Безопасность ДБО и          минимизация    финансовых потерьПрофессиональные встречи (не закружечкой пива, хотя после можн...
О чем пойдет речь?        ДБО – Дистанционное Банковское Обслуживание, клиент-серверное приложение      позволяющее клиент...
За и противПреимущества ДБО для клиента:                                                                                  ...
ДБО и ИБ                                                                                                                  ...
А стоит ли игра свеч? Или риски решают все!      Эффективная оценка рисков, позволит определить величину допустимых      ф...
А кто будет крайним?                                                                                                      ...
Механизмы защиты доступа    1. Использование двухфакторной авторизации (What you have)           Сертификаты           Г...
Контроль и авторизация операций      По каждой операции должно производится оповещение владельца счета,      посредством: ...
Сбор доказательной базы      1. Создание защищенной копии лог-файлов сервера приложений (web-сервера)      2. Создание защ...
И самое главное….      Организация мероприятий по повышению уровня осведомленности        в области безопасности как персо...
Последний слайд                                                               Вопросы???© 2011 KPMG Audit LLC, a company i...
© 2011 KPMG Audit LLC, a company incorporated under the Laws of theRepublic of Kazakhstan, a subsidiary of KPMG Europe LLP...
Upcoming SlideShare
Loading in …5
×

Безопасность дбо и минимизация финансовых потерь

727 views

Published on

Presented by Alexey Kan

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
727
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
11
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Атака на ПО от Банка – если ПО разработано банком, насколько хорошо они протестированно, проводились ли процедуры анализа уязвимого кода.Атака на ПО вендора – насколько вендор гарантирует защиту от взлома его ПО, подписывается ли сертификатом его ПО.
  • Безопасность дбо и минимизация финансовых потерь

    1. 1. Безопасность ДБО и минимизация финансовых потерьПрофессиональные встречи (не закружечкой пива, хотя после можно) Алексей Кан SSCP, C|EH, CCNA Старший консультант KPMG 24.05.2012
    2. 2. О чем пойдет речь? ДБО – Дистанционное Банковское Обслуживание, клиент-серверное приложение позволяющее клиенту банка осуществлять операции со счетом через сеть Интернет. Активное развитие ДБО началось во время начала финансового кризиса, и параллельно возросли финансовые потери Банков. IC3 Internet Crime Report in USA© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 1KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    3. 3. За и противПреимущества ДБО для клиента: Угрозы использования ДБО для клиента:• Постоянный доступ к счету для проведения • Возможность потерять средства на счету;платежей;• Нет необходимости ездить в Банк, стоять вочередях;•Увеличение скорости обслуживания.Преимущества ДБО для банка: Угрозы использования ДБО для банка:• снижение операционных издержек; • финансовые потери;• повышение лояльности абонентов; • репутационные потери;• увеличение количества ежедневных • доступность сервиса;операций;© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 2KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    4. 4. ДБО и ИБ Безопасность ИБ Бизнес ДБО© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 3KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    5. 5. А стоит ли игра свеч? Или риски решают все! Эффективная оценка рисков, позволит определить величину допустимых финансовых потерь для бизнеса, если возникает инцидент связанный с ДБО. Понимая, что мы защищаем, мы можем эффективно внедрять средства защиты и контроля. «Не стоит тратить на защиту 10 млн., если объект защиты стоит 100 тыс.» Старый-мудрый безопасник© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 4KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    6. 6. А кто будет крайним? Варианты угроз: Банк? Атака на ДБО от Банка Клиент? Атака на клиента Вендор? Атака на ДБО Вендора или хакер? А поймайте его сначала…..© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 5KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    7. 7. Механизмы защиты доступа 1. Использование двухфакторной авторизации (What you have) Сертификаты Генераторы одноразовых паролей Защищенные носители информации Токены со смарт-картой. SMS-авторизация 2. Использование двухфакторной авторизации (What you are)  Отпечаток пальца(ов)  Отпечаток капилляров  Радужная оболочка глаза  Геометрия лица© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 6KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    8. 8. Контроль и авторизация операций По каждой операции должно производится оповещение владельца счета, посредством:  SMS сообщения;  электронного сообщения. При проведении операций превышающих порог чувствительности, должна производится дополнительная авторизация посредством:  ввода кода подтверждения полученного через SMS сообщение;  телефонного звонка клиенту с обязательной записью разговора;  посредством дополнительного авторизации через токен или смарт-карту.© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 7KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    9. 9. Сбор доказательной базы 1. Создание защищенной копии лог-файлов сервера приложений (web-сервера) 2. Создание защищенной копии лог-файлов баз данных 3. Создание копии всего сетевого трафика взаимодействия с сервером ДБО 4. Установление контактов с отделом полиции по расследованию компьютерных преступлений 5. Обеспечение единого системного времени 6. Создание процедуры оперативного реагирования на инциденты ДБО включающей:  Процедуру по полному отключению ДБО  Процедуру по блокированию мошеннических транзакций  Процедуру сбора доказательной базы и вызова криминалистов  План действия если инцидент произошел у клиента© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 8KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    10. 10. И самое главное…. Организация мероприятий по повышению уровня осведомленности в области безопасности как персонала банка так и клиентов…© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 9KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    11. 11. Последний слайд Вопросы???© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 10KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
    12. 12. © 2011 KPMG Audit LLC, a company incorporated under the Laws of theRepublic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a memberfirm of the KPMG network of independent member firms affiliated with KPMGInternational Cooperative (“KPMG International”), a Swiss entity. All rightsreserved.The KPMG name, logo and “cutting through complexity” are registeredtrademarks or trademarks of KPMG International Cooperative (“KPMGInternational”).

    ×