В соответствии с положениями Федерального закона «О национальной платежной системе» участники платежных систем обязаны обеспечить защиту информации в соответствии с законодательством Российской Федерации, в том числе при осуществлении денежных переводов, а также провести оценку соответствия. В рамках презентации будут рассмотрены основные изменения, внесенные в требования по защите информации, предъявляемые Банком России к участникам платежных систем, и вступившие в силу с января 2014 года, а также возможные варианты их выполнения.
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Законодательство РФ в области Национальной платежной системыКРОК
Семинар «161-ФЗ «О национальной платежной системе» с точки зрения ИБ» http://www.croc.ru/action/detail/23203/
Презентация Михаила Левина, ведущего системного инженера направления информационной безопасности компании
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
Презентация компании StoneSoft, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Законодательство РФ в области Национальной платежной системыКРОК
Семинар «161-ФЗ «О национальной платежной системе» с точки зрения ИБ» http://www.croc.ru/action/detail/23203/
Презентация Михаила Левина, ведущего системного инженера направления информационной безопасности компании
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
Презентация компании StoneSoft, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Компания «Инфосистемы Джет» представляет комментарии, посвященные изменениям в стандартах Банка России – СТО БР ИББС–1.0–2014, СТО БР ИББС–1.2–2014.
Комментарии основаны на оценках ведущих экспертов компании «Инфосистемы Джет» в области выполнения проектов по приведению в соответствие требованиям регуляторов. В комментариях представлены ключевые нововведения стандартов Банка России, которые могут оказать влияние на методику оценки соответствия комплексу стандартов, а также на способы выполнения банками требований по информационной безопасности.
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Защита информации в национальной платежной системеLETA IT-company
Презентация с вебинара по теме "Защита информации в НПС" проведенного компанией LETA 7 ноября 2012 года. Запись вебинара вы можете посмотреть по ссылке - http://www.leta.ru/library/presentation/webinar-nps.html
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
Совместный вебинар Kaspersky lab. и ДиалогНаука посвящен противодействию целевым атакам. Новые вызовы корпоративной безопасности и экономическое обоснование целесообразности применения решений по противодействию APT.
Спикер: Владимир Островерхов, Эксперт поддержки корпоративных продаж направления противодействия целенаправленным атакам «Лаборатории Касперского»
Совместный вебинар Solar Security и ДиалогНаука посвящен DLP-системам и проведен в формате "взгляд эксперта".
Спикер: Василий Лукиных, менеджер по развитию бизнеса компании Solar Security
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
Вебинар: DeviceLock - экспертный взгляд на DLP-технологииDialogueScience
На вебинаре проведен обзор основных аспектов утечки конфиденциальных данных и методов противодействия утечкам, предлагаемых рынком информационной безопасности - решениям класса Data Leak Prevention, а также рассмотрены вопросы эффективности различных DLP-систем.
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
Совместный вебинар АО ДиалогНаука и Palo Alto Networks посвящен целевым кибератакам и платформе, которая поможет их предотвратить.
Спикер: Евгений Кутумин, Systen Engineer Russia & CIS, Palo Alto Networks
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Создание системы обеспечения ИБ АСТУ электросетевой компанииDialogueScience
Спикер: Дмитрий Ярушевский, руководитель отдела кибербезопасности АСУ ТП АО «ДиалогНаука»
Вебинар посвящен работам по созданию системы обеспечения информационной безопасности автоматизированной системы технологического управления одной из крупнейших электросетевых компаний г. Москвы. Докладчик расскажет об обрабатываемых рисках и угрозах в рамках создаваемой системы, задачах, стоявших перед проектировщиками и инженерами. Большая часть вебинара будет посвящена техническим решениям системы, среди которых есть как общеизвестные средства защиты от мировых лидеров рынка, так и решения, разрабатываемые специально для заказчика и реализующие меры безопасности непосредственно на уровне ПЛК.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни. Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин, предоставляем доступ к нашим сбережениям и банковским счетам и т.д.
Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Приглашаем вас прослушать вебинар "Целенаправленные атаки на мобильные устройства", на котором получите советы по защите ваших мобильных устройств, увидите примеры атак и получите ответы на волнующие вас вопросы.
