SlideShare a Scribd company logo

Защита информации в НПС. Особенности оценки соответствия и Внедрения

Download as PPTX, PDF
Евгений Царев
Евгений Царев
Technology
1 of 18
Царев Евгений Доклад: Защита информации в НПС. Особенности оценки соответствия и Внедрения
Федеральный закон РоссийскойФедерации от 27 июня 2011 г. № 161-ФЗ "О национальной платежной системе" Ведомственные документы Банка России Постановление Правительства Российской Федерации от 13 июня 2012 г. № 584 "Об утверждении Положения о защите информации в платежной системе Положение Банка России от 31 мая 2012 года № 380-П "О порядке осуществления наблюдения в национальной платежной системе" Положение Банка России от 9 июня 2012 № 381-П "О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе",принятых в соответствие с ним нормативных актов Банка России" Положении Банка России от 9 июня 2012 года № 382-П “О требованиях к обеспечению защиты информации при осуществлениипереводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств” УказанииБанка Россииот 9 июня 2012 года №2831- У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, оп ераторов по переводу денежных средств” Положение Банка России от 31 мая 2012 г. № 379-П “О бесперебойности функционированияплатежных систем и анализе рисков в платежных системах”
Зачем все это?  Глобальные системы расчетов  Тренд «в облака»  НПС как мировой тренд  Объединение самых разных инцидентов под эгидой ЦБ
Классические ошибки/проблемы оценки соответствия по 382-П  Непродуманная этапность работы  Недостаточное понимание аудитором платежного процесса  Неверная интерпретация «шкалы» (требования категории проверки)  Необоснованная пессимизация показателя  Необоснованное завышение показателя  Ошибки при сборе свидетельств  Обоснование не соответствует выставленной оценке  Терминологические проблемы (инцидент)
«Этапность» проведения оценки 1. Анализ документов 2. Проведение интервью 3. Анализ свидетельств 4. Проведение итоговой оценки соответствия
«Этапность» проведения оценки 1. Анализ документов 2. Проведение интервью 3. Анализ свидетельств 4. Проведение предварительной оценки соответствия 5. Сбор недостающих свидетельств 6. Анализ свидетельств 7. Проведение итоговой оценки соответствия
Недостаточное понимание аудитором платежного процесса  Платежные системы: • Платежи РКЦ • SWIFT • Биржи • Банк-клиент • WU • И т.д  Платежные процессы: • Бизнес • ИТ • ИБ
Приложение 1
«Шкалы» Требование категории проверки 1 выполняется выполняется почти в полном объеме выполняется не в полном объеме не выполняется документировано 1 0,75 0,5 0,25 не документировано 0 Требование категории проверки 2 документировано 1 не документировано 0 Требование категории проверки 3 выполняется выполняется частично не выполняется 1 0,5 0
Неверная интерпретация «шкалы»
Необоснованное завышение показателя
Необоснованная пессимизация показателя
Важно по 3007-У (Поправки в 382-П) 1. Честь новых требований уже действуют (106.1, 106.2, 113.1, 113.2) 2. Как отчитываться по проведенной оценке? 1. 202-я форма 2. Форма 1 3. Сведения о сторонней организации
Ошибки при сборе свидетельств 1. Запросили и проанализировали документы по ИБ 2. Опросили безопасников, кадровиков и руководство 3. Ничего не спрашиваем у бизнеса иили ИТ Фантазируем при документировании результатов оценки
Внедрение требований 382-П в проектном режиме 1. План устранения несоответствий: – Несоответствие из Формы 1 – Мероприятие – Ответственный/Участники – Срок – Ресурсы 2. Подготовка документов 3. Внедрение процессов (отдельно - Система управления инцидентами)
Зачем нужна система управления инцидентами? Форма 0403203
3034-У. Зачем нужна система управления инцидентами? «Смена» Формы 203.
Коллеги, Большое спасибо за внимание! Web: http://www.tsarev.biz/ Twitter: http://twitter.com/TsarevEvgeny Facebook: http://www.facebook.com/tsarev.biz E-mail:TsarevEO@gmail.com Tel: +7-926-104-70-58

