SlideShare a Scribd company logo

CТО БР ИББС 2014: актуальные изменения

jet_information_security
jet_information_security

Компания «Инфосистемы Джет» представляет комментарии, посвященные изменениям в стандартах Банка России – СТО БР ИББС–1.0–2014, СТО БР ИББС–1.2–2014. Комментарии основаны на оценках ведущих экспертов компании «Инфосистемы Джет» в области выполнения проектов по приведению в соответствие требованиям регуляторов. В комментариях представлены ключевые нововведения стандартов Банка России, которые могут оказать влияние на методику оценки соответствия комплексу стандартов, а также на способы выполнения банками требований по информационной безопасности.

Law
1 of 16
Download to read offline
СТО БР ИББС 2014: АКТУАЛЬНЫЕ ИЗМЕНЕНИЯ Компания «Инфосистемы Джет» представляет комментарии, посвященные изменениям в стандартах Банка России – СТО БР ИББС–1.0–2014, СТО БР ИББС–1.2–2014. Комментарии основаны на оценках ведущих экспертов ком- пании «Инфосистемы Джет» в области выполнения проектов по приведению в соответствие требованиям регуляторов. В комментариях представлены ключевые нововведения стандартов Банка России, которые могут оказать влияние на методику оценки соответствия комплексу стандартов, а также на способы выполнения банками требований по информационной безопасности (ИБ). © «Инфосистемы Джет» 1
ОСНОВНЫЕ НОВОВВЕДЕНИЯ: требования в области защиты ПДн приведены в соответ- ствие действующему законодательству, а также Банк России признает неактуальными угрозы безопасности ПДн, связанные с наличием недекларированных воз- можностей в системном и прикладном ПО; ряд новых требований предполагает внедрение допол- нительных средств защиты, таких как средства защиты от утечек информации и системы противодействия мошенничеству; состав оцениваемых показателей изменился с 423 до 490; кроме того, в результатах аудита необходимо учитывать показатели из Положения Банка России от 9 июня 2012 г. №382–П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств …». С 1 июня 2014 года вступили в силу новые редакции стандартов Банка России (СТО БР ИББС–1.0–2014, СТО БР ИББС–1.2–2014), определяющие требования к банкам по информационной безопасности (ИБ) и методику оценки соответствия. Комплекс стандартов является обязательным для тех, кто уже к нему присоединился, а это более 500 банков. 2© «Инфосистемы Джет»
3© «Инфосистемы Джет» ОБЗОР Инфраструктурная безопасность и новые технологии Изменения в методике оценки соответствия Обеспечение безопасности ПДн Борьба с мошенничеством Защита от утечек информации Содержание стандартов Банка России – СТО БР ИББС–1.0–2014, СТО БР ИББС–1.2–2014 – дополнилось рядом новых положений, обновления коснулись почти всех разделов стандарта. В своих комментариях мы выделили пять основных направлений, изменения в которых могут оказать существенное влияние на развитие систем информацион- ной безопасности в российских банках: Далее мы расскажем подробнее об изменениях по каждому из направлений.
ИНФРАСТРУКТУРНАЯ БЕЗОПАСНОСТЬ И НОВЫЕ ТЕХНОЛОГИИ В стандарте СТО БР ИББС появился ряд новых положений по обеспечению безопасности базовой информационной инфраструктуры. Появились требования, касающиеся эксплуатации автоматизированных банковских систем (АБС): внедрение процедур контроля отсутствия уязви- мостей в оборудовании и ПО АБС, внесе- ние изменений в АБС и систему обеспе- чения ИБ (п. 7.3.9 [1]). Подсистема обеспечения ИБ при управ- лении доступом и регистрацией допол- нилась требованиями: • контроля использования технологий беспроводного доступа к информации и защиты беспроводных соединений (п. 7.4.3 [1]); • контроля использования мобильных устройств для доступа к информации (п. 7.4.3 [1]); • разделения сегментов вычислитель- ных сетей, в том числе создаваемых с использованием технологии виртуали- зации (п. 7.4.5 [1]). Разделение сегментов необходимо для обеспечения независимого выполнения банковских платежных и информацион- ных технологических процессов разной степени критичности, в том числе про- цессов, включающих обработку персо- нальных данных в ИСПДн. 4© «Инфосистемы Джет»
Согласно новой редакции стандарта к защищаемым активам относится информация, необходимость защиты которой указана и в Положении Банка России №382–П. Теперь при оценивании частных показателей в рамках группо- вых показателей М1–М7 для банковского платежного технологического процесса следует учитывать актуальные резуль- таты последней по времени проверки на соответствие требованиям к обеспе- чению защиты информации при осу- ществлении переводов (п. 7.1.9 [2] Поло- жения Банка России №382–П). То есть теперь выполнение требований Положения 382–П впрямую влияет на уровень оценки по стандарту. Для упрощения понимания влияния показа- телей по 382–П на оцениваемые показа- тели по стандарту Банка России разрабо- тана специальная таблица соответствия частных показателей требованиям к обеспечению защиты информации при осуществлении переводов денежных средств. Изменения также коснулись самой методики оценки соответствия. В преж- ней редакции в формуле расчета груп- повых показателей присутствовал коэф- фициент значимости (не применялся он только при расчете показателя, касающе- гося обработки ПДн). В новой методике оценки указанный коэффициент упразд- нен, по аналогии с методикой оценки соответствия из Положения Банка России №382–П введен корректирующий коэффициент, а в приложении с показа- телями ИБ появилось три категории проверки в зависимости от вида предъ- являемых требований. 5© «Инфосистемы Джет» ИЗМЕНЕНИЯ В МЕТОДИКЕ ОЦЕНКИ СООТВЕТСТВИЯ