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Safe inspect. Средство контроля за действиями привилегированных пользователейDialogueScience
Обзор российского продукта SafeInspect.
SafeInspect - полнофункциональное российское решение для контроля привилегированных учетных записей и сессий в современных информационных системах.
Спикер: Сергей Шерстюк, Менеджер по развитию продуктов, Новые технологии безопасности (ООО НТБ).
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITYDialogueScience
I. LACK OF EXPERTISE AND COMMUNICATION
II. LACK OF RIGHTS TO ACT
CONCLUSION
Dmitry Yarushevskiy | CISA | CISM
Head of ICS Cyber security department
JSC DialogueScience
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем. В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения последней версии PCI DSS.
Спикер: Александр Крупчик, директор по развитию бизнеса АО «ДиалогНаука», CISSP, CISA, CISM, PCI QSA, PCI ASV.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
Вебинар: Функциональные возможности современных SIEM-систем
Реализация требований по защите информации в соответствии с положением Банка России № 382
1. РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ ПО ЗАЩИТЕ
ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ
ДЕНЕЖНЫХ СРЕДСТВ.
ТРЕБОВАНИЯ ФЗ «О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ
СИСТЕМЕ» И ПОЛОЖЕНИЯ БАНКА РОССИИ 382-П.
КОНСАЛТИНГОВЫЕ УСЛУГИ ЗАО «ДИАЛОГНАУКА»
Антон Свинцицкий
Руководитель отдела консалтинга
ЗАО «ДиалогНаука»
2. О компании «ДиалогНаука
«ДиалогНаука» является членом:
• Межрегиональной общественно организации «Ассоциация защиты
информации» (АЗИ),
• Ассоциации документальной электросвязи (АДЭ),
• НП «АБИСС» (Некоммерческого партнерства «Сообщество
пользователей стандартов по информационной безопасности АБИСС»)
• Ассоциации предприятий компьютерных и информационных технологий
(АП КИТ)
• Консорциума «Инфорус»
• Британского Института Стандартов (British Standards Institution
Management Systems)
2
3. О компании «ДиалогНаука»
Компания «ДиалогНаука» предлагает комплексные решения по защите
автоматизированных систем предприятий от возможных угроз
информационной безопасности.
• Защита персональных данных
• Защита от спама и вирусов
• Защита интернет-порталов
• Защита от утечки информации
• Защита электронного документооборота
• Мониторинг информационной безопасности
• Анализ защищенности и выявление уязвимостей
• Защита ERP-систем
• Криптографическая защита информации на базе VPN
• Организация защищенного удаленного доступа
3
4. Структура законодательства РФ
4
Федеральный закон от 27.06.2011 N 161-ФЗ «О национальной платежной системе»
Постановление Правительства РФ от 13.06.2012 N 584 «Об утверждении Положения о
защите информации в платежной системе»
Документы Банка России
Положение о требованиях к обеспечению защиты информации при
осуществлении переводов денежных средств и о порядке осуществления
Банком России контроля за соблюдением требований к обеспечению
защиты информации при осуществлении переводов денежных средств»
(утв. Банком России 09.06.2012 N 382-П)
Указание Банка России от 09.06.2012 N 2831-У «Об отчетности по
обеспечению защиты информации при осуществлении переводов
денежных средств операторов платежных систем, операторов услуг
платежной инфраструктуры, операторов по переводу денежных средств»
(Зарегистрировано в Минюсте России 14.06.2012 N 24573)
Положение о бесперебойности функционирования платежных систем и
анализе рисков в платежных системах (утв. Банком России 31.05.2012 N
379-П)
...
5. Национальная платежная система.
Федеральный закон «О национальной платежной системе»
• Целью Федерального закона от 27.06.2011 N 161-ФЗ «О национальной
платежной системе» является законодательное закрепление понятия
«платежная система», установление требований к организации и
функционированию таких систем, а также надзору и контролю за их
деятельностью.
• Предметом Закона являются деятельность и взаимодействие в рамках
платежных систем организаций - операторов по переводу денежных
средств, включая операторов услуг платежной инфраструктуры
(операционных, клиринговых и расчетных центров).
