Применимость продуктов Security Vision для компаний финансовой отрасли

Выполнение требований

Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (Проект) устанавливает требования к системе управления операционным риском, включая требования к системам управления риском информационной безопасности и риском информационных систем.

Применимость:

· Финансовый сектор

Список требований Положения «О требованиях к СУОР»	Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения «О требованиях к СУОР»
Использование программного комплекса, обеспечивающего функционирование системы управления операционным риском и отдельных её элементов: п. 1.6 Автоматизация ведения базы событий и процедур управления операционным риском: п. 4.3	Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация
Выявление и сбор событий операционного риска, включая автоматизированное выявление информации из информационных систем, а также регистрация событий операционного риска в базе событий: п. 3.3	Ядро корреляции Агент сбора Комплектация «Incident Response Platform [IRP]»: База знаний
Применение средств автоматизации для проведения процедуры качественной оценки операционных рисков: п. 3.5	Кластер аналитики BigData

Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, определяет требования к организации и функционированию платежных систем.

Положение Банка России от 09 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» определяет требования к обеспечению защиты информации при осуществлении переводов денежных средств.

Применимость:

· Финансовый сектор

Список требований Положения № 382-П	Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения № 382-П
Использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации: п. 2.5.5.1 (вступает в силу с 01.01.2020)	Решение «Security Vision» сертифицировано ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей
Повышение осведомленности в области обеспечения защиты информации: п. 2.12	Повышение осведомленности (Awareness) в области ИБ
Выявление и реагирование на инциденты: п. 2.13	Комплектация «Incident Response Platform [IRP]»: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования
Выявление рисков в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2	Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов
Выявление уязвимостей в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2	Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей
Выявление событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств: п. 2.18.6	Ядро корреляции Агент сбора Агент доступности

Стандарт PCIDSS версии 3.2 «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности»устанавливает требования по защите данных держателей платежных карт и самих данных платежных карт. Данный стандарт является обязательным для всех организаций, которые обрабатывают данные банковских карт: торгово-сервисных предприятий, процессинговых центров, эквайеров, эмитентов и поставщиков услуг.

Применимость:

· Финансовый сектор

Список требований стандарта PCIDSS 3.2	Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандартаPCIDSS 3.2
Осуществление процесса обработки уязвимостей (выявление, оценка критичности, установка обновлений): п. 6.1, 6.2	Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей
Осуществление процесса оценки рисков, включающего выявление критичных активов, угроз, уязвимостей, с заданной периодичностью и документированием: п. 12.2	Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов
Журналирование заданных типов событий с заданной полнотой: п. 10.1, 10.2, 10.3	Ядро корреляции Агент сбора
Мониторинг целостности файлов: п. 11.5	Агент контроля целостности
Контроль хранения и доступности носителей: п. 9.7	Агент доступности Агент инвентаризации
Реагирование на инциденты информационной безопасности: п. 12.5.3, 12.10	Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом инцидентов, Оповещение и эскалация Комплектация «Security Operation Center [SOC]»: Управление жизненным циклом инцидентов, Оповещение и эскалация, Витрина дашбордов

Стандарт СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» устанавливает определенные требования к техническим системам реагирования на инциденты ИБ, а также к самому процессу организации такого реагирования. Данный стандарт является обязательным для организаций, подчиняющихся нормативам Банка России.

Стандарт СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» определяет различные аспекты взаимодействия Банка России с участниками информационного обмена при выявлении кибер-инцидентов.