Существенно претерпел изменения раздел стандарта, касающийся обеспече- ния безопасности ПДн. Разработка модели угроз позициониру- ется как непрерывный процесс: банки теперь должны регулярно пересматри- вать модели угроз и нарушителей ИБ (п. 6.12 [1]). Раздел, посвященный обеспечению ИБ банковских технологических процессов, в рамках которых обрабатываются ПДн, переработан с учетом положений поста- новления Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требова- ний к защите персональных данных при их обработке в информационных системах персональных данных». Угрозы первого и второго типов, связан- ные с наличием недокументированных (недекларированных) возможностей в системном и прикладном ПО, исполь- зуемом в ИСПДн, признаются Банком России неактуальными для банков (п. 7.11.4 [1]). Выбор сертифицированных средств защиты информации для обеспечения безопасности ПДн необходимо осущест- влять в соответствии с требованиями приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содер- жания организационных и технических мер по обеспечению безопасности персо- нальных данных при их обработке в информационных системах персо- нальных данных» (п. 7.11.8 [1]). Раздел «Особенности оценки степени выполнения требований стандарта, регламентирующих защиту ПДн в информационных системах персо- нальных данных», а также приложение с уточняющими вопросами для оценки соответствия требованиям по защите ПДн в новой редакции отсутствуют. 6© «Инфосистемы Джет» ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДн
«Намеки» на необходимость использования специализированных antifraud-решений есть в нескольких пунктах стандарта. Остановимся подробнее на требованиях по выявлению неправомерных или подозрительных операций и транзакций. © «Инфосистемы Джет» СОДЕРЖАНИЕ ТРЕБОВАНИЯ ПУНКТ СТАНДАРТА [1] В организации БС РФ должны быть определены, выполняться, регистри- роваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга ИБ и анализа данных о действи- ях и операциях следует использовать специализированные програм- мные и (или) технические средства. 7.4.4 При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. 7.6.6 Для систем дистанционного банковского обслуживания должны приме- няться защитные механизмы, реализующие: - снижение вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами. 7.8.7 7.8.6 Комплекс защитных мер банковского платежного технологического процесса должен предусматривать в том числе: - контроль, направленный на исключение возможности совершения злоумышленных действий, в частности двойной ввод, сверка, установле- ние ограничений в зависимости от суммы совершаемых операций. 7 БОРЬБА С МОШЕННИЧЕСТВОМ
© «Инфосистемы Джет» СОДЕРЖАНИЕ ПОКАЗАТЕЛЯ № ЧАСТОТНОГО ПОКАЗАТЕЛЯ ИБ [2] Применяются ли при осуществлении дистанционного банковского обслуживания защитные меры, предотвращающие возможность подме- ны авторизованного клиента злоумышленником в рамках сеанса работы? М5.13 В новой версии стандарта эти пункты дополнены упоминанием мониторинга ИБ совместно с выявлением подозрительных транзакций, а также новыми показателями для оценки соответствия, в том числе из Положения Банка России №382–П. В таблице ниже представлены частные показатели оценок, имеющие отношение к противодействию мошенническим операциям. Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции? Используются ли для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях специализированные программные и (или) технические средства? Зафиксированы ли критерии выявления неправомерных или подозри- тельных действий и операций, используемые при проведении процедур мониторинга ИБ и анализа данных о действиях и операциях? М3.22 М3.31 М3.32 8 продолжение БОРЬБА С МОШЕННИЧЕСТВОМ
СОДЕРЖАНИЕ ПОКАЗАТЕЛЯ № ЧАСТОТНОГО ПОКАЗАТЕЛЯ ИБ [2] Применяются ли процедуры мониторинга ИБ и анализа данных о действиях и операциях, использующие зафиксированные критерии выявления неправомерных или подозрительных действий и операций, на регулярной основе, например, ежедневно, ко всем выполненным операциям (транзакциям)? М3.33 Применяются ли при осуществлении дистанционного банковского обслуживания защитные меры, предотвращающие возможность подме- ны авторизованного клиента злоумышленником в рамках сеанса работы? Предусматривает ли комплекс защитных мер банковского платежного технологического процесса защиту платежной информации от искаже- ния, фальсификации, переадресации, несанкционированного уничтоже- ния, ложной авторизации электронных платежных сообщений? Предусматривает ли комплекс защитных мер банковского платежного технологического процесса контроль, направленный на исключение возможности совершения злоумышленных действий, в частности двой- ной ввод, сверка, установление ограничений в зависимости от суммы совершения операций? М5.13 М7.6 М7.12 Применяются ли для систем дистанционного банковского обслужива- ния процедуры, реализующие снижение вероятности выполнения непреднамеренных или случайных операций или транзакций авторизо- ванными клиентами? М7.18 9 продолжение © «Инфосистемы Джет» БОРЬБА С МОШЕННИЧЕСТВОМ
В стандарте есть требование (п. 7.4.4 [1]) к использованию специализированных программных или технических средств для проведения процедур мониторинга ИБ и анализа данных с целью выявления неправомерных действий. В прежней редакции стандарта это было указано в качестве рекомендации. Системы дистанционного банковского обслуживания сами по себе не имеют встроенных механизмов для реализации требуемого функционала по умолчанию. Для эффективного выявления подозри- тельных транзакций используются специализированные средства, позволя- ющие создавать профиль авторизован- ного пользователя и обнаруживать отклонения от стандартных параметров. Применение таких средств обусловлено рядом объективных причин: • высокие требования к производитель- ности решения; • формирование надежного и эффектив- ного профиля клиента; • отсутствие рычагов воздействия на antifraud-механизмы, встроенные в системы дистанционного банковского обслуживания. 10 окончание © «Инфосистемы Джет» БОРЬБА С МОШЕННИЧЕСТВОМ
В новой редакции стандарта окончательно укоренилось понятие защиты от утечек информации, а также появились новые требования в этом направлении. СОДЕРЖАНИЕ ТРЕБОВАНИЯ ПУНКТ СТАНДАРТА [1] В организации банковской системы РФ должен быть определен, выпол- няться и контролироваться порядок использования съемных носителей информации. 7.4.8 Должны быть определены, выполняться, регистрироваться и контроли- роваться процедуры подключения и использования ресурсов сети Интернет. 7.6.2 7.6.9 Электронная почта должна архивироваться. Целями создания архивов электронной почты являются: - контроль информационных потоков, в том числе с целью предотвраще- ния утечек информации; - использование архивов при проведении разбирательств по фактам утечек информации. 11© «Инфосистемы Джет» ЗАЩИТА ОТ УТЕЧЕК ИНФОРМАЦИИ
