаций с ФинЦЕРТ Банка России. Данный продукт позволяет осуществить построение ситуационного центра информационной безопасности (SOC) в масштабе организации или страны, при этом соблюдая нормы взаимодействия при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации, и реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств.

В дополнение к функционалу комплектации «Security Operation Center [SOC]», следует обратить внимание на комплектацию «Incident Response Platform [IRP]» – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности компаний финансовой отрасли.

Компаниям финансового сектора стоит безусловно обратить внимание на продукт Security Vision «Cyber Risk System [CRS]» – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре.

Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт «Security Governance, Risk Management and Compliance [SGRC]» для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.

Следует отметить, что линейка продуктов «Security Vision» соответствует перспективным нормативным методологическим доменам ГУБиЗИ ЦБ РФ: домену УР «Управление кибер-риском», домену СО «Мониторинг кибер-рисков и ситуационная осведомленность», домену УИ «Управление инцидентами ИБ».

Продукт «Security Vision» сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.


Ссылки

·       ФЗ №395-1 «О банках и банковской деятельности»: https://www.consultant.ru/document/cons_doc_LAW_5842/

·       161-ФЗ «О национальной платежной системе»: https://rg.ru/2011/06/30/fz-dok.html

·       187-ФЗ «О безопасности критической информационной инфраструктуры»: https://rg.ru/2017/07/31/bezopasnost-dok.html

·       152-ФЗ «О персональных данных»: https://www.consultant.ru/document/cons_doc_LAW_61801/

·       149-ФЗ «Об информации, информационных технологиях и о защите информации»: https://www.consultant.ru/document/cons_doc_LAW_61798/

·       98-ФЗ «О коммерческой тайне»: https://www.consultant.ru/document/cons_doc_LAW_48699/

·       224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком»: https://www.consultant.ru/document/cons_doc_LAW_103037/

·       63-ФЗ «Об электронной подписи»: https://www.consultant.ru/document/cons_doc_LAW_112701/

·       Стандарт PCIDSS 3.2: https://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/en/docs/PCI_DSS_v3_2_RU-RU_Final.pdf


Это поле обязательно для заполнения
Это поле обязательно для заполнения

Согласен с Политикой конфиденциальности и с обработкой персональных данных в соответствии с Политикой обработки персональных данных

Это поле обязательно для заполнения
Необходимо ваше согласие на обработку персональных данных