Опыт аудита контрагентов, задействованных в работе с персональными даннымиAcribia
Совместный доклад компаний Лента и Акрибия об управлении рисками, обусловленными необходимостью вовлечения контрагентов в процессы обработки персональных данных программы лояльности.
Risks minimization when acquiring software from the developerAlena Kapachova
Presentation on the legal issues involved when acquiring software from the developer, at the 12th International Forum on Banking Information Technologies "BankIT'2015". Program: http://bankit.by/forum-bankit/program
Опыт аудита контрагентов, задействованных в работе с персональными даннымиAcribia
Совместный доклад компаний Лента и Акрибия об управлении рисками, обусловленными необходимостью вовлечения контрагентов в процессы обработки персональных данных программы лояльности.
Risks minimization when acquiring software from the developerAlena Kapachova
Presentation on the legal issues involved when acquiring software from the developer, at the 12th International Forum on Banking Information Technologies "BankIT'2015". Program: http://bankit.by/forum-bankit/program
Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Левин Алексей Владимирович, ведущий специалист департамента информационной безопасности компании «БИФИТ»
Источник: http://ural.ib-bank.ru/materials_2015
Презентация аналитической системы РАБИС.
Система предназначена для оценки кредитоспособности заемщиков.
Внедряется в кредитных и микрокредитных организациях.
Подробности http://rabis.biz
Презентация создавалась в 2010-м, дополнена коллегами в 2014-м году
Законодательство РФ в области Национальной платежной системыКРОК
Семинар «161-ФЗ «О национальной платежной системе» с точки зрения ИБ» http://www.croc.ru/action/detail/23203/
Презентация Михаила Левина, ведущего системного инженера направления информационной безопасности компании
Практический опыт реализации системы антифрода промышленного производства – о...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Окулесский Василий Андреевич, начальник управления информационной безопасности, Банк Москвы
Источник: http://ural.ib-bank.ru/materials_2015
Мошенничество в системах ДБО. Анализ и контроль операцийКРОК
Вторая межбанковская конференция «Информационная безопасность банков».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2618/
Презентация Евгения Чугунова, эксперта направления информационной безопасности компании КРОК
Услуги КРОК в области защиты персональных данныхКРОК
Конференция "Экономически оправданные телекомрешения".
Подробнее о мероприятии http://www.croc.ru/action/detail/2236/
Презентация Евгения Дружинина, эксперта в области информационной безопасности компании КРОК
Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Левин Алексей Владимирович, ведущий специалист департамента информационной безопасности компании «БИФИТ»
Источник: http://ural.ib-bank.ru/materials_2015
Презентация аналитической системы РАБИС.
Система предназначена для оценки кредитоспособности заемщиков.
Внедряется в кредитных и микрокредитных организациях.
Подробности http://rabis.biz
Презентация создавалась в 2010-м, дополнена коллегами в 2014-м году
Законодательство РФ в области Национальной платежной системыКРОК
Семинар «161-ФЗ «О национальной платежной системе» с точки зрения ИБ» http://www.croc.ru/action/detail/23203/
Презентация Михаила Левина, ведущего системного инженера направления информационной безопасности компании
Практический опыт реализации системы антифрода промышленного производства – о...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Окулесский Василий Андреевич, начальник управления информационной безопасности, Банк Москвы
Источник: http://ural.ib-bank.ru/materials_2015
Мошенничество в системах ДБО. Анализ и контроль операцийКРОК
Вторая межбанковская конференция «Информационная безопасность банков».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2618/
Презентация Евгения Чугунова, эксперта направления информационной безопасности компании КРОК
Услуги КРОК в области защиты персональных данныхКРОК
Конференция "Экономически оправданные телекомрешения".
Подробнее о мероприятии http://www.croc.ru/action/detail/2236/
Презентация Евгения Дружинина, эксперта в области информационной безопасности компании КРОК
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
В соответствии с положениями Федерального закона «О национальной платежной системе» участники платежных систем обязаны обеспечить защиту информации в соответствии с законодательством Российской Федерации, в том числе при осуществлении денежных переводов, а также провести оценку соответствия. В рамках презентации будут рассмотрены основные изменения, внесенные в требования по защите информации, предъявляемые Банком России к участникам платежных систем, и вступившие в силу с января 2014 года, а также возможные варианты их выполнения.
