Документ описывает решения компании Крок в области информационной безопасности для банков, включая защиты от мошенничества, соблюдение регуляторных стандартов и обеспечение безопасности систем дистанционного банковского обслуживания. Упоминаются механизмы для выявления и предотвращения несанкционированных действий, а также консультирование по соответствию требованиям федеральных законов. Крок акцентирует внимание на балансе удобства и безопасности для клиентов, а также на снижении репутационных и финансовых рисков.

1. РЕШЕНИЯ КРОК
ДЛЯ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ БАНКОВ
Компания КРОК предлагает решения для предотвращения распространенных инци-
дентов информационной безопасности: компрометация пластиковых карт, несанкцио-
нированные списания денежных средств, раскрытие персональных данных. Комплекс-
ные системы защиты позволяют:
• защитить клиентов от мошенничества в системах дистанционного банковского об-
служивания (ДБО), не создавая при этом неудобства;
• выявлять и предотвращать злонамеренные действия привилегированных пользовате-
лей автоматизированных банковских систем (АБС);
• контролировать действия пользователей АБС без вмешательства в их работу;
• соответствовать требованиям регуляторов в области информационной безопасности.
Решения КРОК для банков помогают превентивно бороться с мошенниками внутри
и снаружи компании, сокращают репутационные и финансовые риски от их действий,
повышают удовлетворенность клиентов и партнеров и укрепляют общую устойчивость
заказчика на рынке.
БИЗНЕС-ПРИЛОЖЕНИЯ
02.4
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ

2. Механизмы и технологии защиты ДБО
При выстраивании защиты систем ДБО КРОК обеспечивает необходи-
мый баланс между удобством и безопасностью использования сервиса
клиентами банка. Для этого КРОК предлагает:
• защиту от атак вида «отказ в обслуживании» (Distributed-Denial-of-
Service, DDoS);
• надежную идентификацию и аутентификацию клиентов;
• мощные механизмы авторизации транзакций;
• специализированные механизмы снижения уязвимости web-сервисов
ДБО, а также услуги по тестированию реальной защищенности ДБО;
• механизмы автоматического ранжирования транзакций клиентов
на предмет мошеннических операций;
• организационно-технические средства для создания комплексных
систем управления противодействия мошенничеству.
Решения по противодействию мошенничеству и внутренним
злоумышленникам (anti-fraud)
Решения данного класса упрощают внутренней службе безопасности
банка пресечение мошеннических действий сотрудников. Функционал
данных систем включает в себя.
• сбор и анализ данных из разрозненных банковских систем для созда-
ния целостной картины и принятия эффективных решений;
• контроль действий сотрудников, выявление подозрительных дей-
ствий, отклоняющихся от стандартных шаблонов поведения (попытки
доступа к закрытым ресурсам, списания и перевода средств и т.д.);
• отслеживание поведения привилегированных пользователей (ИТ-
администраторы, аутсорсинговые компании, разработчики и т. п.),
сохранение истории их действий;
• обеспечение выполнения требований ФЗ №-115 о противодействии
легализации (отмыванию) доходов.
Соответствие требованиям регуляторов (Compliance Management)
Выполнение некоторых из существующих сегодня стандартов в области
банковской безопасности, таких как стандарт Банка России по обеспе-
чению информационной безопасности организаций банковской систе-
мы Российской Федерации (СТО БР ИББС), может быть добровольным.
Соблюдение других, например, Федерального закона о персональных
данных или Федерального закона о национальной платежной системе
(НПС), обязательно для всех финансовых организаций. Несоответствие
государственным и отраслевым стандартам вредит репутации банка,
может повлечь гражданскую, административную или даже уголовную
ответственность.
