SlideShare uma empresa Scribd logo

Защита информации в национальной платежной системе

Transferir como PPTX, PDF
LETA IT-company
LETA IT-company

Презентация с вебинара по теме "Защита информации в НПС" проведенного компанией LETA 7 ноября 2012 года. Запись вебинара вы можете посмотреть по ссылке - http://www.leta.ru/library/presentation/webinar-nps.html

1 de 59
Защита информации в национальной платежной системе Игорь Бурцев, Константин Малюшкин Департамент внедрения и консалтинга ЗАО «ЛЕТА» Ноябрь 2012 +7 (495) 921 1410 / www.leta.ru
ЗНАКОМСТВО Игорь Бурцев Константин Малюшкин  Опыт работы в банковской сфере;  Опыт реализации различных проектов по информационной безопасности: ( )  Сертифицированные ABISS специалисты по внедрению и аудиту стандарта СТО БР ИББС-1.0; 2
О ЧЕМ ПОГОВОРИМ Часть 1. Основы регулирования НПС. Требования законодательства и документов Банка России по защите информации в НПС Часть 2. Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС Часть 3. Сравнение требований Положения Банка России №382-П и стандарта СТО БР ИББС-1.0 Часть 4. Практические аспекты реализации требований нормативных документов по защите информации в НПС ВОПРОСЫ И ОТВЕТЫ 3
Часть 1. Основы регулирования НПС. Требования законодательства и документов Банка России по защите информации в НПС 4
ПРЕДЫСТОРИЯ НПС Национальная система платежных карт (НСПК) – проект создания в РФ альтернативы международным платежным системам Visa и Mastercard с целью:  функционирования на национальном уровне независимой от влияния международных платежных систем структуры расчетов по карточкам;  реализация социальной функции, используя карты НСПК в качестве основы для предоставления различных госуслуг в электронном виде (УЭК – универсальная электронная карта) НПС ≠ НСПК 5
ЧТО ТАКОЕ НПС Национальная платежная система – элемент нормативного регулирования деятельности по переводам денежных средств.  Операторы по переводу денежных средств (включая операторов электронных денежных средств);  Операторы платежных систем;  Операторы услуг платежной инфраструктуры; Субъекты НПС  Банковские платежные агенты (субагенты);  Платежные агенты;  Организации федеральной почтовой связи при оказании ими платежных услуг в соответствии с зак-ов РФ. 6
ПЛАТЕЖНАЯ СИСТЕМА Платежная система (ПС) – совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств. Примеры платежных систем:  Платежная система Банка России  Золотая Корона  Visa  Яндекс.Деньги  Western Union  Contact 7
ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ Оператор платежной системы (ОПС) – организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные 161-ФЗ. Оператором платежной системы может являться:  кредитная организация,  организация, не являющаяся кредитной организацией,  Банк России;  Внешэкономбанк. Организация, намеревающаяся стать оператором ПС, должна направить в Банк России регистрационное заявление по форме и в порядке, которые установлены Банком России. 8
РЕЕСТР ОПЕРАТОРОВ ПЛАТЕЖНОЙ СИСТЕМ 9
ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ На данный момент в рамках НПС официально присутствует 6 операторов платежных систем: 161-ФЗ (ст. 15) и Положение Банк России – Платежная система Банка России ЦБ РФ № 384-П «О платежной системе Банка России» АКБ «РУССЛАВБАНК» (ЗАО) – Платежная система CONTACT ОАО КБ «ЮНИСТРИМ» – Система денежных переводов «ЮНИСТРИМ» ЗАО «Национальные кредитные карточки» – 161-ФЗ (ст. 15) и Положение Платежная система NCC (NATIONAL CREDIT CARDS) ЦБ 378-П «О порядке (РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК») направления в Банк России заявление о регистрации ООО «НКО «Вестерн Юнион ДП Восток» – Платежная Система Вестерн Юнион ОПС» (РЦ – ОАО Банк ВТБ и НКО «ОРС» (ОАО)) ЗАО «Процессинговая компания «Юнион Кард» – Платежная система «Юнион Кард» (UNION CARD) (РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК«) 10
ОПЕРАТОР ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ Оператор по переводу денежных средств (ОПДС) – организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств. Операторами по переводу денежных средств являются:  Банк России;  кредитные организации, имеющие право на осуществление перевода денежных средств;  Внешэкономбанк. Все банки являются ОПДС, так как, как минимум, они являются участниками платежной системы Банка России. 11
ОПЕРАТОР УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ Оператор услуг платежной инфраструктуры (ОУПИ): • доступ к услугам по переводу денежных Операционный средств; центр • обмен электронными сообщениями между участниками ПС Платежный • сверка расчетов между участниками ПС и клиринговый вывод о достаточности денежных средств центр плательщика для совершения расчетов Расчетный центр • Произведение расчетов между участников ПС ОУПИ может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк (кроме РЦ – только кредитная организация) 12
БАНКОВСКИЕ ПЛАТЕЖНЫЕ АГЕНТЫ И СУБАГЕНТЫ Банковский платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления деятельности, предусмотренной ФЗ-161. Банковский платежный субагент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления деятельности, предусмотренной ФЗ-161. 13
КАКОВА ВАША РОЛЬ В НПС ? Банковские Оператор Платежн платежный платежной субагент системы ый агент Банковский платежный агент Оператор по переводу денежных средств Расчетный Оператор центр электронных денежных средств Платежный клиринговый Операционный центр центр 14
НОРМАТИВНЫЕ ДОКУМЕНТЫ ПО НПС 15
НОРМАТИВНЫЕ ДОКУМЕНТЫ ПО НПС 16
161-ФЗ «О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ» Статья 27. Обеспечение защиты информации в платежной системе (вступила в силу с 01.07.2012) Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать:  защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством РФ:  Требования к защите указанной информации устанавливает Правительство РФ.  Контроль и надзор за выполнением установленных требований осуществляются ФСБ России и ФСТЭК России, в пределах их полномочий и без права ознакомления с защищаемой информацией.  Постановление Правительства РФ от 13 июня 2012 г. № 584  защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России:  Требования согласовываются ФСБ России и ФСТЭК России.  Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в НПС в установленном им порядке, согласованном с ФСБ России и ФСТЭК России.  Положение Банка России от 9 июня 2012 г. № 382-П 17
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584 ЧТО РЕГУЛИРУЕТ ?  Устанавливает требования к защите информации в платежной системе.  Защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами ПС в правила ПС в том числе в соответствии с настоящим Положением.  Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер…  Для проведения работ по защите информации могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по ТЗКИ и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.  Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по ТКЗИ. 18