Частные показатели оценок деятельности по защите от утечек информации представ- лены в таблице. СОДЕРЖАНИЕ ПОКАЗАТЕЛЯ № ЧАСТОТНОГО ПОКАЗАТЕЛЯ ИБ [2] Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры выявления и блокирования несанкционирован- ного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин? М3.18 Определен ли, выполняется ли и контролируется ли в организации банковской системы РФ порядок использования съемных носителей информации? Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации банковской системы РФ процедуры подключения и использования ресурсов сети Интернет? Определены ли и выполняются ли процедуры протоколирования посе- щения ресурсов сети Интернет работниками организации банковской системы РФ? М3.40 М5.6 М5.10 Доступны ли данные о посещенных сотрудниками организации банков- ской системы РФ ресурсов сети Интернет работникам службы ИБ?М5.11 Осуществляется ли архивирование электронной почты с целью: - контроля информационных потоков, в том числе с целью предотвраще- ния утечек информации; - использования архивов при проведении разбирательств по фактам утечек информации? М5.20 12© «Инфосистемы Джет» продолжение ЗАЩИТА ОТ УТЕЧЕК ИНФОРМАЦИИ
Для выполнения указанных выше требо- ваний стандарта можно использовать штатные средства базовой инфраструк- туры: групповые политики домена, стандартные журналы почтового и прокси-серверов и др. Однако, если говорить об удобном инструменте, который позволит еже- дневно контролировать реальное соот- ветствие требованиям, быстро и удобно изменять настройки в соответствии с развитием бизнеса банка, получать наглядную отчетность, – без специали- зированного решения не обойтись. Упомянутый в требованиях и частных показателях функционал наиболее полно может быть реализован средствами класса DLP, которые позволяют: • удобно контролировать использование съемных носителей и логировать все действия, производимые с ними; • осуществлять гибкую настройку правил доступа к ресурсам Интернет и вести понятную отчетность; • создавать архив электронной корпора- тивной почты; • осуществлять интеллектуальный анализ данных для проведения рассле- дований по фактам утечек информации. 13 окончание © «Инфосистемы Джет» ЗАЩИТА ОТ УТЕЧЕК ИНФОРМАЦИИ
В ЗАКЛЮЧЕНИЕ: Изменения объективно отражают актуальные угрозы современных информационных систем. В новой редак- ции стандарта наблюдается эволюционное развитие требований, которые позволят банкам постепенно раз- вивать существующие системы защиты. Стандарт очень гармонично дополнен тематикой обе- спечения соответствия требованиям в области ИБ национальной платежной системы, что, безусловно, повышает его ценность. В части защиты ПДн требования стандарта перерабо- таны с учетом действующего законодательства и позво- ляют отказаться от высоких уровней защищенности, а значит, и от внедрения большого количества дорого- стоящих подсистем ИБ. 14© «Инфосистемы Джет»
ОБ АВТОРЕ: Елена обладает более чем семилетним опытом выполнения проектов, связанных с направле- нием Security Compliance и защитой гостайны. Образование в области информационной безопасности получила в ФГБОУ ВПО «Юго-За- падный государственный университет». Елена – автор ряда научных работ и статей, посвященных различным аспектам информа- ционной безопасности. [1]. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». СТО БР ИББС–1.0–2014. [2]. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской систе- мы Российской Федерации требованиям СТО БР ИББС–1.0–2014». СТО БР ИББС–1.2–2014. 15 БИБЛИОГРАФИЯ: Этот отчет подготовлен компанией «Инфосистемы Джет» исключительно в целях информирования. Содержащиеся в настоящем отчете данные были получены из источников, которые, по мнению компании «Инфосистемы Джет», являются надежными, однако компания «Инфосистемы Джет» не гарантирует точности и полноты информации для любых целей. Информация, представленная в этом отчете, не должна быть истолкована, прямо или косвенно, как информация, содержащая рекомендации по инвести- циям. Все мнения и оценки, содержащиеся в настоящем материале, отражают мнение автора на день публикации и подлежат изменению без предупрежде- ния. Компания «Инфосистемы Джет» не несет ответственности за какие-либо убытки или ущерб, возникшие в результате использования любой третьей стороной информации, содержащейся в настоящем отчете, включая опублико- ванные мнения или заключения, а также за последствия, вызванные неполно- той представленной информации. Информация, представленная в настоящем отчете, получена из открытых источников либо предоставлена упомянутыми в отчете компаниями. Дополнительная информация предоставляется по запросу. © «Инфосистемы Джет» Елена Козлова – руково- дитель направления Security Compliance в компании «Инфосистемы Джет».
О КОМПАНИИ «ИНФОСИСТЕМЫ ДЖЕТ» О ЦЕНТРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 16 Компания «Инфосистемы Джет» – один из крупнейших россий- ских системных интеграторов – образована в 1991 году. Основные направления деятельности компании: бизнес-решения и программные разработки, ИТ- и телекоммуникационная инфра- структура, информационная безопасность, ИТ-аутсорсинг и техни- ческая поддержка, управление комплексными проектами и др. Компания располагает региональными офисами в семи городах России — от Санкт-Петербурга и Краснодара до Владивостока, а также представительствами на Украине, в Казахстане, Азербайд- жане и Узбекистане. Компания «Инфосистемы Джет» работает в сфере ИБ более 18 лет и на сегодняшний день обладает уникальным набором компе- тенций в данной области. Своей главной задачей компания ставит создание решений, обеспечивающих реальную безопасность бизнеса. Центр информационной безопасности компании «Инфосистемы Джет» на рынке ИБ — это: • реализация более 230 комплексных проектов в сфере ИБ в год; • более 210 экспертов в области ИБ; • № 1 на рынке ИБ-интеграции в коммерческих организациях (независимое аналитическое агентство Anti-Malware.ru, 2010); • № 1 среди интеграторов по объему предоставления услуг ИБ на российском рынке (экспертное исследование «Рынок информа- ционной безопасности Российской Федерации», 2013); • уникальные собственные продукты, занимающие ведущие пози- ции в своих сегментах; • оказание услуг аутсорсинга ИБ со строгими SLA. © «Инфосистемы Джет»

