Документ описывает подход к обеспечению безопасности в национальной платежной системе, акцентируя внимание на системах управления мошенничеством и инцидентами. Рассматриваются различные технологии аутентификации и способы предотвращения мошенничества, включая классификацию типов фрода и размещения систем. Также подчеркивается необходимость интеграции и автоматизации для повышения эффективности реагирования на инциденты информационной безопасности.

1. Подход КРОК к реализации требований по защите
информации в Национальной платежной системе
Павел Луцик,
руководитель проектов
по информационной безопасности
Москва, 01.10.2013

2. 2
SECURITY OPERATIONS CENTER
Enterprise Fraud Management (EFM)
+
Enterprise Incident Management (EIM)

3. 3
EFM
Сочетание:
• Antifraud система ― предотвращение мошенничества,
основанное на поведении пользователей и заданных
аналитических правилах
• Аутентификационный центр ― предотвращение
мошенничества, основанное на строгой аутентификации
пользователей и подтверждении транзакций

4. 4
ВЗАИМОДЕЙСТВИЕ EFM CО СМЕЖНЫМИ
БАНКОВСКИМИ СИСТЕМАМИ
Аутентифи-
кационный
центр
Antifraud
система
Система
ДБО
Пользователь
системы ДБО
Internet,
Phone
EFM
WEB
Application
Firewall

5. ANTIFRAUD СИСТЕМА
(INTELLINX, RSA, NICE ACTIMIZE, SAS, FICO)

6. 6
ANTIFRAUD СИСТЕМЫ ― КЛАССИФИКАЦИЯ
• Тип фрода:
• Внутренний
• Внешний
• Тип банковских систем:
• ДБО
• Пластик
• Режим анализа:
• Online
• Offline

7. 7
ANTIFRAUD СИСТЕМЫ ― КЛАССИФИКАЦИЯ
• Тип размещения Antifraud системы:
• Inhouse
• Hosted-размещение
• Принцип работы Antifraud системы :
• Белый список транзакций
• Созданные вручную правила
• Risk scoring
• Дополнительные источники

8. АУТЕНТИФИКАЦИОННЫЙ ЦЕНТР
(VASCO, THALES, ACTIVIDENTITY, SAFENET)

9. 9
НЕНАДЕЖНОСТЬ ОДНОРАЗОВЫХ SMS-ПАРОЛЕЙ
ТРОЯН EUROGRABBER ― ЗАРАЖЕНИЕ

10. 10
НЕНАДЕЖНОСТЬ ОДНОРАЗОВЫХ SMS-ПАРОЛЕЙ
ТРОЯН EUROGRABBER ― КРАЖА ДЕНЕГ

11. 11
ВИДЫ АБОНЕНТСКИХ УСТРОЙСТВ
Второй фактор аутентификации пользователи могут получить:
• С помощью скретч-карты (вчерашний день)
• Через SMS-сообщение
• С аппаратного токена
• С мобильного токена
• С помощью EMV-карты (посредством ридера)

12. 12
УНИВЕРСАЛЬНОСТЬ И МАСШТАБИРОВАНИЕ
Одна система безопасности для защиты всех банковских каналов
SMS-Банк Интернет-Банк АТМ Банкомат Телефон-Банк Контакт-Центр Мобильный Банк

13. 13
АППАРАТНЫЙ ТОКЕН

14. 14
ПОДТВЕРЖДЕНИЕ ТРАНЗАКЦИИ

15. 15
ТОКЕН С КАРТОЙ
И ОПТИЧЕСКИМ СЧИТЫВАТЕЛЕМ

16. 16
ПОДТВЕРЖДЕНИЕ ТРАНЗАКЦИИ

17. ENTERPRISE INCIDENT MANAGEMENT (EIM)

18. 18
EIM
Сочетание:
• Система сбора и корреляции инцидентов ИБ
― своевременное обнаружение инцидентов, их анализ,
корреляция и оповещение
• Система расследования инцидентов ИБ
― незамедлительное реагирование на инциденты, сбор
доказательной базы для расследования

19. СИСТЕМА СБОРА И КОРРЕЛЯЦИИ ИНЦИДЕНТОВ ИБ
(HP, IBM, SPLUNK)

20. 20
Облачные
сервисы
1000+ Решений от
производителей
Виртуальная
среда
Серверы
Сотни пользователей
Множество серверов,
приложений, сетевого
оборудования, средств
защиты
Миллионы событий
информационной
безопасности
РЕАЛИИ СЕГОДНЯШНЕГО ДНЯ

21. 21
ПОЛУЧАЕМЫЕ ПРЕИМУЩЕСТВА
• Централизованный мониторинг ИБ
• Прозрачность в управлении ИБ
• Увеличение скорости выявления, расследования и реагирования
• Уменьшение размеров ущерба, сокращение накладных расходов
• Повышение эффективности в управлении рисками
• Соответствие требованиям и международным стандартам

22. СИСТЕМА РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ ИБ
(ACCESSDATA, GUIDANCE SOFTWARE)

23. 23
КАК ОБЫЧНО РАССЛЕДУЮТСЯ ИНЦИДЕНТЫ?

24. 24
АКТУАЛЬНЫЕ ВОПРОСЫ
• На какое количество оповещений реально отреагировать?
• Как получаются оповещения с конечных устройств?
• Как быстро можно…
• …подтвердить оповещение?
• …определить источник и масштаб атаки?
• …собрать необходимые данные до того как они исчезнут?

25. 25
РЕШЕНИЕ: ОПОВЕЩЕНИЕ + РЕАГИРОВАНИЕ
Автоматизация реагирования и расследования инцидентов:
• Осуществление online-ответа на оповещение
• Получение критичных по срокам данных
• Подтверждение событий, сгенерированных SIEM-системами
• Определение существования риска утечки критичных данных

26. 26
ИНТЕГРАЦИЯ С ВНЕШНИМИ СИСТЕМАМИ

27. 27
СПАСИБО ЗА ВНИМАНИЕ!
Павел Луцик
Руководитель проектов по информационной безопасности
111033, Москва, ул. Волочаевская, д.5, корп.1
+7 495 974 2274 доб. 6718, +7 495 974 2277 (факс)
plutsik@croc.ru
www.croc.ru