Консалтинг от КРОК помогает банкам достичь соответствия требовани-
ям регуляторов в следующих направлениях:
• защита данных о пластиковых картах (Payment Card Industry Data Security
Standard, PCI DSS);
• защита информации в платежных системах (требования ФЗ-161, «О нацио-
нальной платежной системе», положения и указания ЦБ РФ);
02.4
ПРЕИМУЩЕСТВА КРОК
Широкая компетенция. КРОК работает
на ИТ-рынке c 1992 года и сегодня входит
в топ-10 крупнейших ИТ-компаний и
топ-3 консалтинговых компаний России
(РА «Эксперт», РИА Рейтинг, «Ком-
мерсант-Деньги»). КРОК — № 1 среди
поставщиков ИТ-услуг в стране; лиди-
рует на рынке ИТ-аутсорсинга, управ-
ления приложениями, на рынке систем
электронного документооборота (СЭД),
в области телекоммуникаций и видео-
конференцсвязи. Компания стабильно
входит в тройки лучших российских
поставщиков ИТ-услуг финансовому
сектору, государственным организациям,
транспортным компаниям, энергетике,
промышленности и ритейлу.
КРОК сотрудничает с сотней крупней-
ших финансовых структур, среди ко-
торых: Альфа-Банк, ВТБ, ВТБ-24, МДМ
Банк, Банк Москвы, Райффайзенбанк,
Ингосстрах, Росно и другие.
При реализации проектов КРОК ориен-
тируется на решение следующих задач:
централизация ресурсов, бесперебойная
работа критичных сервисов, развитие
филиальных сетей, усиление позиций на
рынке, повышение качества обслужива-
ния клиентов, обеспечение непрерыв-
ности бизнеса.
Качество реализации проектов по ин-
формационной безопасности. Специ-
алисты КРОК имеют большой опыт
работы в области обеспечения инфор-
мационной безопасности на промыш-
ленных предприятиях, в телекомму-
никационном и банковском секторах,
в государственных учреждениях. Квали-
фикация специалистов КРОК подтверж-
дена международными сертификатами,
лицензиями ФСТЭК и ФСБ России,
сертификатами ведущих производителей
оборудования и программного обеспече-
ния, включая Microsoft Certified Systems
Engineer (MCSE): Security, Check Point
Certified Security Expert (CCSE), Cisco
Certified Internetwork Expert (CCIE), RSA
Certified System Engineer и другие.

3. ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Сертификация по международным
стандартам. Компания КРОК ежегодно
проходит процедуру ресертификации
системы управления информационной
безопасностью (СУИБ) на соответствие
требованиям международного стандарта
ISO/IES 27001:2013.
КРОК является участником партнерской
программы ассоциированных консультан-
тов (ACP) Британского
института стандартов
(BSI). Это подтверж-
дает высокий статус
специалистов КРОК по
внедрению систем ме-
неджмента по направ-
лениям «Информаци-
онная безопасность»
(ISO 27001), «Непре-
рывность бизнеса»
(ISO 22301), «Управление ИТ­сервисами»
(ISO 20000­1).
Компания КРОК входит в Сообщество
пользователей стандартов ЦБ РФ по
обеспечению информационной безопас-
ности организаций банковской системы
РФ (Сообщество ABISS).
Тестирование в Центре компетенции.
Предлагая комплексные решения, КРОК
достигает гарантированной совместимо-
сти программных и аппаратных ком-
понентов благодаря предварительной
отработке и апробации решений в своем
Центре компетенции, а также тесному
взаимодействию с партнерами и по-
ставщиками. С возможностями продук-
тов по информационной безопасности
можно ознакомиться в Центрах решений
КРОК на базе технологий НР, Symantec,
Dell и в первом в России Центре реше-
ний на базе технологий EMC.
ПРЕИМУЩЕСТВА КРОК • построение системы обеспечения ИБ в банке в соответствии со стандар-
том Банка России;
• защита персональных данных клиентов и работников банка (ФЗ №-152,
«О персональных данных»);
• непрерывность бизнеса (пункты положения ЦБ РФ № 242-П).