Recommended

Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
Защита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияЗащита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияОльга Антонова
 

Recommended

Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
Защита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияЗащита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияОльга Антонова
 
SearchInform DLP
SearchInform DLPSearchInform DLP
SearchInform DLPSearchInform
 
Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Cisco Russia
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14DialogueScience
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...Илья Лившиц
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьDatamodel
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRCКомпания УЦСБ
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1Ekaterina Morozova
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингепр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Philippine history
Philippine historyPhilippine history
Philippine historyjona_santos
 
портфолио дуняши ефимовой
портфолио дуняши ефимовойпортфолио дуняши ефимовой
портфолио дуняши ефимовойMasha Senti
 

More Related Content

What's hot

Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Cisco Russia
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14DialogueScience
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...Илья Лившиц
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьDatamodel
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингепр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (20)

SearchInform DLP
SearchInform DLPSearchInform DLP
SearchInform DLP
 
Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностью
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
 
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингепр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
 

Viewers also liked

Philippine history
Philippine historyPhilippine history
Philippine historyjona_santos
 
портфолио дуняши ефимовой
портфолио дуняши ефимовойпортфолио дуняши ефимовой
портфолио дуняши ефимовойMasha Senti
 
Power and Brugess Awarded for Highest Reported Illinois Verdict for a Heel In...
Power and Brugess Awarded for Highest Reported Illinois Verdict for a Heel In...Power and Brugess Awarded for Highest Reported Illinois Verdict for a Heel In...
Power and Brugess Awarded for Highest Reported Illinois Verdict for a Heel In...Anthony Roth
 
Ekonomický týždenník Poštovej banky - 28. týždeň
Ekonomický týždenník Poštovej banky - 28. týždeňEkonomický týždenník Poštovej banky - 28. týždeň
Ekonomický týždenník Poštovej banky - 28. týždeňpabk
 
Ekonomický týždenník Poštovej banky - 44. týždeň
Ekonomický týždenník Poštovej banky - 44. týždeňEkonomický týždenník Poštovej banky - 44. týždeň
Ekonomický týždenník Poštovej banky - 44. týždeňpabk
 
Diapositivas SLD-2 (Mary Moreno)
Diapositivas SLD-2 (Mary Moreno)Diapositivas SLD-2 (Mary Moreno)
Diapositivas SLD-2 (Mary Moreno)marymorenoochoa
 
Ekonomický týždenník Poštovej banky - 35. týždeň
Ekonomický týždenník Poštovej banky - 35. týždeňEkonomický týždenník Poštovej banky - 35. týždeň
Ekonomický týždenník Poštovej banky - 35. týždeňpabk
 
How To Use Webinars To Grow Your List and Content Library
How To Use Webinars To Grow Your List and Content LibraryHow To Use Webinars To Grow Your List and Content Library
How To Use Webinars To Grow Your List and Content LibraryTawanna Browne Smith
 
Happy face spidersofhawaii
Happy face spidersofhawaiiHappy face spidersofhawaii
Happy face spidersofhawaiiMaureen Murphy
 
Презентация для родительского собрания
Презентация для родительского собранияПрезентация для родительского собрания
Презентация для родительского собранияMasha Senti
 
GENERAL ELECTIONS - 2014 SCHEDULE OF ELECTIONS
GENERAL ELECTIONS - 2014 SCHEDULE OF ELECTIONS GENERAL ELECTIONS - 2014 SCHEDULE OF ELECTIONS
GENERAL ELECTIONS - 2014 SCHEDULE OF ELECTIONS VIJAY NEWS
 
Ekonomický týždenník Poštovej banky - 48. týždeň
Ekonomický týždenník Poštovej banky - 48. týždeňEkonomický týždenník Poštovej banky - 48. týždeň
Ekonomický týždenník Poštovej banky - 48. týždeňpabk
 
Моя страна Латвия!
Моя страна Латвия!Моя страна Латвия!
Моя страна Латвия!Masha Senti
 
Source pack installation of OpenFOAM.4.0 into RHL
Source pack installation of OpenFOAM.4.0 into RHLSource pack installation of OpenFOAM.4.0 into RHL
Source pack installation of OpenFOAM.4.0 into RHLmmer547
 
Stvorimo bolji internet zajedno
Stvorimo bolji internet zajednoStvorimo bolji internet zajedno
Stvorimo bolji internet zajednoNatasa_007
 
Ekonomický týždenník Poštovej banky - 8. týždeň, 2015
Ekonomický týždenník Poštovej banky - 8. týždeň, 2015Ekonomický týždenník Poštovej banky - 8. týždeň, 2015
Ekonomický týždenník Poštovej banky - 8. týždeň, 2015pabk
 

Viewers also liked (20)

Philippine history
Philippine historyPhilippine history
Philippine history
 
портфолио дуняши ефимовой
портфолио дуняши ефимовойпортфолио дуняши ефимовой
портфолио дуняши ефимовой
 
Power and Brugess Awarded for Highest Reported Illinois Verdict for a Heel In...
Power and Brugess Awarded for Highest Reported Illinois Verdict for a Heel In...Power and Brugess Awarded for Highest Reported Illinois Verdict for a Heel In...
Power and Brugess Awarded for Highest Reported Illinois Verdict for a Heel In...
 
