Документ описывает лучшие практики и нормативные базы для обеспечения информационной безопасности в банковской системе Российской Федерации, включая стандарты и рекомендации различных учреждений. Рассматриваются компоненты информационной безопасности, используемые в системе Diasoft Flextera, такие как шифрование, аутентификация и защита данных. Также упоминаются типичные риски и меры по их предотвращению на разных стадиях разработки программного обеспечения.

2. 2
ПОДДЕРЖКА ТЕХНОЛОГИЙ SIEM СО СТОРОНЫ
РАЗРАБОТЧИКА АБС. ЛУЧШИЕ ПРАКТИКИ
Директор по исследованиям и инновациям
«Диасофт Системы»
Сергей Добриднюк sdobridnuk@diasoft.ru

3. ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ФСБ РОССИИ
ФСТЭК РОССИИ
РОСКОМНАДЗОР
НОРМАТИВНАЯ БАЗА ДЛЯ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3

4. Комплекс документов в области стандартизации Банка России «Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации
 СТО БР ИББС-1.0-2014. «Общие
положения (5 редакция)».
 СТО БР ИББС-1.1-2007.
«Аудит информационной
безопасности».
 СТО БР ИББС-1.2-2014.
«Методика оценки соответствия
информационной безопасности
организаций банковской
системы Российской Федерации
требованиям СТО БР ИББС-1.0-
2014 (4 редакция)».
 РС БР ИББС-2.0-2007.
«Методические рекомендации
по документации в области
обеспечения информационной
безопасности в соответствие с
требованиями СТО БР ИББС-
1.0».
 РС БР ИББС-2.1-2007.
«Руководство по самооценке
соответствия
информационной
безопасности организаций
банковской системы
Российской Федерации
требованиям СТО БР ИББС-
1.0».
 РС БР ИББС-2.2-2009.
«Методика оценки рисков
нарушения информационной
безопасности».
 РС БР ИББС-2.5-2014.
«Менеджмент инцидентов
информационной
безопасности».
 РС БР ИББС-2.3 «Требования
по обеспечению персональных
данных при их обработке в
ИСПД».
 РС БР ИББС-2.4 «Отраслевая
частная модель угроз
безопасности персональных
данных при их обработке в
ИСПД».
Комплекс документов в области стандартизации Банка России
«Обеспечение информационной безопасности организаций банковской
системы Российской Федерации
НОРМАТИВНАЯ БАЗА ДЛЯ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
БАНКОВСКОЙ СИСТЕМЫ РФ
4

5. 5
ФУНКЦИОНАЛЬНАЯ АРХИТЕКТУРА БАНКА (РОЗНИЦА)
5

6. 6
«РАЗРЫВЫ» В ОРГАНИЗАЦИИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ БАНКОВ
Я за это не отвечаю
Нам некогда
Приходите через
месяц
Нет бюджета
На каком основании
Все же будет медленно !
Мне не говорили
Не суйся не в
свое дело
Система это не
умеет
Ты что – порядок не
знаешь !
Ничего – надо
будет, займемся
А мой начальник
сказал нам другое

7. КОНФИДЕНЦИАЛЬНОСТЬ
ЦЕЛОСТНОСТЬ
ДОСТУПНОСТЬ
DIASOFT FLEXTERA
КОМПОНЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В DIASOFT FLEXTERA
7

8. 8
Пользователь
SSL/TLC Файервол
Ведение журналов Сервер приложений
Сервер баз данных
Файловый обмен Аутентификация
• Роле-базирующаяся модель
доступа
• Персональныйконтент
• Управление паролями
• Мониторинг сессий
• Активность пользователя
• Отчет об использовании
• Мониторинг ключевой
информации
• IP активность
• Шифрованиеданных о
пользователях
• Доступ только AppServer
• Ограничения по IP
• Защита
сетевого
периметра
• Шифрование
передаваемого
контента
• Парольная защита
• Фильтрация IP
• Токены к API
• Логическая безопасность
• Безопасныйприем/передача
• Проверка целостности
• Проверка авторства
• Ограничения IP
• СЗИ от НСД
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ПОТОКАХ
ДАННЫХ DIASOFT FLEXTERA
SIEM

9. 9
В СИСТЕМЕ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ:
 Многофакторная аутентификация подключений
 Шифрование полей таблиц при хранении, передаче
 Шифрование базы данных, дампа (архива) целиком
 Модификация данных в реплике БД (reduction, expanding)
 Контроль среды исполнения – OS, RDBMS
 Проверка данных и контекста пользователя
 Контроль доступа привилегированных пользователей
 Контроль ограничений использования ресурса RAM, CPU, TIME
 Автоматика восстановления продуктивной среды
В ГЕТЕРОГЕННЫХ СРЕДАХ:
 Аудит активности и отчетность
 Мониторинг трафика
 Консистентность и версионность при асинхронном обмене
 Защита целостности базы и критических таблиц
 Защита БД и сервера от нежелательной активности
 Маскирование критичных данных
 Имитация тестовой среды и тестовых данных
ЗАЩИТА ЕДИНОГО ИНФОРМАЦИОННОГО ПРОСТРАНСТВА
(БАЗ ДАННЫХ)
SIEM

10. ЗАЩИТА ПРИЛОЖЕНИЙ
10
В СЕРВЕРЕ ПРИЛОЖЕНИЙ
 Подпись кода и шифрование конфигурационных настроек
 Безопасное развертывание/останов экземпляров
 Безопасность на основе ролей
 Безопасное кеширование, шифрование паролей, cookies
 Многофакторная аутентификация подключений
 Фильтрация данных
 Контроль среды исполнения – OS, APP SERVER
 Политика безопасности приложений и инструкций
 Безопасность сеансов, проверка подлинности
 Журналирование параметров вызова API и результата
 Контроль ограничений использования ресурса RAM, CPU, TIME
В ГЕТЕРОГЕННЫХ СРЕДАХ И КЛАСТЕРЕ
 Аудит активности и отчетность
 Мониторинг трафика
 Защита данных и сервера от нежелательной активности
 Маскирование критичных данных
 Имитация тестовой среды и тестовых данных
SIEM

11. БЕЗОПАСНОСТЬ В ПРОЦЕССЕ РАЗРАБОТКИ
DIASOFT FLEXTERA
11
ТИПИЧНЫЕ РИСКИ
 Ошибки при проектировании и реализации ПО
 Неумышленные действия пользователей
 Несанкционированное внедрение вредоносного ПО
 Сбои в работе ПО и аппаратного обеспечения
 Неправильные настройки ПО, протоколов и служб
 Преднамеренное изменение ПО с целью внесения уязвимостей
ПОМЕРЫ, ПРИМЕНЯЕМЫЕ ПРИ РАЗРАБОТКЕ ПО
 Меры, применяемые при проектировании
 Меры, на стадии разработки
 Меры, на стадии тестирования
 Меры, на стадии передачи ПО потребителю
 Меры на стадии сопровождения и модернизации
 Управление конфигурациями ПО
ДОКУМЕНТЫ, МЕТОДОЛОГИИ
 ГОСТ Р ИСО/МЭК 15408, 18045, 27001, 27034
 Microsoft SDL, Cisco SDL, OpenSAMM, OWASPCLASP
SIEM

12. ВЫБОР ОБЛАСТИ ВНЕДРЕНИЯ И СЕРТИФИКАЦИИ
СИСТЕМЫ УПРАВЛЕНИЯ ИБ (ISO 27001)
12

13. Спасибо