Презентация Александра Сауленко, руководителя отдела внедрения компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
2. Мошенничество Определение Мошенническая операция – это операция с использованием банковской карты, её реквизитов или расчетного счета, не инициированная или не подтвержденная её/его держателем/владельцем.
4. Законодательство Банк несет ответственность В соответствии с ГК РФ, при предоставлении услуги Дистанционного Банковского Обслуживания, Банк является исполнителем . ГК РФ ст. 1095 «Основания возмещения вреда, причиненного вследствие недостатков товара, работы или услуги»
5. Мошеннические операции Факторы возникновения Среда возникновения Уязвимости операционных систем и прикладного ПО Большой обьем событий в режиме реального времени Технологические ошибки ДБО и ошибки персонала Неадекватная модель угроз и нарушителя Большое количество пользователей Низкая осведомленность клиентов и сотрудников банка
6. Распространенные недостатки систем ДБО Сложность архитектуры системы ДБО. Низкая скорость реагирования на инцидент; Недостаточный обьем данных для анализа инцидента; Неразвитые функции управления безопасностью; Отсутствие механизмов корреляции событий ;
7. Мошеннические операции Используемые данные персональные данные клиентов. данные кредитных/дебетовых карт; реквизиты юридических лиц, данных расчетного счета, а также РКО; «подставные» реквизиты оплаты коммунальных услуг, штрафов;
8. Противодействие злоумышленникам Выбор потенциальной жертвы Поиск и анализ уязвимостей Применение специального ПО Получение доступа в ДБО Удаление следов Вывод средств Защита системы ДБО
10. Система противодействия мошенничеству Комплекс требований Система противодействия мошенничеству Функционирование в режиме реального времени Автоматизированное принятие решения на основе правил Интеграция с компонентами системы ДБО Применение различных моделей анализа финансовых операций
12. Сбор исходных данных системой защиты от мошенничества Использование агентов Технологии сбора данных Отложенный анализ журналов событий Источники данных XML SQL данные приложения голосовой трафик сетевой трафик экран пользователя
13. Используемые методы анализа Контроль корректности операций Сигнатурный анализ Эвристический анализ проверка корректности вводимых данных по словарям списки номеров счетов списки участников операций объем осуществляемых операций количественные характеристики географические характеристики участников операций временные характеристики дополнительные данные (например, ошибки идентификации/аутентификации)
15. Защита системы ДБО без модернизации Защита системы ДБО без изменения производительности Преимущество использования Обнаружение и контроль в режиме реального времени
16. Спасибо за внимание Приглашаем на наш стенд. Нестеров Руслан Старший консультант [email_address] +7 (495) 721-81-01
Editor's Notes
В соответствии с законом “О техническом регулировании”№184-ФЗ Риск–вероятность причинения вреда имуществу физических или юридических лиц с учётом тяжести этого вреда . Основными рисками при использовании системы ДБО являются: Операционный риск, в следствии возникновения убытков в результате несоответствия процедур проведения банковских операций и других сделок, их нарушения, несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем. (Письмо ЦБ РФ №76-Т “Об организации управления операционным риском в кредитных организациях”от 24.05.2005) Репутационный риск (Письмо ЦБ РФ №92-Т “Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах”от 30.06.2005) Риск непрерывности деятельности - (Нормативные документы международных платёжных систем) Снижение перечисленных рисков, до приемлемого уровня, является одной из задач, стоящих перед сотрудниками, ответственными за обеспечения информационной безопасности.
В соответствии с законом “О техническом регулировании”№184-ФЗ Риск–вероятность причинения вреда имуществу физических или юридических лиц с учётом тяжести этого вреда . Основными рисками при использовании системы ДБО являются: Операционный риск, в следствии возникновения убытков в результате несоответствия процедур проведения банковских операций и других сделок, их нарушения, несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем. (Письмо ЦБ РФ №76-Т “Об организации управления операционным риском в кредитных организациях”от 24.05.2005) Репутационный риск (Письмо ЦБ РФ №92-Т “Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах”от 30.06.2005) Риск непрерывности деятельности - (Нормативные документы международных платёжных систем) Снижение перечисленных рисков, до приемлемого уровня, является одной из задач, стоящих перед сотрудниками, ответственными за обеспечения информационной безопасности.