• Положения Закона затрагивают деятельность многих участников
безналичных расчетов: банков, небанковских кредитных организаций,
платежных агентов, поставщиков, работающих с платежными агентами,
и др.
6. Национальная платежная система.
Федеральный закон «О национальной платежной системе»
Закон устанавливает, что не только Банки, но и
все субъекты национальной платежной
системы обязаны гарантировать банковскую
тайну и обеспечивать защиту информации о
применяемых способах обеспечения
информационной безопасности, а также защиту
персональных данных и другой информации,
подлежащей обязательной защите в
соответствии с законодательством РФ.
7. Национальная платежная система
Национальная платежная система - это совокупность операторов по
переводу денежных средств (в том числе электронных денег), банковских
платежных агентов, платежных агентов, организаций федеральной
почтовой связи.
Платежная система - совокупность организаций, взаимодействующих по
правилам платежной системы в целях осуществления перевода денежных
средств, включающая оператора платежной системы, операторов услуг
платежной инфраструктуры и участников платежной системы, из которых
как минимум три организации являются операторами по переводу
денежных средств.
Платежная система носит более локальный характер чем
национальная платежная система.
10. Операторы платежных систем
Банк России ведет реестр операторов платежных систем.
На текущий момент зарегистрировано 28 платежных систем (платежная
система Мигом была исключена Приказом Банка России от19.03.2014 №
ОД-335).
При регистрации указываются также:
- Расчетный центр;
- Платежный клиринговый центр;
- Операционный центр.
Ссылка:
http://www.cbr.ru/today/Print.aspx?File=payment_system/rops/reestr.zip&pid=ro
ps&sid=ITM_13528
11. Обеспечение защиты информации в платежной системе
• Контроль и надзор за выполнением требований,
установленных Правительством Российской
Федерации, осуществляются ФСТЭК и ФСБ России, в
пределах их полномочий и без права ознакомления с
защищаемой информацией.
12. Требования по обеспечению информационной
безопасности
Постановление Правительства Российской Федерации №584 от 13
июня 2012 года (вступило в силу 1.07.2012) устанавливает требования к
«правилам платежной системы», в том числе по следующим
направлениям:
• создание выделенного подразделения и(или) лица, ответственного за
обеспечение ИБ;
• включение в должностные обязанности работников требований по
обеспечению ИБ;
• осуществление мероприятий по определению угроз ИБ и анализу
уязвимости информационных систем;
• проведение анализа рисков ИБ;
• необходимость применение средств защиты информации (СЗИ от НСД,
защиты от вредоносного ПО, СКЗИ, СОВ, САЗ);
• управление инцидентами ИБ;
• проведение периодического контроля (1 раз в 2 года).
13. Требования по обеспечению информационной
безопасности
• Для проведения работ по защите информации
операторами и агентами могут привлекаться на
договорной основе организации, имеющие лицензии
на деятельность по технической защите
конфиденциальной информации и (или) на
деятельность по разработке и производству
средств защиты конфиденциальной информации.
14. Положение Банка России 382-П
Определяет необходимость защиты информации при осуществлении
переводов денежных средств!
1. Устанавливает перечень защищаемой информации.
2. Устанавливает направления обеспечения информационной
безопасности
3. Требования к контролю (проверка на месте и(или) запрос на
предоставление информации)
Мера принуждения:
«ограничивает (приостанавливает) предписанием оказание операционных
услуг, в том числе при привлечении операционного центра, находящегося
за пределами Российской Федерации, и (или) услуг платежного клиринга»
15. Положение Банка России 382-П
Типы защищаемых информационных активов:
• информации об остатках денежных средств на банковских счетах;
• информации об остатках электронных денежных средств;
• информации о совершенных переводах денежных средств;
• требование об отнесении информации о совершенных переводах
денежных средств к защищаемой информации;
• информации, содержащейся в оформленных в рамках применяемой
формы безналичных расчетов;
• информации о платежных клиринговых позициях;
• информации, необходимой для удостоверения клиентами права
распоряжения денежными средствами, в том числе данных
держателей платежных карт;
• ключевой информации СКЗИ;
• управляющая информация;
• информации ограниченного доступа (в том числе персональных
данных).
