SlideShare a Scribd company logo

Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П

Download as PPT, PDF
A
ArtemAgeev

Обзор изменений в Положение ЦБ 382-П

1 of 24
Дмитрий Сергеевич Крутов Главный экономист Департамент национальной платежной системы Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Регулирование защиты информации при осуществлении переводов денежных средств в национальной платежной системе Риски нарушения защиты информации 1 Полномочия в соответствии с Федеральным законом №161-ФЗ Банк России Изменение 382-П Инициативы участников рынка платежных услуг Потребности рынка в стабильности и развитии НПС Утверждено Изменение 2831-У Утверждено, требования вступили в силу 338822-П-П ФСТЭК ФСБ Требования к обеспечению защиты информации при осуществлении переводов денежных средств и порядок осуществления контроля за их соблюдением в рамках надзора в НПС 22883311-У-У Сбор и анализ отчетности по обеспечению защиты информации при осуществлении переводов денежных средств Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Обновление нормативной базы в области обеспечения защиты информации в национальной платежной системе 2 3361-У Указание Банка России от 14 августа 2014 года № 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»: -Обновление подходов к обеспечению защиты информации -Требования к банкоматам и платежным терминалам -Требования к системам Интернет-банкинга и мобильного банкинга -Требования к платежным картам Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Отчетность по форме 0403203 3361-У 2831-У 3 Факторы, влияющие на внесение изменений в Положение Банка России № 382-П (1/3) Количество инцидентов, фиксируемых ежемесячно: ~1700 >10% происходит при использовании банкоматов >50% инцидентов приводит к несанкционированному переводу денежных средств >50% инцидентов происходит на стороне клиента Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
3361-У Факторы, влияющие на внесение изменений в Положение Банка России № 382-П (2/3)  Реализация стратегии развития НПС  Вступление в силу 9 статьи Федерального закона № 161-ФЗ  Активное участие Банка России в повышении финансовой грамотности населения Российской Федерации  Развитие технологий, появление новых электронных средств платежа, повышение популярности дистанционного банковского обслуживания  Накопление опыта при осуществлении надзора в национальной платежной системе 4 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Факторы, влияющие на внесение изменений в Положение Банка России № 382-П (3/3) Почему существовавшие до внесения изменений требования не могли быть универсальными? 3361-У Электронные денежные средства Платежные карты, мобильный банкинг Интернет-банкинг Платежные системы класса B2B Увеличение средней величины платежа Снижение «кумулятивного» эффекта Усложнение модели нарушителя Изменение профиля риска « Формирование задач в рамках каждого из направлений развития национальной платежной системы и их реализация будут осуществляться при следовании Банком России принципу соразмерности регулирования в НПС рискам, присущим » деятельности субъектов НПС и связанным со снижением безопасности оказания платежных услуг 5 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Мнения и опыт Департаментов Банка России Независимых экспертов Профессиональных объединений участников рынка платежных услуг Федеральных органов исполнительной власти Участников Технического комитета по стандартизации «Стандарты финансовых операций» Иностранных регуляторов Операторов платежных систем 6 Источники, используемые Банком России при формировании требований к обеспечению защиты информации в национальной платежной системе 3361-У Документы Базельского комитета по банковскому надзору Совета по стандартам безопасности данных индустрии платежных карт Комитета по платежам и рыночным инфраструктурам Международной организации комиссий по ценным бумагам Европейского союза Систематизация рекомендаций по тематике изменений (- необходим системный подход, базовый документ, учитывающий результаты применения этих рекомендаций Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Процесс формирования требований к обеспечению защиты информации при осуществлении переводов денежных средств 67 страниц, 43 требования 31 страница, 24 требования 77 редакций документа 3361-У 3361-У Рекомендации 7 Требования не универсальны в плане выполнения различными субъектами Требования могут конфликтовать с гарантийными обязательствами Требования могут быть исполнены только при вмешательстве в оборудование Требования подразумевают наличие узкоквалифицированных специалистов Требования, не в полной мере относящиеся к осуществлению переводов Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
1. Изменения общего характера Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
8 Изменения общего характера. Пункт 2.3 Положения Банка России № 382-П Выполнение требований с учетом параметров и статистики выполняемых операций, количества и характера выявленных инцидентов Организационные меры Выбор + применение, Порядок, Ответственность, Контроль, Иные действия Технические средства Выбор + использование, Порядок, Ответственность, Контроль, Иные действия Применение объектов инфраструктуры, для которых характерен более низкий профиль риска + Контроль Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Изменения общего характера. Пункт 2.12 Положения Банка России № 382-П Риски, меры по их снижению + Меры по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства + меры по контролю конфигурации устройства + Информация о появлении в «Интернет» фальсифицированных ресурсов и программного обеспечения + рекомендуемые меры по обнаружению указанных ресурсов и программного обеспечения 1 + Определение фальсифицированного ресурса 9 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации» ТУ 2