Применимость:

· Финансовый сектор

Список требований стандартов СТО БР ИББС-1.3-2016, СТО БР БФБО-1.5-2018	Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандартов СТО БР ИББС-1.3-2016, СТО БР БФБО-1.5-2018
Контроль целостности, доступности, конфиденциальности технических данных об инциденте ИБ при их обработке: п. 5.2, 5.3, 5.4, 6.4	Агент контроля целостности
Средства инвентаризации систем: п. 12.1	Агент инвентаризации
Средства оценки защищенности систем: п. 12.1	Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей
Использование систем автоматизированной обработки собранных технических данных (LM/SIEM-системы) и описание типов источников событий ИБ: п. 6.2, 6.3.1, 6.4, 6.6.3, 7.5 – 7.18, 7.21, 12.3	Ядро корреляции Агент сбора
Использование систем автоматизации реагирования на инциденты ИБ (IRP-системы): п. 6.5 содержит указание на ограничение доступа или изоляцию элементов ИТ-инфраструктуры, содержащих технические данные об инциденте ИБ	Комплектация «Incident Response Platform [IRP]»: Конструктор сценариев реагирования
Автоматизация информационного обмена с Банком России: СТО БР БФБО-1.5-2018	Модуль интеграции с CERT (FinCERT)

Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.

Применимость:

· Построение центров мониторинга информационной безопасности

Список требований стандарта ISO/IEC 27035-1:2016	Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта ISO/IEC 27035-1:2016
Сбор информации относительно событий ИБ или уязвимостей: п. 5.3 c) Мониторинг и журналирование событий о действиях систем и сетей: п. 5.3 a)	Ядро корреляции Агент сбора Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей
Детектирование и сообщение о произошедшем событии ИБ или о существовании уязвимости, в ручном или автоматическом режиме: п. 5.3 b)	Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей
Список требований стандарты ISO/IEC 27035-2:2016	Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта ISO/IEC 27035-2:2016
Автоматизация передачи и обмена данных об инцидентах ИБ: п. 6.3, 8.3. Детектирование и сообщение о произошедшем событии ИБ, в ручном или автоматическом режиме: п. 6.4 b) 4)	Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей, Управление жизненным циклом инцидентов Комплектация«Security Operation Center [SOC]»: Оповещение и эскалация
Детектирование и сообщение об уязвимостях: п. 6.4 b) 7)	Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей
Использование средств криптографического контроля целостности для определения наличия внесенных в результате инцидента изменений в данных систем, сервисов и/или сетей: п. 9.1 e)	Агент контроля целостности
Внесение изменений (учет новых угроз и уязвимостей, внедрение новых средств защиты) в имеющуюся систему оценки рисков по результатам анализа инцидентов: п. 6.4f) 3), 12.4	Комплектация «Cyber Risk System [CRS]»: Управление рисками кибербезопасности

Стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»устанавливает требования к системам защиты информации при осуществлении финансовых операций.

Стандарт ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» определяет способ оценки соответствия защиты информации независимой организацией.

Применимость:

· Финансовый сектор

Список требований Стандарта ГОСТ Р 57580.1-2017	Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Стандарта ГОСТ Р 57580.1-2017
Регистрация событий защиты информации: п. 3.18	Ядро корреляции Агент сбора
Централизованное управление техническими мерами защиты информации: п. 3.44	Комплектация «Security Operation Center [SOC]»: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация Агент контроля целостности Ядро корреляции Агент сбора
Контроль отсутствия известных уязвимостей: п. 7.4.2	Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей
Контроль состава и целостности ПО информационной инфраструктуры: п. 7.4.1	Агент контроля целостности
Организация и контроль размещения, хранения и обновления ПО: п. 7.4.3	Агент инвентаризации
Управление инцидентами информационной безопасности: п. 7.7	Комплектация «Incident Response Platform [IRP]»: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования Ядро корреляции Агент сбора

Проблематика

Российские компании, работающие в финансовой отрасли, подпадают под действие разнообразных нормативно-правовых актов, стандартов, процедур. Так, на сегодняшний день банковская организация должна соответствовать в том числе и следующим нормам, относящимся к ИТ-инфраструктуре и риск-менеджменту организации: Федеральное Законодательство (ФЗ №395-1 «О банках и банковской деятельности», 161-ФЗ «О национальной платежной системе», 187-ФЗ «О безопасности критической информационной инфраструктуры», 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», 98-ФЗ «О коммерческой тайне», 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком», 63-ФЗ «Об электронной подписи»); нормативы Центрального банка Российской Федерации (серия стандартов СТО БР ИББС, положения ЦБ РФ); стандарты PCIDSS 3.2, ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.