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584 ТРЕБОВАНИЯ К ПРАВИЛАМ ПЛАТЕЖНОЙ СИСТЕМЫ Требования к составу правил платежной системы: 1. создание службы ИБ или назначение должностного лица, ответственного за организацию защиты информации; 2. включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации; 3. определение угроз безопасности информации и анализ уязвимости ИС; 4. анализ и управление рисками нарушения требований к защите информации; 5. разработка и реализация систем защиты информации в ИС; 6. применение средств защиты информации; 7. выявление и реагирование на инциденты ИБ; 8. обеспечение защиты информации при использовании информационно- телекоммуникационных сетей общего пользования; 9. определение порядка доступа к объектам инфраструктуры ПС, обрабатывающим информацию; 10. организация и проведение контроля и оценки соответствия на собственных объектах инфраструктуры не реже 1 раза в 2 года. 19
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584 ЧЕМ ЗАЩИЩАТЬ ? Требования к составу применяемых СЗИ:  шифровальные (криптографические) средства,  СЗИ информации от несанкционированного доступа,  средства антивирусной защиты,  средства межсетевого экранирования,  системы обнаружения вторжений,  средства контроля (анализа) защищенности 20
ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-П ЧТО РЕГУЛИРУЕТ ?  Устанавливает конкретные требования к защите информации при осуществлении переводов денежных средств, обязательные для выполнения: Необходимость Контроль Субъект НПС выполнения выполнения Оператор платежной системы + Банк России Оператор по переводу денежных средств + Банк России Оператор услуг платежной инфраструктуры + Банк России Банковские платежные агенты (субагенты) + ОПДС Клиенты – –  Устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в НПС. 21
ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-П ПРИМЕНИМОСТЬ К РАЗЛИЧНЫМ ТИПАМ СУБЪЕКТОВ НПС Всего 129 частных требований, сгруппированных в 14 разделов Сокращения: ОПС – оператор платежной системы; ОПДС – оператор по переводу денежных средств; ОУПИ – оператор услуг платежной инфраструктуры; БПА (БПСА) – банковские платежные агенты (субагенты) юрлица / ИП 22
ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-П ПРИМЕНИМОСТЬ К РАЗЛИЧНЫМ ТИПАМ СУБЪЕКТОВ НПС 23
УКАЗАНИЕ БАНКА РОССИИ № 2831-У Форма 0403202 «Сведения о выполнении ОПС, ОУПИ, ОПДС требований к обеспечению защиты информации при осуществлении переводов денежных средств»:  предоставляется не позднее 30-ти рабочих дней со дня завершения проведения оценки соответствия требованиям 382-П Форма 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств»:  предоставляется ОУПИ, ОПДС ежемесячно не позднее 10-го рабочего дня месяца, следующего за отчетным; 24
Часть 2. Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС 25
ПРОВЕДЕНИЕ ОЦЕНКИ СООТВЕТСТВИЯ Положение Банка России от 9 июня 2012 г. № 382-П  ОПДС, ОПС, ОУПИ обеспечивают проведение оценки выполнения требований к обеспечению защиты информации при осуществлении перевода денежных средств (оценка соответствия).  Оценка соответствия проводится не реже одного раза в два года, а также по требованию Банка России.  Оценка соответствия осуществляется операторами самостоятельно или с привлечением сторонних организаций.  Порядок проведения оценки соответствия и документирования ее результатов определен в Приложение 1 к 382-П.  Перечень требований, выполнение которых проверяется при проведении оценки соответствия определен в Приложении 2 к 382-П. 26
МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ Итоговый показатель Rпс MIN Обобщающий Обобщающий показатель EV1пс показатель EV2пс k1 k2 ГП01 ГП07 ГП09 ГП14 (п.2.4 382-П) (п.2.10 382-П) (п.2.11 382-П) (п.2.17 382-П) П.1 (п.2.4.1) П.71 (п.2.10.1) П.82 (п.2.11.1) П.121 (п.2.17.1) … … ... ... ... ... П.7 (п.2.4.3) П.81 (п.2.10.4) П.92 (п.2.11.3) П.129 (п.2.17.3) Свидетельства анализ документов, опросы и наблюдения 27
РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ EV1ПС ~ k1 EV2 ПС ~ k2 R = MIN(EV1 , EV2 ) ПС ПС ПС) 28
КАТЕГОРИИ ТРЕБОВАНИЙ Предусмотрено 3 категории проверки требования:  требования категория проверки 1 – реализуемые применением организационных мер защиты информации или использованием технических средств защиты информации; 0 0,25 0,5 0,75 1  требования категория проверки 2 – устанавливают необходимость обеспечения наличия определенного 382-П документа; 0 1  требования категория проверки 3 – устанавливают необходимость выполнения определенной 382-П деятельности. 0 0,5 1 29
РЕЗУЛЬТАТЫ ОЦЕНКИ СООТВЕТСТВИЯ Оценка работы по обеспечению ЗИ при Значение Rпс осуществлении ПДС На необходимом уровне обеспечивает Rпс >= 0.85 выполнение установленных требований В целом обеспечивает выполнение 0,7 <= Rпс < 0,85 установленных требований Не в полной мере обеспечивает выполнение 0,5 <= Rпс < 0,7 установленных требований Не обеспечивает выполнение установленных Rпс < 0,5 требований 30
ФОРМЫ ДОКУМЕНТИРОВАНИЯ Предусмотрено 2 формы документирования результатов:  Форма 1. Документирование результатов оценки соответствия  Форма 2. Документирование результатов вычислений обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении ПДС 31
АВТОМАТИЗАЦИЯ ОЦЕНКИ СООТВЕТСТВИЯ ISM Revision: NPS Auditor  Ускорение и упрощение процедуры оценки соответствия;  Возможность совместной работы группы специалистов  Наличие дополнительной аналитики по оценке требований;  Возможность централизованного хранения всей информации о проведенной оценке соответствия 32
АВТОМАТИЗАЦИЯ ОЦЕНКИ СООТВЕТСТВИЯ 33
Часть 3. Сравнение требований Положения Банка России №382-П и стандарта СТО БР ИББС-1.0 34
ГРУППЫ ТРЕБОВАНИЙ – СТО БР ИББС-1.0 Распределение Доступ и Этапы жизненного Антивирусная Использование ролей и регистрация цикла АБС защита сети Интернет обязанностей событий Безопасность Безопасность Организация Классификация Применение СКЗИ информационных платежных ТП обработки ПДн ИСПДн ТП Разработка Решения Организация Область действия Оценка рисков ИБ внутренних руководства о службы ИБ СОИБ документов реализации СОИБ Выявление Непрерывность Обучение и Мониторинг и инцидентов ИБ и бизнеса и Внедрение СОИБ повышение контроль реагирование на восстановление осведомленности защитных мер них деятельности Анализ Самооценка ИБ и Анализ СОИБ Тактические Стратегические функционирования Аудит ИБ руководством улучшения улучшения СОИБ 35
ГРУППЫ ТРЕБОВАНИЙ – ПОЛОЖЕНИЕ 382-П Распределение Доступ и Этапы жизненного Антивирусная Использование ролей и регистрация цикла АБС защита сети Интернет обязанностей событий Безопасность Безопасность Организация Классификация Применение СКЗИ информационных платежных ТП обработки ПДн ИСПДн ТП Разработка Решения Организация Область действия Оценка рисков ИБ внутренних руководства о подразделения ИБ СОИБ документов реализации СОИБ Выявление Непрерывность Обучение и Мониторинг и Планирование и инцидентов ИБ и бизнеса и повышение контроль внедрение СОИБ реагирование на восстановление осведомленности защитных мер них деятельности Анализ Самооценка ИБ и Анализ СОИБ Тактические Стратегические функционирования аудит ИБ руководством улучшения улучшения СОИБ 36
ЧТО НОВОГО ПО СРАВНЕНИЮ С СТО БР ИББС?  Информирование клиентов о новых угрозах и рисках и рекомендациях по их нейтрализации/управлению  Акцент на работу по выявлению и реагированию на инциденты и информированию ОПДС и ОУПИ о выявленных инцидентах  Отсутствие требования сертификации средств защиты  Новая методика оценки соответствия требованиям по ИБ (возможна и самооценка, и оценка с привлечением внешней организации)  Введение обязательных форм отчетности по обеспечению защиты информации при осуществлении переводов денежных средств 37