2. Требования к системам Интернет-банкинга и мобильного банкинга Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к системам Интернет-банкинга и мобильного банкинга. Терминология. Интернет-банкинга = = = ? Системы Системы мобильного банкинга 10 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к системам Интернет-банкинга и мобильного банкинга. Терминология. Разные ОС Одинаковые каналы связи = = = Разные каналы связи Одинаковые ОС Отличие только в размере дисплея Системы Интернет-банкинга: сайты в сети «Интернет», используемые клиентом на основании договора, системы клиент-серверной архитектуры, передающих информацию через сеть «Интернет» (кроме АТМ, ПТ) Системы мобильного банкинга: ПО, используемое клиентом при осуществлении ПДС с использованием системы Интернет-банкинга и 10 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации» предназначенное для установки на мобильные устройства
Требования к системам Интернет-банкинга и мобильного банкинга. Иерархия требований. Системы Интернет-банкинга Программное обеспечение, используемое клиентом при осуществлении переводов денежных средств, разрабатывалось оператором по переводу денежных средств самостоятельно или с привлечением сторонних организаций Системы мобильного банкинга Реализация функций, связанных с выполнением требований Реализация функций, связанных с защитой данных при передаче Распространение изменений, контроль актуальности версий Доведение инструкции, ее обновление при обновлении ПО ОПДС регламентирует обновление вспомогательного ПО Одноразовые пароли (коды подтверждения) (по решению) Уведомление перед авторизацией перевода (по решению) Установление клиентом лимитов (сумма, получатели, устройства, услуги, время) Средство контроля целостности (ЮЛ) Реализация функций, связанных с защитой хранимой информации ИЛИ Запрет на хранение информации на устройстве В репозиториях: указание разработчика В репозиториях: выявление фальсифицированного ПО И Уведомление клиентов и администраторов репозиториев Блокировка доступа клиента по заявлению 11 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к системам Интернет-банкинга и мобильного банкинга. Взаимодействие с операторами сотовой связи. приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение: получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента; отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств. К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с указанного в договоре с клиентом клиентом 12 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
3. Требования к банкоматам и платежным терминалам Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к банкоматам и платежным терминалам. Терминология. Терминальные устройства Банкомат устройство для осуществления в автоматическом режиме: выдачи и (или) приема средств наличного платежа (банкнот) с использованием платежных карт, наличных денежных расчетов и (или) расчетов с использованием платежных карт, передачи распоряжений кредитной организации об осуществлении расчетов по поручению клиентов по их банковским счетам и для составления документов, подтверждающих передачу соответствующих распоряжений. (Федеральный закон № 54-ФЗ) Платежный терминал устройство для осуществления наличных денежных расчетов в автоматическом режиме (Федеральный закон № 54-ФЗ) Электронный терминал электронное устройство, предназначенное для совершения операций с использованием платежных карт и конструкция которых не предусматривает прием (выдачу) наличных денежных средств (Указание Банка России № 2332-У) 13 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к банкоматам и платежным терминалам. Классификация. Терминальные устройства дистанционного банковского обслуживания возможности несанкционированного получения информации, необходимой для осуществления переводов денежных средств возможности осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО Особенности конструкции и место установки Основания для классификации (определение типов и отнесение к ним) Использование при определении мер и средств, применяемых в рамках выполнения требований 14 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к банкоматам и платежным терминалам. Иерархия требований. Классификация Установка на (в) ТУ ДБО технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного оборудования (по решению) 15 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации» несанкционированное внесение изменений в программное обеспечение использование систем удаленного мониторинга состояния ТУ ДБО Контроль Состояния (периодичность, порядок) несанкционированное внесение изменений в аппаратное обеспечение сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт, устройств приема наличных денежных средств, устройств выдачи наличных денежных средств приведение ТУ ДБО в состояние, при котором обслуживание клиентов невозможно
Требования к банкоматам и платежным терминалам размещение на лицевой панели ТУ ДБО или в непосредственной близости от ТУ ДБО сведений об ОПДС контроль состава объектов информационной инфраструктуры в сегментах информационно- телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО порядок работы с заявлениями клиентов о выявленных событиях, связанных с нарушением обеспечения защиты информации порядок настройки программного обеспечения, средств вычислительной техники в составе ТУ ДБО Определение требований для банковских платежных агентов (субагентов) + контроль в соответствии с действующей редакцией (п. 1.2) 16 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
4. Требования к применению платежных карт, оснащенных микропроцессором Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к применению платежных карт, оснащенных микропроцессором Оператор по переводу денежных средств осуществляет переводы денежных средств с применением расчетных (дебетовых), кредитных карт: оснащенных микропроцессором, оснащенных микропроцессором и магнитной полосой, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается после 1 июля 2015 года; оснащенных магнитной полосой и (или) микропроцессором, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается до 1 июля 2015 года. 17 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Дмитрий Сергеевич Крутов Главный экономист Департамента национальной платежной системы Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»