Ekonomický týždenník Poštovej banky - 28. týždeň
Ekonomický týždenník Poštovej banky - 28. týždeňEkonomický týždenník Poštovej banky - 28. týždeň
Ekonomický týždenník Poštovej banky - 28. týždeň
 
Ekonomický týždenník Poštovej banky - 44. týždeň
Ekonomický týždenník Poštovej banky - 44. týždeňEkonomický týždenník Poštovej banky - 44. týždeň
Ekonomický týždenník Poštovej banky - 44. týždeň
 
Diapositivas SLD-2 (Mary Moreno)
Diapositivas SLD-2 (Mary Moreno)Diapositivas SLD-2 (Mary Moreno)
Diapositivas SLD-2 (Mary Moreno)
 
CARNE LEÃO 3 PARTE
CARNE LEÃO 3 PARTECARNE LEÃO 3 PARTE
CARNE LEÃO 3 PARTE
 
Ekonomický týždenník Poštovej banky - 35. týždeň
Ekonomický týždenník Poštovej banky - 35. týždeňEkonomický týždenník Poštovej banky - 35. týždeň
Ekonomický týždenník Poštovej banky - 35. týždeň
 
How To Use Webinars To Grow Your List and Content Library
How To Use Webinars To Grow Your List and Content LibraryHow To Use Webinars To Grow Your List and Content Library
How To Use Webinars To Grow Your List and Content Library
 
Tik bab 1
Tik bab 1Tik bab 1
Tik bab 1
 
Happy face spidersofhawaii
Happy face spidersofhawaiiHappy face spidersofhawaii
Happy face spidersofhawaii
 
Презентация для родительского собрания
Презентация для родительского собранияПрезентация для родительского собрания
Презентация для родительского собрания
 
GENERAL ELECTIONS - 2014 SCHEDULE OF ELECTIONS
GENERAL ELECTIONS - 2014 SCHEDULE OF ELECTIONS GENERAL ELECTIONS - 2014 SCHEDULE OF ELECTIONS
GENERAL ELECTIONS - 2014 SCHEDULE OF ELECTIONS
 
Camera composition
Camera compositionCamera composition
Camera composition
 
Ekonomický týždenník Poštovej banky - 48. týždeň
Ekonomický týždenník Poštovej banky - 48. týždeňEkonomický týždenník Poštovej banky - 48. týždeň
Ekonomický týždenník Poštovej banky - 48. týždeň
 
Моя страна Латвия!
Моя страна Латвия!Моя страна Латвия!
Моя страна Латвия!
 
Source pack installation of OpenFOAM.4.0 into RHL
Source pack installation of OpenFOAM.4.0 into RHLSource pack installation of OpenFOAM.4.0 into RHL
Source pack installation of OpenFOAM.4.0 into RHL
 
Stvorimo bolji internet zajedno
Stvorimo bolji internet zajednoStvorimo bolji internet zajedno
Stvorimo bolji internet zajedno
 
Ekonomický týždenník Poštovej banky - 8. týždeň, 2015
Ekonomický týždenník Poštovej banky - 8. týždeň, 2015Ekonomický týždenník Poštovej banky - 8. týždeň, 2015
Ekonomický týždenník Poštovej banky - 8. týždeň, 2015
 
Targeted (animated)
Targeted (animated)Targeted (animated)
Targeted (animated)
 

Similar to CТО БР ИББС 2014: актуальные изменения

Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Expolink
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...imbasoft ru
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииExpolink
 
Определение бюджета для реализации проекта системы менеджмента информационной...
Определение бюджета для реализации проекта системы менеджмента информационной...Определение бюджета для реализации проекта системы менеджмента информационной...
Определение бюджета для реализации проекта системы менеджмента информационной...Илья Лившиц
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеAlex Babenko
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКРОК
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Cisco Russia
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...ArtemAgeev
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыКРОК
 
Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Security Code Ltd.
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутAleksey Lukatskiy
 
Information Security Services for finance sector 2010
Information Security Services for finance sector 2010Information Security Services for finance sector 2010
Information Security Services for finance sector 2010Roman Emelyanov
 

Similar to CТО БР ИББС 2014: актуальные изменения (20)

Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
Определение бюджета для реализации проекта системы менеджмента информационной...
Определение бюджета для реализации проекта системы менеджмента информационной...Определение бюджета для реализации проекта системы менеджмента информационной...
Определение бюджета для реализации проекта системы менеджмента информационной...
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
 
Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Information Security Services for finance sector 2010
Information Security Services for finance sector 2010Information Security Services for finance sector 2010
Information Security Services for finance sector 2010
 

More from jet_information_security

Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраjet_information_security
 
Системы предотвращения мошенничества
Системы предотвращения мошенничестваСистемы предотвращения мошенничества
Системы предотвращения мошенничестваjet_information_security
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...jet_information_security
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Если вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетЕсли вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетjet_information_security
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяjet_information_security
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построилиjet_information_security
 
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиJSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиjet_information_security
 
Jet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойJet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойjet_information_security
 
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.jet_information_security
 
10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПОjet_information_security
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБjet_information_security
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...jet_information_security
 

More from jet_information_security (20)

Консалтинг и GRC 2014
Консалтинг и GRC 2014Консалтинг и GRC 2014
Консалтинг и GRC 2014
 
Targeted attacks
Targeted attacksTargeted attacks
Targeted attacks
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтра
 
Системы предотвращения мошенничества
Системы предотвращения мошенничестваСистемы предотвращения мошенничества
Системы предотвращения мошенничества
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
ИБ эпохи перемен
ИБ эпохи переменИБ эпохи перемен
ИБ эпохи перемен
 
Если вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетЕсли вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нет
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиJSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
 
Jet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойJet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятной
 
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
 
10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО
 
10 мифов о защите АСУ ТП
10 мифов о защите АСУ ТП10 мифов о защите АСУ ТП
10 мифов о защите АСУ ТП
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБ
 
Контроль коммуникаций
Контроль коммуникацийКонтроль коммуникаций
Контроль коммуникаций
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
 