16. Положение Банка России 382-П
Направления обеспечения ИБ
Направление Раздел СТО БР ИББС-1.0-
2010
Распределение ролей 7.2
Обеспечение ИБ на жизненном цикле 7.3
Управление доступом 7.4
Антивирусная защита 7.5
Контроль использования Интернет 7.6
Использование СКЗИ 7.7
Обеспечение защиты информации при
осуществлении переводов
7.8, 7.9
Организационная структура ИБ 8.2
Повышение осведомленности в вопросах
ИБ
8.9
Управление инцидентами ИБ 8.10
17. Положение Банка России 382-П
Направления обеспечения ИБ
Направление Раздел СТО БР ИББС-1.0-
2010
Определение и реализация порядка
обеспечения защиты информации при
осуществлении переводов
8.4
8.5
8.12
Оценка выполнения оператором платежной
системы, оператором по переводу
денежных средств
8.13
8.14
Доведение требований по обеспечение ИБ
до оператора платежной системы
-
Совершенствование оператором платежной
системы, оператором по переводу
денежных средств
8.15
8.16
8.17
8.18
18. Положение Банка России 382-П
Направления обеспечения ИБ
Все требования разбиты на 3 основных класса:
1. Требования, необходимые к документированию в
Организации.
2. Требования, необходимые к выполнению в
Организации.
3. Требования, необходимые и к документированию,
и к выполнению в Организации.
19. Положение Банка России 382-П
Направления обеспечения ИБ
При проведении оценки соответствия используются три обобщающих
показателя:
• обобщающий показатель EV1ПС - характеризующий выполнение группы
требований к обеспечению защиты информации при осуществлении
переводов денежных средств, определенных в пунктах 2.4 - 2.10
Положения 382-П (с учетом корректирующего коэффициента k1);
• обобщающий показатель EV2ПС - характеризующий выполнение группы
требований к обеспечению защиты информации при осуществлении
переводов денежных средств, определенных в пунктах 2.11 - 2.17
Положения 382-П (с учетом корректирующего коэффициента k2);
• итоговый показатель RПС - характеризующий выполнение всех
требований к обеспечению защиты информации при осуществлении
переводов денежных средств (всего 129 показателей).
22. Положение Банка России 382-П Направления обеспечения
ИБ
Итоговые значения
RПС = Min {EV1ПС , EV2ПС } с учетом корректирующих коэффициентов
Уровни значения
Больше или равно 0,85 «хорошо»
От 0,7 до 0,85 «удовлетворительно»
От 0,5 до 0,7 «сомнительная»
Менее 0,5 «неудовлетворительная»
23. Внесение изменений в 382-П
01.07.2013 в Минюсте зарегистрировано Указание Банка России от
05.06.2013 N 3007-У "О внесении изменений в Положение Банка России от
9 июня 2012 года N 382-П
Важно: провести оценку соответствия в течение 6 месяцев со дня
вступления Указания в силу (1.07.2013) обязаны и организации,
являющиеся на текущий момент операторами по переводу денежных
средств, операторами платежной системы, операторами услуг платежной
инфраструктуры.
24. Внесение изменений в 382-П
Основные изменения:
1. Регистрация действий клиентов, выполняемых с использованием
автоматизированных систем, программного обеспечения стала
обязательной.
2. Определены требования к составу регистрируемой информации,
действиями и срокам хранения информации.
3. Детализированы требования к документации на системы
дистанционного банковского обслуживания, интернет-банкинг,
мобильный банкинг и т.п. (в том числе регистрируемых БПА).
4. Уточнен порядок применения СКЗИ Российского производства.
5. Уточнения в части управления инцидентами информационной
безопасности.
6. Требования к процессу оценки соответствия.
26
25. Внесение изменений в 382-П
Пример подхода к реализации нового требования (в части журналирования
событий):
Рекомендуется разработать описание информационных систем, к которым
предоставляется доступ клиентам, содержащее:
• описание архитектуры информационной системы;
• типы клиентских устройств;
• регистрация назначения и распределения прав клиентов и работников Банка:
– роли;
– регистрация событий (где, что, как долго хранится);
– документ, описывающий формализованный процесс;
• регистрация всех действий клиентов:
– состав регистрируемой информации;
– регистрируемый идентификатор устройства клиента;
– перечень действий клиентов;
– срок хранения информации о действиях клиентов;
• правила формирования идентификатора;
• использование криптографии для защиты каналов связи и подтверждения
электронных документов:
– защита канала связи;
– подтверждение электронных документов.
