
Применимость продуктов Security Vision для компаний финансовой отрасли
Выполнение требований
Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (Проект) устанавливает требования к системе управления операционным риском, включая требования к системам управления риском информационной безопасности и риском информационных систем.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, определяет требования к организации и функционированию платежных систем.
Положение Банка России от 09 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» определяет требования к обеспечению защиты информации при осуществлении переводов денежных средств.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт PCI DSS версии 3.2 «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности» устанавливает требования по защите данных держателей платежных карт и самих данных платежных карт. Данный стандарт является обязательным для всех организаций, которые обрабатывают данные банковских карт: торгово-сервисных предприятий, процессинговых центров, эквайеров, эмитентов и поставщиков услуг.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» устанавливает определенные требования к техническим системам реагирования на инциденты ИБ, а также к самому процессу организации такого реагирования. Данный стандарт является обязательным для организаций, подчиняющихся нормативам Банка России.
Стандарт СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» определяет различные аспекты взаимодействия Банка России с участниками информационного обмена при выявлении кибер-инцидентов.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.
Применимость:
· Построение центров мониторинга информационной безопасности
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» устанавливает требования к системам защиты информации при осуществлении финансовых операций.
Стандарт ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» определяет способ оценки соответствия защиты информации независимой организацией.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (Проект) устанавливает требования к системе управления операционным риском, включая требования к системам управления риском информационной безопасности и риском информационных систем.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, определяет требования к организации и функционированию платежных систем.
Положение Банка России от 09 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» определяет требования к обеспечению защиты информации при осуществлении переводов денежных средств.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт PCI DSS версии 3.2 «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности» устанавливает требования по защите данных держателей платежных карт и самих данных платежных карт. Данный стандарт является обязательным для всех организаций, которые обрабатывают данные банковских карт: торгово-сервисных предприятий, процессинговых центров, эквайеров, эмитентов и поставщиков услуг.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» устанавливает определенные требования к техническим системам реагирования на инциденты ИБ, а также к самому процессу организации такого реагирования. Данный стандарт является обязательным для организаций, подчиняющихся нормативам Банка России.
Стандарт СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» определяет различные аспекты взаимодействия Банка России с участниками информационного обмена при выявлении кибер-инцидентов.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.
Применимость:
· Построение центров мониторинга информационной безопасности
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» устанавливает требования к системам защиты информации при осуществлении финансовых операций.
Стандарт ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» определяет способ оценки соответствия защиты информации независимой организацией.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Проблематика
Российские компании, работающие в финансовой отрасли, подпадают под действие разнообразных нормативно-правовых актов, стандартов, процедур. Так, на сегодняшний день банковская организация должна соответствовать в том числе и следующим нормам, относящимся к ИТ-инфраструктуре и риск-менеджменту организации: Федеральное Законодательство (ФЗ №395-1 «О банках и банковской деятельности», 161-ФЗ «О национальной платежной системе», 187-ФЗ «О безопасности критической информационной инфраструктуры», 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», 98-ФЗ «О коммерческой тайне», 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком», 63-ФЗ «Об электронной подписи»); нормативы Центрального банка Российской Федерации (серия стандартов СТО БР ИББС, положения ЦБ РФ); стандарты PCI DSS 3.2, ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.
Для соответствия данному спектру регуляторных норм и правил организации, работающие в финансовой отрасли, вынуждены выполнять многочисленные требования, среди которых:
· Документальное обеспечение деятельности по защите информации (разработка внутренних политик, стандартов, регламентов, процедур в области информационной безопасности), а также взаимодействие с регуляторами
· Осуществление процессов управления рисками
· Ограничение и контроль доступа к информации ограниченного распространения (банковская тайна, персональные данные, коммерческая тайна, платежная информация и данные держателей карт, сведения о мерах и средствах защиты объектов критической информационной инфраструктуры)
· Выявление, анализ, обработка уязвимостей информационных ресурсов
· Применение соответствующих средств защиты информации
· Мониторинг и аудит сети, инфраструктуры, событий и инцидентов информационной безопасности
· Реагирование на инциденты информационной безопасности (подготовка, обнаружение, анализ, сдерживание, устранение, восстановление, улучшение защиты)
Кроме того, некоторые нормативные документ вносят дополнительные требования к системам, обеспечивающим информационные процессы в организациях финансовой отрасли. Например, Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в качестве одного из элементов системы управления операционным риском указывает программный комплекс, обеспечивающий функционирование системы управления операционным риском и отдельных её элементов. Более того, этот же документ указывает на необходимость использования базы событий операционного риска, а также на привлечение средств автоматизации для проведения процедуры качественной оценки операционных рисков.
Таким образом, очевидным становится, что выполнить всё множество норм и требований без существенного увеличения трудозатрат и денежных вложений практически нереально. Если добавить к данному спектру вопросов существенную нехватку опытных специалистов по информационной безопасности и необходимость в их привлечении, обучении, удержании, то картина получается удручающая.