Recommended

Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...ArtemAgeev
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
Работа с банком. ЭКспорт
Работа с банком. ЭКспортРабота с банком. ЭКспорт
Работа с банком. ЭКспортBDA
 
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Банковское обозрение
 
Вопросы информационной безопасности при противодействии мошенничеству на сетя...
Вопросы информационной безопасности при противодействии мошенничеству на сетя...Вопросы информационной безопасности при противодействии мошенничеству на сетя...
Вопросы информационной безопасности при противодействии мошенничеству на сетя...Positive Hack Days
 
Презентация ИФЭБ НИЯУ МИФИ
Презентация ИФЭБ НИЯУ МИФИПрезентация ИФЭБ НИЯУ МИФИ
Презентация ИФЭБ НИЯУ МИФИMaria Elskaya
 
Anti money laundering
Anti money launderingAnti money laundering
Anti money launderingPremium Consulting
 
Simulación # 4
Simulación # 4Simulación # 4
Simulación # 4Michael Torres
 

Recommended

Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...ArtemAgeev
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
Работа с банком. ЭКспорт
Работа с банком. ЭКспортРабота с банком. ЭКспорт
Работа с банком. ЭКспортBDA
 
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Банковское обозрение
 
Вопросы информационной безопасности при противодействии мошенничеству на сетя...
Вопросы информационной безопасности при противодействии мошенничеству на сетя...Вопросы информационной безопасности при противодействии мошенничеству на сетя...
Вопросы информационной безопасности при противодействии мошенничеству на сетя...Positive Hack Days
 
Презентация ИФЭБ НИЯУ МИФИ
Презентация ИФЭБ НИЯУ МИФИПрезентация ИФЭБ НИЯУ МИФИ
Презентация ИФЭБ НИЯУ МИФИMaria Elskaya
 
Anti money laundering
Anti money launderingAnti money laundering
Anti money launderingPremium Consulting
 
Simulación # 4
Simulación # 4Simulación # 4
Simulación # 4Michael Torres
 
Phishman
PhishmanPhishman
PhishmanЕвгений Царев
 
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...Expolink
 
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»Mail.ru Group
 
вводные слайды
вводные слайдывводные слайды
вводные слайдыSro-lombard
 
рфм
рфмрфм
рфмSro-lombard
 
Лариса Пономарева - Сбербанк РФ
Лариса Пономарева - Сбербанк РФЛариса Пономарева - Сбербанк РФ
Лариса Пономарева - Сбербанк РФWorld Brand Academy
 
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...Mail.ru Group
 
TMA Sberbank Report
TMA Sberbank Report TMA Sberbank Report
TMA Sberbank Report Мила Кляузова
 
Знакомство нового сотрудника на примере "ОАО"Сбербанк
Знакомство нового сотрудника на примере "ОАО"СбербанкЗнакомство нового сотрудника на примере "ОАО"Сбербанк
Знакомство нового сотрудника на примере "ОАО"Сбербанкess1542gt
 
Система противодействия мошенничеству по-русски
Система противодействия мошенничеству по-русскиСистема противодействия мошенничеству по-русски
Система противодействия мошенничеству по-русскиЕвгений Царев
 
Skimming sberbank
Skimming sberbankSkimming sberbank
Skimming sberbankbankiua
 
Осторожно - мошенники!
Осторожно - мошенники!Осторожно - мошенники!
Осторожно - мошенники!kfhbcf1605
 
презентация Бондарев С. - сбербанк россии
презентация Бондарев С. - сбербанк россиипрезентация Бондарев С. - сбербанк россии
презентация Бондарев С. - сбербанк россииfinnopolis
 
Анализ поведения клиентов (Сбербанк)
Анализ поведения клиентов (Сбербанк) Анализ поведения клиентов (Сбербанк)
Анализ поведения клиентов (Сбербанк) Anton Lapkin
 
информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)Евгений Царев
 
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Евгений Царев
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пLETA IT-company
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыКРОК
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБОЕвгений Царев
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системеLETA IT-company
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбоЕвгений Царев
 