ИНФОРМИРОВАНИЕ ОПС Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать оператора платежной системы о том, как они осуществляют защиту информации Необходимо информировать:  о степени выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;  о реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;  о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;  о результатах проведенных оценок соответствия;  о выявленных угрозах и уязвимостях в обеспечении защиты информации 38
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ Статья 15.36 КОАП РФ «Неисполнение предписания Банка России, направленного им при осуществлении надзора в НПС» «Повторное в течение года неисполнение оператором платежной системы, операционным центром, платежным клиринговым центром предписания Банка России, направленного им при осуществлении надзора в НПС, влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей». 39
Часть 4. Практические аспекты реализации требований нормативных документов по защите информации в НПС 40
ПЕРЕЧЕНЬ НЕОБХОДИМЫХ МЕР ЗАЩИТЫ Закон предусматривает два вида защитных мер Организационные меры: Технические меры:  Формирование службы ИБ;  Системы IDM / IAM;  Документирование процедур:  Защита информации от НСД;  Выявления инцидентов и  Средства антивирусной защиты; реагирования на них;  Средства МСЭ;  Обучения и повышения  Системы IDS/IPS; осведомленности;  Системы веб-фильтрации;  Применения средств  Средства построения VPN сетей; защиты;  Средства анализа защищенности;  И пр.  СКЗИ;  Распределение обязанностей;  Сбор и анализ событий;  Регулярная оценка соответствия  Архивирование и backup 41
ЗАЩИТНЫЕ МЕРЫ Распределение ролей и обязанностей Частная политика по обеспечению ИБ при назначении и распределении ролей Инструкция пользователя по ИБ IDM / IAM Приказ о распределении ролей и ответственности в области обеспечения ИБ 42
ЗАЩИТНЫЕ МЕРЫ Этапы жизненного цикла объектов ИИ Частная политика по обеспечению ИБ на стадиях жизненного цикла системы защиты информации Технические задания, ПМИ, эксплуатационная документация Backup Порядок обеспечения ИБ при обслуживании АРМ и серверов Планы внедрения/модернизации, Протоколы испытаний, Акты ввода/вывода из эксплуатации 43
ЗАЩИТНЫЕ МЕРЫ Доступ к объектам ИИ Политика ИБ / Частная политика по управлению доступом Порядок управления доступом к информационным ресурсам Порядок регистрации и анализа действий и операций IDM / IAM Матрица функциональных ролей/полномочий доступа 44
ЗАЩИТНЫЕ МЕРЫ Антивирусная защита Политика ИБ / Частная политика по обеспечению антивирусной защиты Порядок обеспечения антивирусной защиты Антивирусы Журналы проверок на наличие вирусов 45
ЗАЩИТНЫЕ МЕРЫ Использование сети Интернет Частная политика обеспечения ИБ при использовании ресурсов сети Интернет IDS / IPS Регламент использования сети Интернет Инструкция по ИБ для пользователя Firewall Список правил межсетевого Proxy экранирования Список запрещенных сайтов / портов Web-filtering Рекомендации для клиентов (в договор) 46
ЗАЩИТНЫЕ МЕРЫ Применение СКЗИ Политика ИБ / Частная политика применения СКЗИ Порядок применения СКЗИ СКЗИ Порядок восстановления работоспособности СКЗИ Правила управления ключевой системой УЦ Журнал учета выдачи СКЗИ (ключевых VPN носителей) Приказ о назначении ответственных за работу с СКЗИ 47
ЗАЩИТНЫЕ МЕРЫ Безопасность платежных ТП Политика ИБ / Частная политика обеспечения ИБ платежных ТП Порядок обеспечения ИБ при осуществлении ПДС СКЗИ Порядок регистрации операций по ПДС Порядок обеспечения ИБ при ЭП обслуживании АРМ и серверов Логирование Электронный журнал о выполнении операций по ПДС 48
ЗАЩИТНЫЕ МЕРЫ Выявление инцидентов Политика ИБ / Частная политика по управлению инцидентами при выполнении операций по ПДС IDS / IPS Порядок управления инцидентами Порядок мониторинга и контроля SIEM защитных мер Инструкция по ИБ для пользователей Логирование Приказ о создании группы реагирования Сканеры на инциденты защищенности Журнал регистрации инцидентов 49
ЗАЩИТНЫЕ МЕРЫ Организация подразделения ИБ Стратегия ИБ Политика ИБ Положение о подразделении ИБ Должностные инструкции сотрудников подразделения ИБ Приказ о формировании подразделения ИБ Приказ о назначении куратора ИБ 50
ЗАЩИТНЫЕ МЕРЫ Обучение и повышение осведомленности Политика ИБ Порядок обучения и повышения осведомленности в области ИБ Программа повышения осведомленности Приказ о проведении обучения Журнал регистрации сотрудников, прошедших обучение 51
ЗАЩИТНЫЕ МЕРЫ Оценка соответствия требованиям ФЗ-161 Политика ИБ Порядок организации и проведения аудитов и самооценок Программа проведения аудитов и самооценок Приказ о проведении самооценки/аудита Приказ о создании рабочей группы / аудиторской группы Договор с внешней организацией Отчет о проведении самооценки / аудита 52
КОМПЛЕКСНЫЙ ПОДХОД Внедрение в организации стандарта СТО БР ИББС позволит максимально упростить процесс приведения в соответствие требованиям ФЗ-161 Требуется минимум усилий на выполнение требований ФЗ-161, если в организации уже проводилась работа по внедрению стандарта +7 (495) 921 1410 / www.leta.ru 53
УСЛУГИ КОМПАНИИ Основные работы:  Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств (оценка соответствия);  Разработка рекомендаций по совершенствованию СОИБ в соответствии с требованиями нормативных документов по защите информации в НПС;  Разработка и (или) совершенствование существующей организационно- распорядительной документации по ИБ;  Техническое проектирование системы ИБ (разработка ТЗ на построение / совершенствование системы ИБ, выбор и обоснование возможных вариантов технических решений - ЭП);  Внедрение технических средств защиты информации. 54
УСЛУГИ КОМПАНИИ А также:  Анализ защищенности информационных систем (выявление уязвимостей программного обеспечения);  Повышение осведомленности по вопросам обеспечения информационной безопасности и защите информации при осуществлении переводов денежных средств;  Проведение инвентаризации информационных активов и оценки рисков информационной безопасности. 55
ТЕХНИЧЕСКИЕ РЕШЕНИЯ ПОД НПС В рамках нормативных документов по НПС предусмотрено применение следующих средств защиты:  шифровальные (криптографические) средства защиты  средства защиты информации от несанкционированного доступа,  средства антивирусной защиты,  средства межсетевого экранирования,  системы обнаружения вторжений,  средства контроля (анализа) защищенности  и др. решения... 56
МЕТОДОЛОГИЯ LETA Инвентаризация процессов ПДС 2. Проектирование 1. Предварительная СОИБ оценка соответствия Планирование СОИБ 3. Реализация 5. Принятие организацией требований ИБ и Реализация Совершенствован БС РФ решений о отработка СОИБ ие СОИБ необходимости процессов СОИБ улучшений Проверка СОИБ 4. Аудит ИБ 57
Вопросы 58
КОНТАКТНАЯ ИНФОРМАЦИЯ Игорь Бурцев Константин Малюшкин IBurcev@leta.ru KMalyushkin@leta.ru Компания LETA 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410 www.leta.ru 59