Российские компании, работающие в финансовой отрасли, подпадают под действие разнообразных нормативно-правовых актов, стандартов, процедур. Так, на сегодняшний день банковская организация должна соответствовать в том числе и следующим нормам, относящимся к ИТ-инфраструктуре и риск-менеджменту организации: Федеральное Законодательство (ФЗ №395-1 «О банках и банковской деятельности», 161-ФЗ «О национальной платежной системе», 187-ФЗ «О безопасности критической информационной инфраструктуры», 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», 98-ФЗ «О коммерческой тайне», 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком», 63-ФЗ «Об электронной подписи»); нормативы Центрального банка Российской Федерации (серия стандартов СТО БР ИББС, положения ЦБ РФ); стандарты PCI DSS 3.2, ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.
Для соответствия данному спектру регуляторных норм и правил организации, работающие в финансовой отрасли, вынуждены выполнять многочисленные требования, среди которых:
· Документальное обеспечение деятельности по защите информации (разработка внутренних политик, стандартов, регламентов, процедур в области информационной безопасности), а также взаимодействие с регуляторами
· Осуществление процессов управления рисками
· Ограничение и контроль доступа к информации ограниченного распространения (банковская тайна, персональные данные, коммерческая тайна, платежная информация и данные держателей карт, сведения о мерах и средствах защиты объектов критической информационной инфраструктуры)
· Выявление, анализ, обработка уязвимостей информационных ресурсов
· Применение соответствующих средств защиты информации
· Мониторинг и аудит сети, инфраструктуры, событий и инцидентов информационной безопасности
· Реагирование на инциденты информационной безопасности (подготовка, обнаружение, анализ, сдерживание, устранение, восстановление, улучшение защиты)
Кроме того, некоторые нормативные документ вносят дополнительные требования к системам, обеспечивающим информационные процессы в организациях финансовой отрасли. Например, Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в качестве одного из элементов системы управления операционным риском указывает программный комплекс, обеспечивающий функционирование системы управления операционным риском и отдельных её элементов. Более того, этот же документ указывает на необходимость использования базы событий операционного риска, а также на привлечение средств автоматизации для проведения процедуры качественной оценки операционных рисков.
Таким образом, очевидным становится, что выполнить всё множество норм и требований без существенного увеличения трудозатрат и денежных вложений практически нереально. Если добавить к данному спектру вопросов существенную нехватку опытных специалистов по информационной безопасности и необходимость в их привлечении, обучении, удержании, то картина получается удручающая.
Применение
ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, инцидентами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.
Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение по автоматизации взаимодействия банков и некредитных финансовых организаций с ФинЦЕРТ Банка России. Данный продукт позволяет осуществить построение ситуационного центра информационной безопасности (SOC) в масштабе организации или страны, при этом соблюдая нормы взаимодействия при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации, и реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств.
В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности компаний финансовой отрасли.
Компаниям финансового сектора стоит безусловно обратить внимание на продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре.
Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя продукт Security Governance, Risk Management and Compliance [SGRC] для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.
Следует отметить, что линейка продуктов Security Vision соответствует перспективным нормативным методологическим доменам ГУБиЗИ ЦБ РФ: домену УР «Управление кибер-риском», домену СО «Мониторинг кибер-рисков и ситуационная осведомленность», домену УИ «Управление инцидентами ИБ».
Продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, инцидентами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.
Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение по автоматизации взаимодействия банков и некредитных финансовых организаций с ФинЦЕРТ Банка России. Данный продукт позволяет осуществить построение ситуационного центра информационной безопасности (SOC) в масштабе организации или страны, при этом соблюдая нормы взаимодействия при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации, и реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств.
В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности компаний финансовой отрасли.
Компаниям финансового сектора стоит безусловно обратить внимание на продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре.
Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя продукт Security Governance, Risk Management and Compliance [SGRC] для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.
Следует отметить, что линейка продуктов Security Vision соответствует перспективным нормативным методологическим доменам ГУБиЗИ ЦБ РФ: домену УР «Управление кибер-риском», домену СО «Мониторинг кибер-рисков и ситуационная осведомленность», домену УИ «Управление инцидентами ИБ».
Продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
Ссылки
· ФЗ №395-1 «О банках и банковской деятельности»: https://www.consultant.ru/document/cons_doc_LAW_5842/
· 161-ФЗ «О национальной платежной системе»: https://rg.ru/2011/06/30/fz-dok.html
· 187-ФЗ «О безопасности критической информационной инфраструктуры»: https://rg.ru/2017/07/31/bezopasnost-dok.html
· 152-ФЗ «О персональных данных»: https://www.consultant.ru/document/cons_doc_LAW_61801/
· 149-ФЗ «Об информации, информационных технологиях и о защите информации»: https://www.consultant.ru/document/cons_doc_LAW_61798/
· 98-ФЗ «О коммерческой тайне»: https://www.consultant.ru/document/cons_doc_LAW_48699/
· 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком»: https://www.consultant.ru/document/cons_doc_LAW_103037/
· 63-ФЗ «Об электронной подписи»: https://www.consultant.ru/document/cons_doc_LAW_112701/
· Стандарт PCI DSS 3.2: https://ru.pcisecuritystandards.org/