More Related Content

Viewers also liked

Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...Expolink
 
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»Mail.ru Group
 
вводные слайды
вводные слайдывводные слайды
вводные слайдыSro-lombard
 
Лариса Пономарева - Сбербанк РФ
Лариса Пономарева - Сбербанк РФЛариса Пономарева - Сбербанк РФ
Лариса Пономарева - Сбербанк РФWorld Brand Academy
 
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...Mail.ru Group
 
Знакомство нового сотрудника на примере "ОАО"Сбербанк
Знакомство нового сотрудника на примере "ОАО"СбербанкЗнакомство нового сотрудника на примере "ОАО"Сбербанк
Знакомство нового сотрудника на примере "ОАО"Сбербанкess1542gt
 
Система противодействия мошенничеству по-русски
Система противодействия мошенничеству по-русскиСистема противодействия мошенничеству по-русски
Система противодействия мошенничеству по-русскиЕвгений Царев
 
Skimming sberbank
Skimming sberbankSkimming sberbank
Skimming sberbankbankiua
 
Осторожно - мошенники!
Осторожно - мошенники!Осторожно - мошенники!
Осторожно - мошенники!kfhbcf1605
 
презентация Бондарев С. - сбербанк россии
презентация Бондарев С. - сбербанк россиипрезентация Бондарев С. - сбербанк россии
презентация Бондарев С. - сбербанк россииfinnopolis
 
Анализ поведения клиентов (Сбербанк)
Анализ поведения клиентов (Сбербанк) Анализ поведения клиентов (Сбербанк)
Анализ поведения клиентов (Сбербанк) Anton Lapkin
 

Viewers also liked (14)

Phishman
PhishmanPhishman
Phishman
 
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
 
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»
Илья Космодемьянский, PostgreSQL-Consulting.com. «Pragma autonomous transaction»
 
вводные слайды
вводные слайдывводные слайды
вводные слайды
 
рфм
рфмрфм
рфм
 
Лариса Пономарева - Сбербанк РФ
Лариса Пономарева - Сбербанк РФЛариса Пономарева - Сбербанк РФ
Лариса Пономарева - Сбербанк РФ
 
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...
Андрей Кондрашов, Банк Москвы. «АБС в крупном Банке. Тестирование PostgreSQL...
 
TMA Sberbank Report
TMA Sberbank Report TMA Sberbank Report
TMA Sberbank Report
 
Знакомство нового сотрудника на примере "ОАО"Сбербанк
Знакомство нового сотрудника на примере "ОАО"СбербанкЗнакомство нового сотрудника на примере "ОАО"Сбербанк
Знакомство нового сотрудника на примере "ОАО"Сбербанк
 
Система противодействия мошенничеству по-русски
Система противодействия мошенничеству по-русскиСистема противодействия мошенничеству по-русски
Система противодействия мошенничеству по-русски
 
Skimming sberbank
Skimming sberbankSkimming sberbank
Skimming sberbank
 
Осторожно - мошенники!
Осторожно - мошенники!Осторожно - мошенники!
Осторожно - мошенники!
 
презентация Бондарев С. - сбербанк россии
презентация Бондарев С. - сбербанк россиипрезентация Бондарев С. - сбербанк россии
презентация Бондарев С. - сбербанк россии
 
Анализ поведения клиентов (Сбербанк)
Анализ поведения клиентов (Сбербанк) Анализ поведения клиентов (Сбербанк)
Анализ поведения клиентов (Сбербанк)
 

Similar to Защита информации в НПС. Особенности оценки соответствия и Внедрения

информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)Евгений Царев
 
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Евгений Царев
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пLETA IT-company
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыКРОК
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБОЕвгений Царев
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системеLETA IT-company
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбоЕвгений Царев
 
Об осуществлении Банком России деятельности, направленной на снижение рисков ...
Об осуществлении Банком России деятельности, направленной на снижение рисков ...Об осуществлении Банком России деятельности, направленной на снижение рисков ...
Об осуществлении Банком России деятельности, направленной на снижение рисков ...SelectedPresentations
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Aleksey Lukatskiy
 
Кредитный конвейер - аналитический модуль
Кредитный конвейер - аналитический модульКредитный конвейер - аналитический модуль
Кредитный конвейер - аналитический модульLoginom
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Aleksey Lukatskiy
 
Противодействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБОПротиводействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБОRuslan Nesterov
 