Recomendados

Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пLETA IT-company
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)Евгений Царев
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбоЕвгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБОЕвгений Царев
 
Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСAleksey Lukatskiy
 
вводные слайды
вводные слайдывводные слайды
вводные слайдыSro-lombard
 
Безналичные платежи для ломбардов
Безналичные платежи для ломбардовБезналичные платежи для ломбардов
Безналичные платежи для ломбардовDmitry Plushevsky
 

Recomendados

Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пLETA IT-company
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)Евгений Царев
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбоЕвгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБОЕвгений Царев
 
Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСAleksey Lukatskiy
 
вводные слайды
вводные слайдывводные слайды
вводные слайдыSro-lombard
 
Безналичные платежи для ломбардов
Безналичные платежи для ломбардовБезналичные платежи для ломбардов
Безналичные платежи для ломбардовDmitry Plushevsky
 
Подключение к гособлаку. А.Федорец
Подключение к гособлаку. А.ФедорецПодключение к гособлаку. А.Федорец
Подключение к гособлаку. А.ФедорецExpolink
 
проекты актов
проекты актовпроекты актов
проекты актовSro-lombard
 
Дорожная карта
Дорожная карта Дорожная карта
Дорожная карта Sro-lombard
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_ОткрытиеAleksandrs Baranovs
 
417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...study-help64
 
CB_3-4_2014_(web)-022-031
CB_3-4_2014_(web)-022-031CB_3-4_2014_(web)-022-031
CB_3-4_2014_(web)-022-031Gennadiy Cholovenko
 
Fssp service
Fssp serviceFssp service
Fssp serviceValery Antoshin
 
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Prostobank Consulting
 
Изменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардовИзменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардовSro-lombard
 
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)Sro-lombard
 
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...socamp2011
 
Возможности и риски использования криптовалют (Bitcoin) в России
Возможности и риски использования криптовалют (Bitcoin) в РоссииВозможности и риски использования криптовалют (Bitcoin) в России
Возможности и риски использования криптовалют (Bitcoin) в РоссииTolkachev_and_Partners
 
Уникальный по выгодности продукт
Уникальный по выгодности продуктУникальный по выгодности продукт
Уникальный по выгодности продуктTinkoff Credit Systems
 
Юридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииЮридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииTolkachev_and_Partners
 
Мобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in RussiaМобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in RussiaTimur AITOV
 