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
 

CТО БР ИББС 2014: актуальные изменения

  • 1. СТО БР ИББС 2014: АКТУАЛЬНЫЕ ИЗМЕНЕНИЯ Компания «Инфосистемы Джет» представляет комментарии, посвященные изменениям в стандартах Банка России – СТО БР ИББС–1.0–2014, СТО БР ИББС–1.2–2014. Комментарии основаны на оценках ведущих экспертов ком- пании «Инфосистемы Джет» в области выполнения проектов по приведению в соответствие требованиям регуляторов. В комментариях представлены ключевые нововведения стандартов Банка России, которые могут оказать влияние на методику оценки соответствия комплексу стандартов, а также на способы выполнения банками требований по информационной безопасности (ИБ). © «Инфосистемы Джет» 1
  • 2. ОСНОВНЫЕ НОВОВВЕДЕНИЯ: требования в области защиты ПДн приведены в соответ- ствие действующему законодательству, а также Банк России признает неактуальными угрозы безопасности ПДн, связанные с наличием недекларированных воз- можностей в системном и прикладном ПО; ряд новых требований предполагает внедрение допол- нительных средств защиты, таких как средства защиты от утечек информации и системы противодействия мошенничеству; состав оцениваемых показателей изменился с 423 до 490; кроме того, в результатах аудита необходимо учитывать показатели из Положения Банка России от 9 июня 2012 г. №382–П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств …». С 1 июня 2014 года вступили в силу новые редакции стандартов Банка России (СТО БР ИББС–1.0–2014, СТО БР ИББС–1.2–2014), определяющие требования к банкам по информационной безопасности (ИБ) и методику оценки соответствия. Комплекс стандартов является обязательным для тех, кто уже к нему присоединился, а это более 500 банков. 2© «Инфосистемы Джет»
  • 3. 3© «Инфосистемы Джет» ОБЗОР Инфраструктурная безопасность и новые технологии Изменения в методике оценки соответствия Обеспечение безопасности ПДн Борьба с мошенничеством Защита от утечек информации Содержание стандартов Банка России – СТО БР ИББС–1.0–2014, СТО БР ИББС–1.2–2014 – дополнилось рядом новых положений, обновления коснулись почти всех разделов стандарта. В своих комментариях мы выделили пять основных направлений, изменения в которых могут оказать существенное влияние на развитие систем информацион- ной безопасности в российских банках: Далее мы расскажем подробнее об изменениях по каждому из направлений.
  • 4. ИНФРАСТРУКТУРНАЯ БЕЗОПАСНОСТЬ И НОВЫЕ ТЕХНОЛОГИИ В стандарте СТО БР ИББС появился ряд новых положений по обеспечению безопасности базовой информационной инфраструктуры. Появились требования, касающиеся эксплуатации автоматизированных банковских систем (АБС): внедрение процедур контроля отсутствия уязви- мостей в оборудовании и ПО АБС, внесе- ние изменений в АБС и систему обеспе- чения ИБ (п. 7.3.9 [1]). Подсистема обеспечения ИБ при управ- лении доступом и регистрацией допол- нилась требованиями: • контроля использования технологий беспроводного доступа к информации и защиты беспроводных соединений (п. 7.4.3 [1]); • контроля использования мобильных устройств для доступа к информации (п. 7.4.3 [1]); • разделения сегментов вычислитель- ных сетей, в том числе создаваемых с использованием технологии виртуали- зации (п. 7.4.5 [1]). Разделение сегментов необходимо для обеспечения независимого выполнения банковских платежных и информацион- ных технологических процессов разной степени критичности, в том числе про- цессов, включающих обработку персо- нальных данных в ИСПДн. 4© «Инфосистемы Джет»
  • 5. Согласно новой редакции стандарта к защищаемым активам относится информация, необходимость защиты которой указана и в Положении Банка России №382–П. Теперь при оценивании частных показателей в рамках группо- вых показателей М1–М7 для банковского платежного технологического процесса следует учитывать актуальные резуль- таты последней по времени проверки на соответствие требованиям к обеспе- чению защиты информации при осу- ществлении переводов (п. 7.1.9 [2] Поло- жения Банка России №382–П). То есть теперь выполнение требований Положения 382–П впрямую влияет на уровень оценки по стандарту. Для упрощения понимания влияния показа- телей по 382–П на оцениваемые показа- тели по стандарту Банка России разрабо- тана специальная таблица соответствия частных показателей требованиям к обеспечению защиты информации при осуществлении переводов денежных средств. Изменения также коснулись самой методики оценки соответствия. В преж- ней редакции в формуле расчета груп- повых показателей присутствовал коэф- фициент значимости (не применялся он только при расчете показателя, касающе- гося обработки ПДн). В новой методике оценки указанный коэффициент упразд- нен, по аналогии с методикой оценки соответствия из Положения Банка России №382–П введен корректирующий коэффициент, а в приложении с показа- телями ИБ появилось три категории проверки в зависимости от вида предъ- являемых требований. 5© «Инфосистемы Джет» ИЗМЕНЕНИЯ В МЕТОДИКЕ ОЦЕНКИ СООТВЕТСТВИЯ
  • 6. Существенно претерпел изменения раздел стандарта, касающийся обеспече- ния безопасности ПДн. Разработка модели угроз позициониру- ется как непрерывный процесс: банки теперь должны регулярно пересматри- вать модели угроз и нарушителей ИБ (п. 6.12 [1]). Раздел, посвященный обеспечению ИБ банковских технологических процессов, в рамках которых обрабатываются ПДн, переработан с учетом положений поста- новления Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требова- ний к защите персональных данных при их обработке в информационных системах персональных данных». Угрозы первого и второго типов, связан- ные с наличием недокументированных (недекларированных) возможностей в системном и прикладном ПО, исполь- зуемом в ИСПДн, признаются Банком России неактуальными для банков (п. 7.11.4 [1]). Выбор сертифицированных средств защиты информации для обеспечения безопасности ПДн необходимо осущест- влять в соответствии с требованиями приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содер- жания организационных и технических мер по обеспечению безопасности персо- нальных данных при их обработке в информационных системах персо- нальных данных» (п. 7.11.8 [1]). Раздел «Особенности оценки степени выполнения требований стандарта, регламентирующих защиту ПДн в информационных системах персо- нальных данных», а также приложение с уточняющими вопросами для оценки соответствия требованиям по защите ПДн в новой редакции отсутствуют. 6© «Инфосистемы Джет» ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДн
  • 7. «Намеки» на необходимость использования специализированных antifraud-решений есть в нескольких пунктах стандарта. Остановимся подробнее на требованиях по выявлению неправомерных или подозрительных операций и транзакций. © «Инфосистемы Джет» СОДЕРЖАНИЕ ТРЕБОВАНИЯ ПУНКТ СТАНДАРТА [1] В организации БС РФ должны быть определены, выполняться, регистри- роваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга ИБ и анализа данных о действи- ях и операциях следует использовать специализированные програм- мные и (или) технические средства. 7.4.4 При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. 7.6.6 Для систем дистанционного банковского обслуживания должны приме- няться защитные механизмы, реализующие: - снижение вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами. 7.8.7 7.8.6 Комплекс защитных мер банковского платежного технологического процесса должен предусматривать в том числе: - контроль, направленный на исключение возможности совершения злоумышленных действий, в частности двойной ввод, сверка, установле- ние ограничений в зависимости от суммы совершаемых операций. 7 БОРЬБА С МОШЕННИЧЕСТВОМ
  • 8. © «Инфосистемы Джет» СОДЕРЖАНИЕ ПОКАЗАТЕЛЯ № ЧАСТОТНОГО ПОКАЗАТЕЛЯ ИБ [2] Применяются ли при осуществлении дистанционного банковского обслуживания защитные меры, предотвращающие возможность подме- ны авторизованного клиента злоумышленником в рамках сеанса работы? М5.13 В новой версии стандарта эти пункты дополнены упоминанием мониторинга ИБ совместно с выявлением подозрительных транзакций, а также новыми показателями для оценки соответствия, в том числе из Положения Банка России №382–П. В таблице ниже представлены частные показатели оценок, имеющие отношение к противодействию мошенническим операциям. Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции? Используются ли для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях специализированные программные и (или) технические средства? Зафиксированы ли критерии выявления неправомерных или подозри- тельных действий и операций, используемые при проведении процедур мониторинга ИБ и анализа данных о действиях и операциях? М3.22 М3.31 М3.32 8 продолжение БОРЬБА С МОШЕННИЧЕСТВОМ
  • 9. СОДЕРЖАНИЕ ПОКАЗАТЕЛЯ № ЧАСТОТНОГО ПОКАЗАТЕЛЯ ИБ [2] Применяются ли процедуры мониторинга ИБ и анализа данных о действиях и операциях, использующие зафиксированные критерии выявления неправомерных или подозрительных действий и операций, на регулярной основе, например, ежедневно, ко всем выполненным операциям (транзакциям)? М3.33 Применяются ли при осуществлении дистанционного банковского обслуживания защитные меры, предотвращающие возможность подме- ны авторизованного клиента злоумышленником в рамках сеанса работы? Предусматривает ли комплекс защитных мер банковского платежного технологического процесса защиту платежной информации от искаже- ния, фальсификации, переадресации, несанкционированного уничтоже- ния, ложной авторизации электронных платежных сообщений? Предусматривает ли комплекс защитных мер банковского платежного технологического процесса контроль, направленный на исключение возможности совершения злоумышленных действий, в частности двой- ной ввод, сверка, установление ограничений в зависимости от суммы совершения операций? М5.13 М7.6 М7.12 Применяются ли для систем дистанционного банковского обслужива- ния процедуры, реализующие снижение вероятности выполнения непреднамеренных или случайных операций или транзакций авторизо- ванными клиентами? М7.18 9 продолжение © «Инфосистемы Джет» БОРЬБА С МОШЕННИЧЕСТВОМ
  • 10. В стандарте есть требование (п. 7.4.4 [1]) к использованию специализированных программных или технических средств для проведения процедур мониторинга ИБ и анализа данных с целью выявления неправомерных действий. В прежней редакции стандарта это было указано в качестве рекомендации. Системы дистанционного банковского обслуживания сами по себе не имеют встроенных механизмов для реализации требуемого функционала по умолчанию. Для эффективного выявления подозри- тельных транзакций используются специализированные средства, позволя- ющие создавать профиль авторизован- ного пользователя и обнаруживать отклонения от стандартных параметров. Применение таких средств обусловлено рядом объективных причин: • высокие требования к производитель- ности решения; • формирование надежного и эффектив- ного профиля клиента; • отсутствие рычагов воздействия на antifraud-механизмы, встроенные в системы дистанционного банковского обслуживания. 10 окончание © «Инфосистемы Джет» БОРЬБА С МОШЕННИЧЕСТВОМ
  • 11. В новой редакции стандарта окончательно укоренилось понятие защиты от утечек информации, а также появились новые требования в этом направлении. СОДЕРЖАНИЕ ТРЕБОВАНИЯ ПУНКТ СТАНДАРТА [1] В организации банковской системы РФ должен быть определен, выпол- няться и контролироваться порядок использования съемных носителей информации. 7.4.8 Должны быть определены, выполняться, регистрироваться и контроли- роваться процедуры подключения и использования ресурсов сети Интернет. 7.6.2 7.6.9 Электронная почта должна архивироваться. Целями создания архивов электронной почты являются: - контроль информационных потоков, в том числе с целью предотвраще- ния утечек информации; - использование архивов при проведении разбирательств по фактам утечек информации. 11© «Инфосистемы Джет» ЗАЩИТА ОТ УТЕЧЕК ИНФОРМАЦИИ