СТРУКТУРА НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ по состоянию на 21 июля 202...
СТРУКТУРА НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ по состоянию на 21 июля 202...СТРУКТУРА НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ по состоянию на 21 июля 202...
СТРУКТУРА НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ по состоянию на 21 июля 202...Инфобанк бай
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББСAlex Babenko
 
вопрос 2 презентация гис гмп_артюхин
вопрос 2 презентация гис гмп_артюхинвопрос 2 презентация гис гмп_артюхин
вопрос 2 презентация гис гмп_артюхинVictor Gridnev
 
Итоги работы Саровбизнесбанка в 2014 году
Итоги работы Саровбизнесбанка в 2014 годуИтоги работы Саровбизнесбанка в 2014 году
Итоги работы Саровбизнесбанка в 2014 годуAlexander Vishnyakov
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 

Similar to Защита информации в НПС. Особенности оценки соответствия и Внедрения (20)

информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)
 
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБО
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системе
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбо
 
Об осуществлении Банком России деятельности, направленной на снижение рисков ...
Об осуществлении Банком России деятельности, направленной на снижение рисков ...Об осуществлении Банком России деятельности, направленной на снижение рисков ...
Об осуществлении Банком России деятельности, направленной на снижение рисков ...
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
 
Кредитный конвейер - аналитический модуль
Кредитный конвейер - аналитический модульКредитный конвейер - аналитический модуль
Кредитный конвейер - аналитический модуль
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"
 
Противодействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБОПротиводействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБО
 
СТРУКТУРА НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ по состоянию на 21 июля 202...
СТРУКТУРА НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ по состоянию на 21 июля 202...СТРУКТУРА НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ по состоянию на 21 июля 202...
СТРУКТУРА НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ по состоянию на 21 июля 202...
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
 
вопрос 2 презентация гис гмп_артюхин
вопрос 2 презентация гис гмп_артюхинвопрос 2 презентация гис гмп_артюхин
вопрос 2 презентация гис гмп_артюхин
 
Итоги работы Саровбизнесбанка в 2014 году
Итоги работы Саровбизнесбанка в 2014 годуИтоги работы Саровбизнесбанка в 2014 году
Итоги работы Саровбизнесбанка в 2014 году
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 

More from Евгений Царев

Нормативные экспертизы в области информационной безопасности
Нормативные экспертизы в области информационной безопасностиНормативные экспертизы в области информационной безопасности
Нормативные экспертизы в области информационной безопасностиЕвгений Царев
 
Рынок ИБ. На каких сотрудников есть и будет спрос?
Рынок ИБ. На каких сотрудников есть и будет спрос?Рынок ИБ. На каких сотрудников есть и будет спрос?
Рынок ИБ. На каких сотрудников есть и будет спрос?Евгений Царев
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняЕвгений Царев
 
3 вещи которые уничтожили тайну личной жизни
3 вещи которые уничтожили тайну личной жизни3 вещи которые уничтожили тайну личной жизни
3 вещи которые уничтожили тайну личной жизниЕвгений Царев
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Евгений Царев
 
К вам пришла проверка. Что делать?
К вам пришла проверка. Что делать?К вам пришла проверка. Что делать?
К вам пришла проверка. Что делать?Евгений Царев
 

More from Евгений Царев (7)

Нормативные экспертизы в области информационной безопасности
Нормативные экспертизы в области информационной безопасностиНормативные экспертизы в области информационной безопасности
Нормативные экспертизы в области информационной безопасности
 
Рынок ИБ. На каких сотрудников есть и будет спрос?
Рынок ИБ. На каких сотрудников есть и будет спрос?Рынок ИБ. На каких сотрудников есть и будет спрос?
Рынок ИБ. На каких сотрудников есть и будет спрос?
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодня
 
доклад по нпс казань
доклад по нпс казаньдоклад по нпс казань
доклад по нпс казань
 
3 вещи которые уничтожили тайну личной жизни
3 вещи которые уничтожили тайну личной жизни3 вещи которые уничтожили тайну личной жизни
3 вещи которые уничтожили тайну личной жизни
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
 
К вам пришла проверка. Что делать?
К вам пришла проверка. Что делать?К вам пришла проверка. Что делать?
К вам пришла проверка. Что делать?
 