презентация партнеры пос новая
презентация партнеры пос новаяпрезентация партнеры пос новая
презентация партнеры пос новаяplatonovkr
 
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)E-Money News
 
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...Инна Черкасова
 
обзор изменений российского законодательства 02.11 06.11
обзор изменений российского законодательства 02.11 06.11обзор изменений российского законодательства 02.11 06.11
обзор изменений российского законодательства 02.11 06.11Olga Kravtsova
 
продажа европейского бизнеса Spi в латвии
продажа европейского бизнеса Spi в латвиипродажа европейского бизнеса Spi в латвии
продажа европейского бизнеса Spi в латвииАндрей Чухланцев
 
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Евгений Царев
 
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...Moscow IT Department
 

Mais conteúdo relacionado

Mais procurados

Подключение к гособлаку. А.Федорец
Подключение к гособлаку. А.ФедорецПодключение к гособлаку. А.Федорец
Подключение к гособлаку. А.ФедорецExpolink
 
проекты актов
проекты актовпроекты актов
проекты актовSro-lombard
 
Дорожная карта
Дорожная карта Дорожная карта
Дорожная карта Sro-lombard
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_ОткрытиеAleksandrs Baranovs
 
417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...study-help64
 
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Prostobank Consulting
 
Изменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардовИзменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардовSro-lombard
 
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)Sro-lombard
 
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...socamp2011
 
Возможности и риски использования криптовалют (Bitcoin) в России
Возможности и риски использования криптовалют (Bitcoin) в РоссииВозможности и риски использования криптовалют (Bitcoin) в России
Возможности и риски использования криптовалют (Bitcoin) в РоссииTolkachev_and_Partners
 
Уникальный по выгодности продукт
Уникальный по выгодности продуктУникальный по выгодности продукт
Уникальный по выгодности продуктTinkoff Credit Systems
 
Юридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииЮридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииTolkachev_and_Partners
 
Мобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in RussiaМобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in RussiaTimur AITOV
 
презентация партнеры пос новая
презентация партнеры пос новаяпрезентация партнеры пос новая
презентация партнеры пос новаяplatonovkr
 
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)E-Money News
 
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...Инна Черкасова
 
обзор изменений российского законодательства 02.11 06.11
обзор изменений российского законодательства 02.11 06.11обзор изменений российского законодательства 02.11 06.11
обзор изменений российского законодательства 02.11 06.11Olga Kravtsova
 
продажа европейского бизнеса Spi в латвии
продажа европейского бизнеса Spi в латвиипродажа европейского бизнеса Spi в латвии
продажа европейского бизнеса Spi в латвииАндрей Чухланцев
 

Mais procurados (20)

Подключение к гособлаку. А.Федорец
Подключение к гособлаку. А.ФедорецПодключение к гособлаку. А.Федорец
Подключение к гособлаку. А.Федорец
 
проекты актов
проекты актовпроекты актов
проекты актов
 
Дорожная карта
Дорожная карта Дорожная карта
Дорожная карта
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_Открытие
 
417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...417 презентация правовые основы организации безналичного оборота в современно...
417 презентация правовые основы организации безналичного оборота в современно...
 
CB_3-4_2014_(web)-022-031
CB_3-4_2014_(web)-022-031CB_3-4_2014_(web)-022-031
CB_3-4_2014_(web)-022-031
 
Fssp service
Fssp serviceFssp service
Fssp service
 
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
 
Изменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардовИзменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардов
 
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)
Презентация ЦБ для ломбардов 21.03.2016 (Григорьев А.С.)
 
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
 
Возможности и риски использования криптовалют (Bitcoin) в России
Возможности и риски использования криптовалют (Bitcoin) в РоссииВозможности и риски использования криптовалют (Bitcoin) в России
Возможности и риски использования криптовалют (Bitcoin) в России
 
Уникальный по выгодности продукт
Уникальный по выгодности продуктУникальный по выгодности продукт
Уникальный по выгодности продукт
 
Юридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииЮридический статус Bitcoin в России
Юридический статус Bitcoin в России
 
Мобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in RussiaМобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in Russia
 
презентация партнеры пос новая
презентация партнеры пос новаяпрезентация партнеры пос новая
презентация партнеры пос новая
 
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
 
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
 
обзор изменений российского законодательства 02.11 06.11
обзор изменений российского законодательства 02.11 06.11обзор изменений российского законодательства 02.11 06.11
обзор изменений российского законодательства 02.11 06.11
 
продажа европейского бизнеса Spi в латвии
продажа европейского бизнеса Spi в латвиипродажа европейского бизнеса Spi в латвии
продажа европейского бизнеса Spi в латвии
 

Semelhante a Защита информации в национальной платежной системе

Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Евгений Царев
 
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...Moscow IT Department
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Aleksey Lukatskiy
 
Международные платежные системы
Международные платежные системыМеждународные платежные системы
Международные платежные системыVeronica Narozhnaya
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...Victor Dostov
 
дипломная презентация по национальной платежной системе рф
дипломная презентация по национальной платежной системе рфдипломная презентация по национальной платежной системе рф
дипломная презентация по национальной платежной системе рфIvan Simanov
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыКРОК
 
ID systems: ГИС, ГМП и новые сервисы
ID systems: ГИС, ГМП и новые сервисыID systems: ГИС, ГМП и новые сервисы
ID systems: ГИС, ГМП и новые сервисыExpolink
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceProcontent.Ru Magazine
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...ArtemAgeev
 
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...Ekaterina Morozova
 
доклад банк возрожение
доклад банк возрожениедоклад банк возрожение
доклад банк возрожениеguest83b5d99
 
доклад банк возрожение
доклад банк возрожениедоклад банк возрожение
доклад банк возрожениеguest83b5d99
 
доклад банк возрожение
доклад банк возрожениедоклад банк возрожение
доклад банк возрожениеguest83b5d99
 
оськина 2. aa treasury_v7_osk_soft
оськина 2. aa treasury_v7_osk_softоськина 2. aa treasury_v7_osk_soft
оськина 2. aa treasury_v7_osk_softAleksandrs Baranovs
 

Semelhante a Защита информации в национальной платежной системе (20)

Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
Infosecurity проблемы законодательства с точки зрения противодействия мошенни...
 