Recommended

Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
LETA IT-company
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбоЕвгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБОЕвгений Царев
 
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Евгений Царев
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системе
LETA IT-company
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 
информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)Евгений Царев
 

Recommended

Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
LETA IT-company
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбоЕвгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБОЕвгений Царев
 
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Евгений Царев
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системе
LETA IT-company
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 
информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)Евгений Царев
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Strategy psys
Strategy psysStrategy psys
Strategy psys
Bankir_Ru
 
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
SelectedPresentations
 
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Prostobank Consulting
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
Aleksandr Karpov
 
О МФО в двух словах
О МФО в двух словахО МФО в двух словах
О МФО в двух словах
Рустам Ильин
 
Информационная брошюра по защите прав потребителей
Информационная брошюра по защите прав потребителей Информационная брошюра по защите прав потребителей
Информационная брошюра по защите прав потребителей
Владислав Разуменко
 
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
Belarusian State University, Faculty of Economics, Ecocomics Informatics Division
 
Instrukcija
InstrukcijaInstrukcija
Instrukcija
Инфобанк бай
 
Татфондбанк
ТатфондбанкТатфондбанк
Татфондбанкklinika32
 
Микрофинансирование
МикрофинансированиеМикрофинансирование
Микрофинансирование
Вячеслав Лапшин
 
417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...
study-help64
 
Загорский - Минкомсвязь
Загорский - МинкомсвязьЗагорский - Минкомсвязь
Загорский - Минкомсвязь
erapopova
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_Открытие
Aleksandrs Baranovs
 
Юридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииЮридический статус Bitcoin в России
Юридический статус Bitcoin в России
Tolkachev_and_Partners
 
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Банковское обозрение
 
Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.
Aleksandrs Baranovs
 
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Банковское обозрение
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
Denis Batrankov, CISSP
 
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...ArtemAgeev
 

More Related Content

What's hot

Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Strategy psys
Strategy psysStrategy psys
Strategy psys
Bankir_Ru
 
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
SelectedPresentations
 
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Prostobank Consulting
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
Aleksandr Karpov
 
О МФО в двух словах
О МФО в двух словахО МФО в двух словах
О МФО в двух словах
Рустам Ильин
 