Для соответствия данному спектру регуляторных норм и правил организации, работающие в финансовой отрасли, вынуждены выполнять многочисленные требования, среди которых:

· Документальное обеспечение деятельности по защите информации (разработка внутренних политик, стандартов, регламентов, процедур в области информационной безопасности), а также взаимодействие с регуляторами

· Осуществление процессов управления рисками

· Ограничение и контроль доступа к информации ограниченного распространения (банковская тайна, персональные данные, коммерческая тайна, платежная информация и данные держателей карт, сведения о мерах и средствах защиты объектов критической информационной инфраструктуры)

· Выявление, анализ, обработка уязвимостей информационных ресурсов

· Применение соответствующих средств защиты информации

· Мониторинг и аудит сети, инфраструктуры, событий и инцидентов информационной безопасности

· Реагирование на инциденты информационной безопасности (подготовка, обнаружение, анализ, сдерживание, устранение, восстановление, улучшение защиты)

Кроме того, некоторые нормативные документ вносят дополнительные требования к системам, обеспечивающим информационные процессы в организациях финансовой отрасли. Например, Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в качестве одного из элементов системы управления операционным риском указывает программный комплекс, обеспечивающий функционирование системы управления операционным риском и отдельных её элементов. Более того, этот же документ указывает на необходимость использования базы событий операционного риска, а также на привлечение средств автоматизации для проведения процедуры качественной оценки операционных рисков.

Таким образом, очевидным становится, что выполнить всё множество норм и требований без существенного увеличения трудозатрат и денежных вложений практически нереально. Если добавить к данному спектру вопросов существенную нехватку опытных специалистов по информационной безопасности и необходимость в их привлечении, обучении, удержании, то картина получается удручающая.

Решение

ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, инцидентами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.

Например, продукт «Security Vision» в комплектации «Security Operation Center [SOC]» предлагает решение по автоматизации взаимодействия банков и некредитных финансовых организаций с ФинЦЕРТ Банка России. Данный продукт позволяет осуществить построение ситуационного центра информационной безопасности (SOC) в масштабе организации или страны, при этом соблюдая нормы взаимодействия при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации, и реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств.

В дополнение к функционалу комплектации «Security Operation Center [SOC]», следует обратить внимание на комплектацию «Incident Response Platform [IRP]» – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности компаний финансовой отрасли.

Компаниям финансового сектора стоит безусловно обратить внимание на продукт Security Vision «Cyber Risk System [CRS]» – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре.

Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт «Security Governance, Risk Management and Compliance [SGRC]» для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.

Следует отметить, что линейка продуктов «Security Vision» соответствует перспективным нормативным методологическим доменам ГУБиЗИ ЦБ РФ: домену УР «Управление кибер-риском», домену СО «Мониторинг кибер-рисков и ситуационная осведомленность», домену УИ «Управление инцидентами ИБ».

Продукт «Security Vision» сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Ссылки

· ФЗ №395-1 «О банках и банковской деятельности»: https://www.consultant.ru/document/cons_doc_LAW_5842/

· 161-ФЗ «О национальной платежной системе»: https://rg.ru/2011/06/30/fz-dok.html

· 187-ФЗ «О безопасности критической информационной инфраструктуры»: https://rg.ru/2017/07/31/bezopasnost-dok.html

· 152-ФЗ «О персональных данных»: https://www.consultant.ru/document/cons_doc_LAW_61801/

· 149-ФЗ «Об информации, информационных технологиях и о защите информации»: https://www.consultant.ru/document/cons_doc_LAW_61798/

· 98-ФЗ «О коммерческой тайне»: https://www.consultant.ru/document/cons_doc_LAW_48699/

· 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком»: https://www.consultant.ru/document/cons_doc_LAW_103037/

· 63-ФЗ «Об электронной подписи»: https://www.consultant.ru/document/cons_doc_LAW_112701/

· Стандарт PCIDSS 3.2: https://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/en/docs/PCI_DSS_v3_2_RU-RU_Final.pdf