Аудит безопасности кода бизнес-приложений
Программная закладка ‒ это скрытый фрагмент кода, который можно
использовать для несанкционированного доступа к важным банковским
информационным системам. Причиной их появления может быть как
ошибка разработчика, так и действия киберзлоумышленников, планиру-
ющих атаку на банк. Часто программные закладки выполняют роль пере-
хватчиков паролей и трафика, проводников для компьютерных вирусов,
инициируют утечки данных и программные сбои.
Выявление закладок возможно только с использованием специальных
тестовых программ. Аудит программного кода от КРОК включает в себя
структурное тестирование ПО для выявления уязвимостей, реализация
которых может снизить уровень целостности, доступности и конфи-
денциальности системы.
Отдельный класс систем используется для проверки web-приложений.
С их помощью банк сможет найти уязвимости (SQL-injection, XSS), несо-
ответствия различным законам, международным и отраслевым стан-
дартам безопасности. Эти средства упрощают поддержку приложений
благодаря формированию наглядной отчетности о найденных уязвимо-
стях и рекомендаций по их устранению.
Защита банкоматов, терминалов, инфоматов
Решения данного класса блокируют несанкционированные приложения
и изменения на инфраструктурах в пунктах обслуживания: банкоматы,
POS-системы, информационные терминалы. Комплекс технологий,
включающий в себя белые списки доверенных приложений, безопас-
ные изолированные среды («песочницы»), контроль активности при-
ложений с возможностью создания пользовательских правил, предот-
вращает выполнение изменений, не соответствующих политике, в то же
время разрешая обновления из доверенных источников. Это обеспечи-
вает возможность централизованного управления политиками измене-
ний и эффективную защиту устройств.

4. 111033, Москва, ул. Волочаевская, д.5, к.1,
Т: (495) 974 2274 | Ф: (495) 974 2277
E-mail: info@croc.ru
slideshare.net/croc-library
cloud.croc.ru
croc.ru
08 | 16 | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
ПАРТНЕРЫ КРОК
BSI. КРОК – участник «Ассоциированной
программы консультантов».
ПРИМЕРЫ РЕАЛИЗОВАННЫХ ПРОЕКТОВ
ЗАО АКБ «Национальный клиринговый центр»
Консалтинг в области соответствия требованиям 161-ФЗ
Цель проекта: повысить уровень соответствия Национального клирин-
гового центра (НКЦ) согласно действующим требованиям по информа-
ционной безопасности ФЗ-161.
Специалисты КРОК провели обследования платежной инфраструкту-
ры НКЦ на предмет соответствия требованиям Федерального закона
«О национальной платежной системе», оценили степень ее соответ-
ствия действующим требованиям закона, провели доработку комплек-
та внутренних регламентирующих документов в соответствии с его
требованиями и предложили банку вариант проекта системы защиты
платежной информации.
Основные преимущества:
• приведение системы защиты в соответствие требованиям ФЗ-161
обезопасило компанию от санкций со стороны регулятора;
• по итогам консалтинга банк получил рекомендации по дальнейшему
совершенствованию своей системы защиты и смог оценить уровень
эффективности расходов на ИБ.
Главное управление Банка России по Томской области
Оценка соответствия ИБ и требованиям СТО БР ИББС-1.0-2010
Цель проекта: оценка соответствия текущего уровня ИБ, менеджмента
ИБ и уровня осознанности ИБ требованиям стандарта СТО БР ИББС-
1.0-2010.
Основные преимущества:
• подготовлены отчет и заключение по результатам аудита;
• дана итоговая оценка соответствия ИБ требованиям стандарта
СТО БР ИББС-1.0-2010.
АКБ «Спурт» (ОАО)
Проведение комплексного аудита по направлениям СТО БР ИББС,
PCIDSS, защита персональных данных
Цель проекта: обследование текущего состояния ИБ.
Основные преимущества:
• проведение анализа достаточности уровня ИБ;
• идентификация текущих рисков несоответствия требованиям законо-
дательства и регуляторов в области защиты информации;
• формирование экспертного заключения о соответствии и рекоменда-
ций по устранению несоответствий.
Подробную информацию о решениях,
которые предлагает КРОК, вы можете
получить на странице
croc.ru/security/.