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
 
Международные платежные системы
Международные платежные системыМеждународные платежные системы
Международные платежные системы
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
 
дипломная презентация по национальной платежной системе рф
дипломная презентация по национальной платежной системе рфдипломная презентация по национальной платежной системе рф
дипломная презентация по национальной платежной системе рф
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
 
ID systems: ГИС, ГМП и новые сервисы
ID systems: ГИС, ГМП и новые сервисыID systems: ГИС, ГМП и новые сервисы
ID systems: ГИС, ГМП и новые сервисы
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
 
Read more
Read moreRead more
Read more
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
 
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
 
доклад банк возрожение
доклад банк возрожениедоклад банк возрожение
доклад банк возрожение
 
доклад банк возрожение
доклад банк возрожениедоклад банк возрожение
доклад банк возрожение
 
доклад банк возрожение
доклад банк возрожениедоклад банк возрожение
доклад банк возрожение
 
оськина 2. aa treasury_v7_osk_soft
оськина 2. aa treasury_v7_osk_softоськина 2. aa treasury_v7_osk_soft
оськина 2. aa treasury_v7_osk_soft
 
Дистанционный банкинг
Дистанционный банкингДистанционный банкинг
Дистанционный банкинг
 

Mais de LETA IT-company

Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыLETA IT-company
 
SafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureSafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureLETA IT-company
 
Построение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыПостроение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыLETA IT-company
 
построение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыпостроение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыLETA IT-company
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленностиLETA IT-company
 
Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)LETA IT-company
 
Защита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftЗащита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftLETA IT-company
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работаетLETA IT-company
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеLETA IT-company
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.LETA IT-company
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений LETA IT-company
 
Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыLETA IT-company
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?LETA IT-company
 
Борьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыБорьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыLETA IT-company
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаLETA IT-company
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
Построение системы защиты банкомантых сетей
Построение системы защиты банкомантых сетейПостроение системы защиты банкомантых сетей
Построение системы защиты банкомантых сетейLETA IT-company
 

Mais de LETA IT-company (20)

Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктуры
 
SafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureSafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual Infrastructure
 
Построение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыПостроение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктуры
 
построение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыпостроение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктуры
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленности
 
Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)
 
Защита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftЗащита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации Stonesoft
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работает
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решение
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений
 
Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базы
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?
 
Борьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыБорьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходы
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практика
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 
Построение системы защиты банкомантых сетей
Построение системы защиты банкомантых сетейПостроение системы защиты банкомантых сетей
Построение системы защиты банкомантых сетей
 