Информационная брошюра по защите прав потребителей
Информационная брошюра по защите прав потребителей Информационная брошюра по защите прав потребителей
Информационная брошюра по защите прав потребителей
Владислав Разуменко
 
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
Belarusian State University, Faculty of Economics, Ecocomics Informatics Division
 
Instrukcija
InstrukcijaInstrukcija
Instrukcija
Инфобанк бай
 
Татфондбанк
ТатфондбанкТатфондбанк
Татфондбанкklinika32
 
Микрофинансирование
МикрофинансированиеМикрофинансирование
Микрофинансирование
Вячеслав Лапшин
 
417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...
study-help64
 
Загорский - Минкомсвязь
Загорский - МинкомсвязьЗагорский - Минкомсвязь
Загорский - Минкомсвязь
erapopova
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_Открытие
Aleksandrs Baranovs
 
Юридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииЮридический статус Bitcoin в России
Юридический статус Bitcoin в России
Tolkachev_and_Partners
 
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Банковское обозрение
 
Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.
Aleksandrs Baranovs
 
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Банковское обозрение
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 

What's hot (20)

Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Strategy psys
Strategy psysStrategy psys
Strategy psys
 
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
 
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
Нацбанк обязал украинские банки и небанковские учреждения прекратить предоста...
 
О МФО в двух словах
О МФО в двух словахО МФО в двух словах
О МФО в двух словах
 
Информационная брошюра по защите прав потребителей
Информационная брошюра по защите прав потребителей Информационная брошюра по защите прав потребителей
Информационная брошюра по защите прав потребителей
 
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
 
Instrukcija
InstrukcijaInstrukcija
Instrukcija
 
Татфондбанк
ТатфондбанкТатфондбанк
Татфондбанк
 
Микрофинансирование
МикрофинансированиеМикрофинансирование
Микрофинансирование
 
417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...
 
Загорский - Минкомсвязь
Загорский - МинкомсвязьЗагорский - Минкомсвязь
Загорский - Минкомсвязь
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_Открытие
 
Юридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииЮридический статус Bitcoin в России
Юридический статус Bitcoin в России
 
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
 
Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.
 
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 

Viewers also liked

Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
Denis Batrankov, CISSP
 
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...ArtemAgeev
 
Сергей Рыбец. Соответствие требованиям Банка России в сфере информационной бе...
Сергей Рыбец. Соответствие требованиям Банка России в сфере информационной бе...Сергей Рыбец. Соответствие требованиям Банка России в сфере информационной бе...
Сергей Рыбец. Соответствие требованиям Банка России в сфере информационной бе...ArtemAgeev
 
Андрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведкаАндрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведка
ArtemAgeev
 
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСОлег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСArtemAgeev
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
Denis Batrankov, CISSP
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
Aleksey Lukatskiy
 
Waf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScriptWaf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScript
Denis Kolegov
 
Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСAleksey Lukatskiy
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Viewers also liked (12)

Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
Артем Агеев. Оценка эффективности защиты интернет-ресурсов организации, или к...
 
Сергей Рыбец. Соответствие требованиям Банка России в сфере информационной бе...
Сергей Рыбец. Соответствие требованиям Банка России в сфере информационной бе...Сергей Рыбец. Соответствие требованиям Банка России в сфере информационной бе...
Сергей Рыбец. Соответствие требованиям Банка России в сфере информационной бе...
 
Андрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведкаАндрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведка
 
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСОлег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБС
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
 
Waf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScriptWaf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScript
 
Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПС
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 

Similar to Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П

Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Aleksey Lukatskiy
 
Об осуществлении Банком России деятельности, направленной на снижение рисков ...
Об осуществлении Банком России деятельности, направленной на снижение рисков ...Об осуществлении Банком России деятельности, направленной на снижение рисков ...
Об осуществлении Банком России деятельности, направленной на снижение рисков ...
SelectedPresentations
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
КРОК
 
Защита информации в НПС. Особенности оценки соответствия и Внедрения
Защита информации в НПС. Особенности оценки соответствия и ВнедренияЗащита информации в НПС. Особенности оценки соответствия и Внедрения
Защита информации в НПС. Особенности оценки соответствия и ВнедренияЕвгений Царев
 