  • 12. Частные показатели оценок деятельности по защите от утечек информации представ- лены в таблице. СОДЕРЖАНИЕ ПОКАЗАТЕЛЯ № ЧАСТОТНОГО ПОКАЗАТЕЛЯ ИБ [2] Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры выявления и блокирования несанкционирован- ного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин? М3.18 Определен ли, выполняется ли и контролируется ли в организации банковской системы РФ порядок использования съемных носителей информации? Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации банковской системы РФ процедуры подключения и использования ресурсов сети Интернет? Определены ли и выполняются ли процедуры протоколирования посе- щения ресурсов сети Интернет работниками организации банковской системы РФ? М3.40 М5.6 М5.10 Доступны ли данные о посещенных сотрудниками организации банков- ской системы РФ ресурсов сети Интернет работникам службы ИБ?М5.11 Осуществляется ли архивирование электронной почты с целью: - контроля информационных потоков, в том числе с целью предотвраще- ния утечек информации; - использования архивов при проведении разбирательств по фактам утечек информации? М5.20 12© «Инфосистемы Джет» продолжение ЗАЩИТА ОТ УТЕЧЕК ИНФОРМАЦИИ
  • 13. Для выполнения указанных выше требо- ваний стандарта можно использовать штатные средства базовой инфраструк- туры: групповые политики домена, стандартные журналы почтового и прокси-серверов и др. Однако, если говорить об удобном инструменте, который позволит еже- дневно контролировать реальное соот- ветствие требованиям, быстро и удобно изменять настройки в соответствии с развитием бизнеса банка, получать наглядную отчетность, – без специали- зированного решения не обойтись. Упомянутый в требованиях и частных показателях функционал наиболее полно может быть реализован средствами класса DLP, которые позволяют: • удобно контролировать использование съемных носителей и логировать все действия, производимые с ними; • осуществлять гибкую настройку правил доступа к ресурсам Интернет и вести понятную отчетность; • создавать архив электронной корпора- тивной почты; • осуществлять интеллектуальный анализ данных для проведения рассле- дований по фактам утечек информации. 13 окончание © «Инфосистемы Джет» ЗАЩИТА ОТ УТЕЧЕК ИНФОРМАЦИИ
  • 14. В ЗАКЛЮЧЕНИЕ: Изменения объективно отражают актуальные угрозы современных информационных систем. В новой редак- ции стандарта наблюдается эволюционное развитие требований, которые позволят банкам постепенно раз- вивать существующие системы защиты. Стандарт очень гармонично дополнен тематикой обе- спечения соответствия требованиям в области ИБ национальной платежной системы, что, безусловно, повышает его ценность. В части защиты ПДн требования стандарта перерабо- таны с учетом действующего законодательства и позво- ляют отказаться от высоких уровней защищенности, а значит, и от внедрения большого количества дорого- стоящих подсистем ИБ. 14© «Инфосистемы Джет»
  • 15. ОБ АВТОРЕ: Елена обладает более чем семилетним опытом выполнения проектов, связанных с направле- нием Security Compliance и защитой гостайны. Образование в области информационной безопасности получила в ФГБОУ ВПО «Юго-За- падный государственный университет». Елена – автор ряда научных работ и статей, посвященных различным аспектам информа- ционной безопасности. [1]. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». СТО БР ИББС–1.0–2014. [2]. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской систе- мы Российской Федерации требованиям СТО БР ИББС–1.0–2014». СТО БР ИББС–1.2–2014. 15 БИБЛИОГРАФИЯ: Этот отчет подготовлен компанией «Инфосистемы Джет» исключительно в целях информирования. Содержащиеся в настоящем отчете данные были получены из источников, которые, по мнению компании «Инфосистемы Джет», являются надежными, однако компания «Инфосистемы Джет» не гарантирует точности и полноты информации для любых целей. Информация, представленная в этом отчете, не должна быть истолкована, прямо или косвенно, как информация, содержащая рекомендации по инвести- циям. Все мнения и оценки, содержащиеся в настоящем материале, отражают мнение автора на день публикации и подлежат изменению без предупрежде- ния. Компания «Инфосистемы Джет» не несет ответственности за какие-либо убытки или ущерб, возникшие в результате использования любой третьей стороной информации, содержащейся в настоящем отчете, включая опублико- ванные мнения или заключения, а также за последствия, вызванные неполно- той представленной информации. Информация, представленная в настоящем отчете, получена из открытых источников либо предоставлена упомянутыми в отчете компаниями. Дополнительная информация предоставляется по запросу. © «Инфосистемы Джет» Елена Козлова – руково- дитель направления Security Compliance в компании «Инфосистемы Джет».
  • 16. О КОМПАНИИ «ИНФОСИСТЕМЫ ДЖЕТ» О ЦЕНТРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 16 Компания «Инфосистемы Джет» – один из крупнейших россий- ских системных интеграторов – образована в 1991 году. Основные направления деятельности компании: бизнес-решения и программные разработки, ИТ- и телекоммуникационная инфра- структура, информационная безопасность, ИТ-аутсорсинг и техни- ческая поддержка, управление комплексными проектами и др. Компания располагает региональными офисами в семи городах России — от Санкт-Петербурга и Краснодара до Владивостока, а также представительствами на Украине, в Казахстане, Азербайд- жане и Узбекистане. Компания «Инфосистемы Джет» работает в сфере ИБ более 18 лет и на сегодняшний день обладает уникальным набором компе- тенций в данной области. Своей главной задачей компания ставит создание решений, обеспечивающих реальную безопасность бизнеса. Центр информационной безопасности компании «Инфосистемы Джет» на рынке ИБ — это: • реализация более 230 комплексных проектов в сфере ИБ в год; • более 210 экспертов в области ИБ; • № 1 на рынке ИБ-интеграции в коммерческих организациях (независимое аналитическое агентство Anti-Malware.ru, 2010); • № 1 среди интеграторов по объему предоставления услуг ИБ на российском рынке (экспертное исследование «Рынок информа- ционной безопасности Российской Федерации», 2013); • уникальные собственные продукты, занимающие ведущие пози- ции в своих сегментах; • оказание услуг аутсорсинга ИБ со строгими SLA. © «Инфосистемы Джет»