Защита информации в национальной платежной системе

  • 1. Защита информации в национальной платежной системе Игорь Бурцев, Константин Малюшкин Департамент внедрения и консалтинга ЗАО «ЛЕТА» Ноябрь 2012 +7 (495) 921 1410 / www.leta.ru
  • 2. ЗНАКОМСТВО Игорь Бурцев Константин Малюшкин  Опыт работы в банковской сфере;  Опыт реализации различных проектов по информационной безопасности: ( )  Сертифицированные ABISS специалисты по внедрению и аудиту стандарта СТО БР ИББС-1.0; 2
  • 3. О ЧЕМ ПОГОВОРИМ Часть 1. Основы регулирования НПС. Требования законодательства и документов Банка России по защите информации в НПС Часть 2. Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС Часть 3. Сравнение требований Положения Банка России №382-П и стандарта СТО БР ИББС-1.0 Часть 4. Практические аспекты реализации требований нормативных документов по защите информации в НПС ВОПРОСЫ И ОТВЕТЫ 3
  • 4. Часть 1. Основы регулирования НПС. Требования законодательства и документов Банка России по защите информации в НПС 4
  • 5. ПРЕДЫСТОРИЯ НПС Национальная система платежных карт (НСПК) – проект создания в РФ альтернативы международным платежным системам Visa и Mastercard с целью:  функционирования на национальном уровне независимой от влияния международных платежных систем структуры расчетов по карточкам;  реализация социальной функции, используя карты НСПК в качестве основы для предоставления различных госуслуг в электронном виде (УЭК – универсальная электронная карта) НПС ≠ НСПК 5
  • 6. ЧТО ТАКОЕ НПС Национальная платежная система – элемент нормативного регулирования деятельности по переводам денежных средств.  Операторы по переводу денежных средств (включая операторов электронных денежных средств);  Операторы платежных систем;  Операторы услуг платежной инфраструктуры; Субъекты НПС  Банковские платежные агенты (субагенты);  Платежные агенты;  Организации федеральной почтовой связи при оказании ими платежных услуг в соответствии с зак-ов РФ. 6
  • 7. ПЛАТЕЖНАЯ СИСТЕМА Платежная система (ПС) – совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств. Примеры платежных систем:  Платежная система Банка России  Золотая Корона  Visa  Яндекс.Деньги  Western Union  Contact 7
  • 8. ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ Оператор платежной системы (ОПС) – организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные 161-ФЗ. Оператором платежной системы может являться:  кредитная организация,  организация, не являющаяся кредитной организацией,  Банк России;  Внешэкономбанк. Организация, намеревающаяся стать оператором ПС, должна направить в Банк России регистрационное заявление по форме и в порядке, которые установлены Банком России. 8
  • 10. ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ На данный момент в рамках НПС официально присутствует 6 операторов платежных систем: 161-ФЗ (ст. 15) и Положение Банк России – Платежная система Банка России ЦБ РФ № 384-П «О платежной системе Банка России» АКБ «РУССЛАВБАНК» (ЗАО) – Платежная система CONTACT ОАО КБ «ЮНИСТРИМ» – Система денежных переводов «ЮНИСТРИМ» ЗАО «Национальные кредитные карточки» – 161-ФЗ (ст. 15) и Положение Платежная система NCC (NATIONAL CREDIT CARDS) ЦБ 378-П «О порядке (РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК») направления в Банк России заявление о регистрации ООО «НКО «Вестерн Юнион ДП Восток» – Платежная Система Вестерн Юнион ОПС» (РЦ – ОАО Банк ВТБ и НКО «ОРС» (ОАО)) ЗАО «Процессинговая компания «Юнион Кард» – Платежная система «Юнион Кард» (UNION CARD) (РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК«) 10
  • 11. ОПЕРАТОР ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ Оператор по переводу денежных средств (ОПДС) – организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств. Операторами по переводу денежных средств являются:  Банк России;  кредитные организации, имеющие право на осуществление перевода денежных средств;  Внешэкономбанк. Все банки являются ОПДС, так как, как минимум, они являются участниками платежной системы Банка России. 11
  • 12. ОПЕРАТОР УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ Оператор услуг платежной инфраструктуры (ОУПИ): • доступ к услугам по переводу денежных Операционный средств; центр • обмен электронными сообщениями между участниками ПС Платежный • сверка расчетов между участниками ПС и клиринговый вывод о достаточности денежных средств центр плательщика для совершения расчетов Расчетный центр • Произведение расчетов между участников ПС ОУПИ может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк (кроме РЦ – только кредитная организация) 12
  • 13. БАНКОВСКИЕ ПЛАТЕЖНЫЕ АГЕНТЫ И СУБАГЕНТЫ Банковский платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления деятельности, предусмотренной ФЗ-161. Банковский платежный субагент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления деятельности, предусмотренной ФЗ-161. 13
  • 14. КАКОВА ВАША РОЛЬ В НПС ? Банковские Оператор Платежн платежный платежной субагент системы ый агент Банковский платежный агент Оператор по переводу денежных средств Расчетный Оператор центр электронных денежных средств Платежный клиринговый Операционный центр центр 14
  • 17. 161-ФЗ «О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ» Статья 27. Обеспечение защиты информации в платежной системе (вступила в силу с 01.07.2012) Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать:  защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством РФ:  Требования к защите указанной информации устанавливает Правительство РФ.  Контроль и надзор за выполнением установленных требований осуществляются ФСБ России и ФСТЭК России, в пределах их полномочий и без права ознакомления с защищаемой информацией.  Постановление Правительства РФ от 13 июня 2012 г. № 584  защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России:  Требования согласовываются ФСБ России и ФСТЭК России.  Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в НПС в установленном им порядке, согласованном с ФСБ России и ФСТЭК России.  Положение Банка России от 9 июня 2012 г. № 382-П 17
  • 18. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584 ЧТО РЕГУЛИРУЕТ ?  Устанавливает требования к защите информации в платежной системе.  Защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами ПС в правила ПС в том числе в соответствии с настоящим Положением.  Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер…  Для проведения работ по защите информации могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по ТЗКИ и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.  Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по ТКЗИ. 18
  • 19. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584 ТРЕБОВАНИЯ К ПРАВИЛАМ ПЛАТЕЖНОЙ СИСТЕМЫ Требования к составу правил платежной системы: 1. создание службы ИБ или назначение должностного лица, ответственного за организацию защиты информации; 2. включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации; 3. определение угроз безопасности информации и анализ уязвимости ИС; 4. анализ и управление рисками нарушения требований к защите информации; 5. разработка и реализация систем защиты информации в ИС; 6. применение средств защиты информации; 7. выявление и реагирование на инциденты ИБ; 8. обеспечение защиты информации при использовании информационно- телекоммуникационных сетей общего пользования; 9. определение порядка доступа к объектам инфраструктуры ПС, обрабатывающим информацию; 10. организация и проведение контроля и оценки соответствия на собственных объектах инфраструктуры не реже 1 раза в 2 года. 19
  • 20. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584 ЧЕМ ЗАЩИЩАТЬ ? Требования к составу применяемых СЗИ:  шифровальные (криптографические) средства,  СЗИ информации от несанкционированного доступа,  средства антивирусной защиты,  средства межсетевого экранирования,  системы обнаружения вторжений,  средства контроля (анализа) защищенности 20