презентация о.а. гончарова
презентация о.а. гончаровапрезентация о.а. гончарова
презентация о.а. гончарова
finnopolis
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Expolink
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
 
Противодействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБОПротиводействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБО
Ruslan Nesterov
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Практический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов БанкаПрактический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов Банка
Positive Hack Days
 
CТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияCТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные изменения
jet_information_security
 
ТЗИ 2017
ТЗИ 2017ТЗИ 2017
ТЗИ 2017
Альбина Минуллина
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
КРОК
 
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Expolink
 
положение цб россии № 382 п
положение цб россии № 382 пположение цб россии № 382 п
положение цб россии № 382 пAKlimchuk
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Aleksey Lukatskiy
 

Similar to Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П (20)

Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"
 
Об осуществлении Банком России деятельности, направленной на снижение рисков ...
Об осуществлении Банком России деятельности, направленной на снижение рисков ...Об осуществлении Банком России деятельности, направленной на снижение рисков ...
Об осуществлении Банком России деятельности, направленной на снижение рисков ...
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
 
Защита информации в НПС. Особенности оценки соответствия и Внедрения
Защита информации в НПС. Особенности оценки соответствия и ВнедренияЗащита информации в НПС. Особенности оценки соответствия и Внедрения
Защита информации в НПС. Особенности оценки соответствия и Внедрения
 
презентация о.а. гончарова
презентация о.а. гончаровапрезентация о.а. гончарова
презентация о.а. гончарова
 
Данильченко
ДанильченкоДанильченко
Данильченко
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Противодействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБОПротиводействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБО
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Практический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов БанкаПрактический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов Банка
 
CТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияCТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные изменения
 
ТЗИ 2017
ТЗИ 2017ТЗИ 2017
ТЗИ 2017
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
 
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
 
положение цб россии № 382 п
положение цб россии № 382 пположение цб россии № 382 п
положение цб россии № 382 п
 
1 правила пс смарти
1 правила пс смарти1 правила пс смарти
1 правила пс смарти
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
 

Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П

  • 1. Дмитрий Сергеевич Крутов Главный экономист Департамент национальной платежной системы Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 2. Регулирование защиты информации при осуществлении переводов денежных средств в национальной платежной системе Риски нарушения защиты информации 1 Полномочия в соответствии с Федеральным законом №161-ФЗ Банк России Изменение 382-П Инициативы участников рынка платежных услуг Потребности рынка в стабильности и развитии НПС Утверждено Изменение 2831-У Утверждено, требования вступили в силу 338822-П-П ФСТЭК ФСБ Требования к обеспечению защиты информации при осуществлении переводов денежных средств и порядок осуществления контроля за их соблюдением в рамках надзора в НПС 22883311-У-У Сбор и анализ отчетности по обеспечению защиты информации при осуществлении переводов денежных средств Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 3. Обновление нормативной базы в области обеспечения защиты информации в национальной платежной системе 2 3361-У Указание Банка России от 14 августа 2014 года № 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»: -Обновление подходов к обеспечению защиты информации -Требования к банкоматам и платежным терминалам -Требования к системам Интернет-банкинга и мобильного банкинга -Требования к платежным картам Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 4. Отчетность по форме 0403203 3361-У 2831-У 3 Факторы, влияющие на внесение изменений в Положение Банка России № 382-П (1/3) Количество инцидентов, фиксируемых ежемесячно: ~1700 >10% происходит при использовании банкоматов >50% инцидентов приводит к несанкционированному переводу денежных средств >50% инцидентов происходит на стороне клиента Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 5. 3361-У Факторы, влияющие на внесение изменений в Положение Банка России № 382-П (2/3)  Реализация стратегии развития НПС  Вступление в силу 9 статьи Федерального закона № 161-ФЗ  Активное участие Банка России в повышении финансовой грамотности населения Российской Федерации  Развитие технологий, появление новых электронных средств платежа, повышение популярности дистанционного банковского обслуживания  Накопление опыта при осуществлении надзора в национальной платежной системе 4 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 6. Факторы, влияющие на внесение изменений в Положение Банка России № 382-П (3/3) Почему существовавшие до внесения изменений требования не могли быть универсальными? 3361-У Электронные денежные средства Платежные карты, мобильный банкинг Интернет-банкинг Платежные системы класса B2B Увеличение средней величины платежа Снижение «кумулятивного» эффекта Усложнение модели нарушителя Изменение профиля риска « Формирование задач в рамках каждого из направлений развития национальной платежной системы и их реализация будут осуществляться при следовании Банком России принципу соразмерности регулирования в НПС рискам, присущим » деятельности субъектов НПС и связанным со снижением безопасности оказания платежных услуг 5 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 7. Мнения и опыт Департаментов Банка России Независимых экспертов Профессиональных объединений участников рынка платежных услуг Федеральных органов исполнительной власти Участников Технического комитета по стандартизации «Стандарты финансовых операций» Иностранных регуляторов Операторов платежных систем 6 Источники, используемые Банком России при формировании требований к обеспечению защиты информации в национальной платежной системе 3361-У Документы Базельского комитета по банковскому надзору Совета по стандартам безопасности данных индустрии платежных карт Комитета по платежам и рыночным инфраструктурам Международной организации комиссий по ценным бумагам Европейского союза Систематизация рекомендаций по тематике изменений (- необходим системный подход, базовый документ, учитывающий результаты применения этих рекомендаций Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 8. Процесс формирования требований к обеспечению защиты информации при осуществлении переводов денежных средств 67 страниц, 43 требования 31 страница, 24 требования 77 редакций документа 3361-У 3361-У Рекомендации 7 Требования не универсальны в плане выполнения различными субъектами Требования могут конфликтовать с гарантийными обязательствами Требования могут быть исполнены только при вмешательстве в оборудование Требования подразумевают наличие узкоквалифицированных специалистов Требования, не в полной мере относящиеся к осуществлению переводов Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 9. 1. Изменения общего характера Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 10. 8 Изменения общего характера. Пункт 2.3 Положения Банка России № 382-П Выполнение требований с учетом параметров и статистики выполняемых операций, количества и характера выявленных инцидентов Организационные меры Выбор + применение, Порядок, Ответственность, Контроль, Иные действия Технические средства Выбор + использование, Порядок, Ответственность, Контроль, Иные действия Применение объектов инфраструктуры, для которых характерен более низкий профиль риска + Контроль Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 11. Изменения общего характера. Пункт 2.12 Положения Банка России № 382-П Риски, меры по их снижению + Меры по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства + меры по контролю конфигурации устройства + Информация о появлении в «Интернет» фальсифицированных ресурсов и программного обеспечения + рекомендуемые меры по обнаружению указанных ресурсов и программного обеспечения 1 + Определение фальсифицированного ресурса 9 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации» ТУ 2