Защита информации в НПС. Особенности оценки соответствия и Внедрения

  • 1. Царев Евгений Доклад: Защита информации в НПС. Особенности оценки соответствия и Внедрения
  • 2. Федеральный закон РоссийскойФедерации от 27 июня 2011 г. № 161-ФЗ "О национальной платежной системе" Ведомственные документы Банка России Постановление Правительства Российской Федерации от 13 июня 2012 г. № 584 "Об утверждении Положения о защите информации в платежной системе Положение Банка России от 31 мая 2012 года № 380-П "О порядке осуществления наблюдения в национальной платежной системе" Положение Банка России от 9 июня 2012 № 381-П "О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе",принятых в соответствие с ним нормативных актов Банка России" Положении Банка России от 9 июня 2012 года № 382-П “О требованиях к обеспечению защиты информации при осуществлениипереводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств” УказанииБанка Россииот 9 июня 2012 года №2831- У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, оп ераторов по переводу денежных средств” Положение Банка России от 31 мая 2012 г. № 379-П “О бесперебойности функционированияплатежных систем и анализе рисков в платежных системах”
  • 3. Зачем все это?  Глобальные системы расчетов  Тренд «в облака»  НПС как мировой тренд  Объединение самых разных инцидентов под эгидой ЦБ
  • 4. Классические ошибки/проблемы оценки соответствия по 382-П  Непродуманная этапность работы  Недостаточное понимание аудитором платежного процесса  Неверная интерпретация «шкалы» (требования категории проверки)  Необоснованная пессимизация показателя  Необоснованное завышение показателя  Ошибки при сборе свидетельств  Обоснование не соответствует выставленной оценке  Терминологические проблемы (инцидент)
  • 5. «Этапность» проведения оценки 1. Анализ документов 2. Проведение интервью 3. Анализ свидетельств 4. Проведение итоговой оценки соответствия
  • 6. «Этапность» проведения оценки 1. Анализ документов 2. Проведение интервью 3. Анализ свидетельств 4. Проведение предварительной оценки соответствия 5. Сбор недостающих свидетельств 6. Анализ свидетельств 7. Проведение итоговой оценки соответствия
  • 7. Недостаточное понимание аудитором платежного процесса  Платежные системы: • Платежи РКЦ • SWIFT • Биржи • Банк-клиент • WU • И т.д  Платежные процессы: • Бизнес • ИТ • ИБ
  • 9. «Шкалы» Требование категории проверки 1 выполняется выполняется почти в полном объеме выполняется не в полном объеме не выполняется документировано 1 0,75 0,5 0,25 не документировано 0 Требование категории проверки 2 документировано 1 не документировано 0 Требование категории проверки 3 выполняется выполняется частично не выполняется 1 0,5 0
  • 13. Важно по 3007-У (Поправки в 382-П) 1. Честь новых требований уже действуют (106.1, 106.2, 113.1, 113.2) 2. Как отчитываться по проведенной оценке? 1. 202-я форма 2. Форма 1 3. Сведения о сторонней организации
  • 14. Ошибки при сборе свидетельств 1. Запросили и проанализировали документы по ИБ 2. Опросили безопасников, кадровиков и руководство 3. Ничего не спрашиваем у бизнеса иили ИТ Фантазируем при документировании результатов оценки
  • 15. Внедрение требований 382-П в проектном режиме 1. План устранения несоответствий: – Несоответствие из Формы 1 – Мероприятие – Ответственный/Участники – Срок – Ресурсы 2. Подготовка документов 3. Внедрение процессов (отдельно - Система управления инцидентами)
  • 16. Зачем нужна система управления инцидентами? Форма 0403203
  • 17. 3034-У. Зачем нужна система управления инцидентами? «Смена» Формы 203.
  • 18. Коллеги, Большое спасибо за внимание! Web: http://www.tsarev.biz/ Twitter: http://twitter.com/TsarevEvgeny Facebook: http://www.facebook.com/tsarev.biz E-mail:TsarevEO@gmail.com Tel: +7-926-104-70-58