27
26. Отчетность. Оценка соответствия
УКАЗАНИЕ от 9 июня 2012 г. N 2831-У устанавливает формы и
порядок отчетности по оценке соответствия и по инцидентам
информационной безопасности
Отчетность по форме 0403202 (оценка соответствия):
Субъекты:
операторы платежной системы,
операторы услуг платежной инфраструктуры,
операторы по переводу денежных средств
Срок: не позднее 30 дней
28
27. Отчетность. Инциденты
Отчетность по форме 0403203 (инциденты):
Субъекты:
Операторы услуг платежной инфраструктуры
Операторы по переводу денежных средств
Срок: Не позднее 10 рабочих дней
Важно! С 28 января 2014 года новые требования к отчетности по
инцидентам (УКАЗАНИЕ от 21 июня 2013 г. N 3024-У )
29
28. Отчетность. Инциденты
Отчетность по форме 0403203 (инциденты):
1. Общее количество инцидентов за отчетный период.
2. Дата выявления инцидента ИБ.
3. Наименование БПА (субагента) и его код.
4. Последствия инцидента (в том числе и финансовые потери).
5. Объекты информационной инфраструктуры.
6. Описание предпринятых действий.
7. Факты обращения в правоохранительные органы.
Типы инцидентов:
воздействие вредоносного кода (нарушение доступности и целостности
информационных активов);
нарушение доступности и целостности предоставляемых услуг и сервисов
на всех уровнях среды обработки (более 3 часов);
нарушение конфиденциальности аутентификационной информации
клиентов;
компрометация ключевой информации;
осуществление несанкционированного денежного перевода;
30
29. Опыт проведения оценки соответствия
В 2013 году компанией ЗАО «ДиалогНаука» было реализовано более 10
проектов по оценке соответствия Банков требованиям Положения Банка
России №382-П.
Средняя продолжительность оценки соответствия: 40 рабочих дней.
Состав рабочей группы: 2-3 аудитора.
33
30. Опыт проведения оценки соответствия
Обобщенные результаты:
34
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
EV1 EV2 R
Соотношениерезультатовпоуровням
Направления оценки
Неудовлетворительная
Сомнительная
Удовлетворительно
Хорошо
31. Опыт проведения оценки соответствия
Основные недостатки:
1. Несогласованность документов ОПДС и документов ОПС (в том числе в
части информирования об инцидентах информационной безопасности).
2. Невыполнение требований по регистрации событий в информационных
системах ОПДС.
3. Отсутствие ответственных за обеспечение информационной безопасности
в филиалах ОПДС.
4. Отсутствие описания области применения требований Положения Банка
России 382-П (описание объектов инфраструктуры, регистрация лиц и т.п.).
5. Тестирование на реальных данных.
6. Отсутствие документов, регламентирующих жизненных цикл
информационных систем (технические задания, ввод и вывод
информационных систем).
7. Отсутствие документов, регламентирующих вопросы обеспечения
информационной безопасности банкоматов.
8. Работа с персоналом по вопросам обеспечения информационной
безопасности.
9. Не выполняется проверка выполнения требований по обеспечению
защиты информации при осуществлении переводов денежных средств при
присоединении к платежным системам.
10. И другие.
35
32. Что мы можем предложить?
1. Проведение оценки соответствия требованиям
382-П и разработка рекомендаций по
совершенствованию СОИБ Оператора
2. Приведение СОИБ Оператора в соответствие
требованиям 382-П (в том числе проведение работ
по оценке рисков информационной безопасности)
3. Внедрение СЗИ в соответствии с рекомендациями и
требованиями 382-П
33. Спасибо за внимание!
Вопросы?
ЗАО «ДиалогНаука»
Телефон: +7 (495) 980-67-76
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: svintsitskii@DialogNauka.ru