  • 12. 2. Требования к системам Интернет-банкинга и мобильного банкинга Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 13. Требования к системам Интернет-банкинга и мобильного банкинга. Терминология. Интернет-банкинга = = = ? Системы Системы мобильного банкинга 10 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 14. Требования к системам Интернет-банкинга и мобильного банкинга. Терминология. Разные ОС Одинаковые каналы связи = = = Разные каналы связи Одинаковые ОС Отличие только в размере дисплея Системы Интернет-банкинга: сайты в сети «Интернет», используемые клиентом на основании договора, системы клиент-серверной архитектуры, передающих информацию через сеть «Интернет» (кроме АТМ, ПТ) Системы мобильного банкинга: ПО, используемое клиентом при осуществлении ПДС с использованием системы Интернет-банкинга и 10 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации» предназначенное для установки на мобильные устройства
  • 15. Требования к системам Интернет-банкинга и мобильного банкинга. Иерархия требований. Системы Интернет-банкинга Программное обеспечение, используемое клиентом при осуществлении переводов денежных средств, разрабатывалось оператором по переводу денежных средств самостоятельно или с привлечением сторонних организаций Системы мобильного банкинга Реализация функций, связанных с выполнением требований Реализация функций, связанных с защитой данных при передаче Распространение изменений, контроль актуальности версий Доведение инструкции, ее обновление при обновлении ПО ОПДС регламентирует обновление вспомогательного ПО Одноразовые пароли (коды подтверждения) (по решению) Уведомление перед авторизацией перевода (по решению) Установление клиентом лимитов (сумма, получатели, устройства, услуги, время) Средство контроля целостности (ЮЛ) Реализация функций, связанных с защитой хранимой информации ИЛИ Запрет на хранение информации на устройстве В репозиториях: указание разработчика В репозиториях: выявление фальсифицированного ПО И Уведомление клиентов и администраторов репозиториев Блокировка доступа клиента по заявлению 11 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 16. Требования к системам Интернет-банкинга и мобильного банкинга. Взаимодействие с операторами сотовой связи. приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение: получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента; отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств. К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с указанного в договоре с клиентом клиентом 12 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 17. 3. Требования к банкоматам и платежным терминалам Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 18. Требования к банкоматам и платежным терминалам. Терминология. Терминальные устройства Банкомат устройство для осуществления в автоматическом режиме: выдачи и (или) приема средств наличного платежа (банкнот) с использованием платежных карт, наличных денежных расчетов и (или) расчетов с использованием платежных карт, передачи распоряжений кредитной организации об осуществлении расчетов по поручению клиентов по их банковским счетам и для составления документов, подтверждающих передачу соответствующих распоряжений. (Федеральный закон № 54-ФЗ) Платежный терминал устройство для осуществления наличных денежных расчетов в автоматическом режиме (Федеральный закон № 54-ФЗ) Электронный терминал электронное устройство, предназначенное для совершения операций с использованием платежных карт и конструкция которых не предусматривает прием (выдачу) наличных денежных средств (Указание Банка России № 2332-У) 13 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 19. Требования к банкоматам и платежным терминалам. Классификация. Терминальные устройства дистанционного банковского обслуживания возможности несанкционированного получения информации, необходимой для осуществления переводов денежных средств возможности осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО Особенности конструкции и место установки Основания для классификации (определение типов и отнесение к ним) Использование при определении мер и средств, применяемых в рамках выполнения требований 14 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 20. Требования к банкоматам и платежным терминалам. Иерархия требований. Классификация Установка на (в) ТУ ДБО технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного оборудования (по решению) 15 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации» несанкционированное внесение изменений в программное обеспечение использование систем удаленного мониторинга состояния ТУ ДБО Контроль Состояния (периодичность, порядок) несанкционированное внесение изменений в аппаратное обеспечение сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт, устройств приема наличных денежных средств, устройств выдачи наличных денежных средств приведение ТУ ДБО в состояние, при котором обслуживание клиентов невозможно
  • 21. Требования к банкоматам и платежным терминалам размещение на лицевой панели ТУ ДБО или в непосредственной близости от ТУ ДБО сведений об ОПДС контроль состава объектов информационной инфраструктуры в сегментах информационно- телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО порядок работы с заявлениями клиентов о выявленных событиях, связанных с нарушением обеспечения защиты информации порядок настройки программного обеспечения, средств вычислительной техники в составе ТУ ДБО Определение требований для банковских платежных агентов (субагентов) + контроль в соответствии с действующей редакцией (п. 1.2) 16 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 22. 4. Требования к применению платежных карт, оснащенных микропроцессором Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 23. Требования к применению платежных карт, оснащенных микропроцессором Оператор по переводу денежных средств осуществляет переводы денежных средств с применением расчетных (дебетовых), кредитных карт: оснащенных микропроцессором, оснащенных микропроцессором и магнитной полосой, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается после 1 июля 2015 года; оснащенных магнитной полосой и (или) микропроцессором, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается до 1 июля 2015 года. 17 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
  • 24. Дмитрий Сергеевич Крутов Главный экономист Департамента национальной платежной системы Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»