  • 21. ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-П ЧТО РЕГУЛИРУЕТ ?  Устанавливает конкретные требования к защите информации при осуществлении переводов денежных средств, обязательные для выполнения: Необходимость Контроль Субъект НПС выполнения выполнения Оператор платежной системы + Банк России Оператор по переводу денежных средств + Банк России Оператор услуг платежной инфраструктуры + Банк России Банковские платежные агенты (субагенты) + ОПДС Клиенты – –  Устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в НПС. 21
  • 22. ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-П ПРИМЕНИМОСТЬ К РАЗЛИЧНЫМ ТИПАМ СУБЪЕКТОВ НПС Всего 129 частных требований, сгруппированных в 14 разделов Сокращения: ОПС – оператор платежной системы; ОПДС – оператор по переводу денежных средств; ОУПИ – оператор услуг платежной инфраструктуры; БПА (БПСА) – банковские платежные агенты (субагенты) юрлица / ИП 22
  • 23. ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-П ПРИМЕНИМОСТЬ К РАЗЛИЧНЫМ ТИПАМ СУБЪЕКТОВ НПС 23
  • 24. УКАЗАНИЕ БАНКА РОССИИ № 2831-У Форма 0403202 «Сведения о выполнении ОПС, ОУПИ, ОПДС требований к обеспечению защиты информации при осуществлении переводов денежных средств»:  предоставляется не позднее 30-ти рабочих дней со дня завершения проведения оценки соответствия требованиям 382-П Форма 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств»:  предоставляется ОУПИ, ОПДС ежемесячно не позднее 10-го рабочего дня месяца, следующего за отчетным; 24
  • 25. Часть 2. Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС 25
  • 26. ПРОВЕДЕНИЕ ОЦЕНКИ СООТВЕТСТВИЯ Положение Банка России от 9 июня 2012 г. № 382-П  ОПДС, ОПС, ОУПИ обеспечивают проведение оценки выполнения требований к обеспечению защиты информации при осуществлении перевода денежных средств (оценка соответствия).  Оценка соответствия проводится не реже одного раза в два года, а также по требованию Банка России.  Оценка соответствия осуществляется операторами самостоятельно или с привлечением сторонних организаций.  Порядок проведения оценки соответствия и документирования ее результатов определен в Приложение 1 к 382-П.  Перечень требований, выполнение которых проверяется при проведении оценки соответствия определен в Приложении 2 к 382-П. 26
  • 27. МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ Итоговый показатель Rпс MIN Обобщающий Обобщающий показатель EV1пс показатель EV2пс k1 k2 ГП01 ГП07 ГП09 ГП14 (п.2.4 382-П) (п.2.10 382-П) (п.2.11 382-П) (п.2.17 382-П) П.1 (п.2.4.1) П.71 (п.2.10.1) П.82 (п.2.11.1) П.121 (п.2.17.1) … … ... ... ... ... П.7 (п.2.4.3) П.81 (п.2.10.4) П.92 (п.2.11.3) П.129 (п.2.17.3) Свидетельства анализ документов, опросы и наблюдения 27
  • 28. РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ EV1ПС ~ k1 EV2 ПС ~ k2 R = MIN(EV1 , EV2 ) ПС ПС ПС) 28
  • 29. КАТЕГОРИИ ТРЕБОВАНИЙ Предусмотрено 3 категории проверки требования:  требования категория проверки 1 – реализуемые применением организационных мер защиты информации или использованием технических средств защиты информации; 0 0,25 0,5 0,75 1  требования категория проверки 2 – устанавливают необходимость обеспечения наличия определенного 382-П документа; 0 1  требования категория проверки 3 – устанавливают необходимость выполнения определенной 382-П деятельности. 0 0,5 1 29
  • 30. РЕЗУЛЬТАТЫ ОЦЕНКИ СООТВЕТСТВИЯ Оценка работы по обеспечению ЗИ при Значение Rпс осуществлении ПДС На необходимом уровне обеспечивает Rпс >= 0.85 выполнение установленных требований В целом обеспечивает выполнение 0,7 <= Rпс < 0,85 установленных требований Не в полной мере обеспечивает выполнение 0,5 <= Rпс < 0,7 установленных требований Не обеспечивает выполнение установленных Rпс < 0,5 требований 30
  • 31. ФОРМЫ ДОКУМЕНТИРОВАНИЯ Предусмотрено 2 формы документирования результатов:  Форма 1. Документирование результатов оценки соответствия  Форма 2. Документирование результатов вычислений обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении ПДС 31
  • 32. АВТОМАТИЗАЦИЯ ОЦЕНКИ СООТВЕТСТВИЯ ISM Revision: NPS Auditor  Ускорение и упрощение процедуры оценки соответствия;  Возможность совместной работы группы специалистов  Наличие дополнительной аналитики по оценке требований;  Возможность централизованного хранения всей информации о проведенной оценке соответствия 32
  • 34. Часть 3. Сравнение требований Положения Банка России №382-П и стандарта СТО БР ИББС-1.0 34
  • 35. ГРУППЫ ТРЕБОВАНИЙ – СТО БР ИББС-1.0 Распределение Доступ и Этапы жизненного Антивирусная Использование ролей и регистрация цикла АБС защита сети Интернет обязанностей событий Безопасность Безопасность Организация Классификация Применение СКЗИ информационных платежных ТП обработки ПДн ИСПДн ТП Разработка Решения Организация Область действия Оценка рисков ИБ внутренних руководства о службы ИБ СОИБ документов реализации СОИБ Выявление Непрерывность Обучение и Мониторинг и инцидентов ИБ и бизнеса и Внедрение СОИБ повышение контроль реагирование на восстановление осведомленности защитных мер них деятельности Анализ Самооценка ИБ и Анализ СОИБ Тактические Стратегические функционирования Аудит ИБ руководством улучшения улучшения СОИБ 35
  • 36. ГРУППЫ ТРЕБОВАНИЙ – ПОЛОЖЕНИЕ 382-П Распределение Доступ и Этапы жизненного Антивирусная Использование ролей и регистрация цикла АБС защита сети Интернет обязанностей событий Безопасность Безопасность Организация Классификация Применение СКЗИ информационных платежных ТП обработки ПДн ИСПДн ТП Разработка Решения Организация Область действия Оценка рисков ИБ внутренних руководства о подразделения ИБ СОИБ документов реализации СОИБ Выявление Непрерывность Обучение и Мониторинг и Планирование и инцидентов ИБ и бизнеса и повышение контроль внедрение СОИБ реагирование на восстановление осведомленности защитных мер них деятельности Анализ Самооценка ИБ и Анализ СОИБ Тактические Стратегические функционирования аудит ИБ руководством улучшения улучшения СОИБ 36
  • 37. ЧТО НОВОГО ПО СРАВНЕНИЮ С СТО БР ИББС?  Информирование клиентов о новых угрозах и рисках и рекомендациях по их нейтрализации/управлению  Акцент на работу по выявлению и реагированию на инциденты и информированию ОПДС и ОУПИ о выявленных инцидентах  Отсутствие требования сертификации средств защиты  Новая методика оценки соответствия требованиям по ИБ (возможна и самооценка, и оценка с привлечением внешней организации)  Введение обязательных форм отчетности по обеспечению защиты информации при осуществлении переводов денежных средств 37
  • 38. ИНФОРМИРОВАНИЕ ОПС Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать оператора платежной системы о том, как они осуществляют защиту информации Необходимо информировать:  о степени выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;  о реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;  о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;  о результатах проведенных оценок соответствия;  о выявленных угрозах и уязвимостях в обеспечении защиты информации 38
  • 39. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ Статья 15.36 КОАП РФ «Неисполнение предписания Банка России, направленного им при осуществлении надзора в НПС» «Повторное в течение года неисполнение оператором платежной системы, операционным центром, платежным клиринговым центром предписания Банка России, направленного им при осуществлении надзора в НПС, влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей». 39
  • 40. Часть 4. Практические аспекты реализации требований нормативных документов по защите информации в НПС 40
  • 41. ПЕРЕЧЕНЬ НЕОБХОДИМЫХ МЕР ЗАЩИТЫ Закон предусматривает два вида защитных мер Организационные меры: Технические меры:  Формирование службы ИБ;  Системы IDM / IAM;  Документирование процедур:  Защита информации от НСД;  Выявления инцидентов и  Средства антивирусной защиты; реагирования на них;  Средства МСЭ;  Обучения и повышения  Системы IDS/IPS; осведомленности;  Системы веб-фильтрации;  Применения средств  Средства построения VPN сетей; защиты;  Средства анализа защищенности;  И пр.  СКЗИ;  Распределение обязанностей;  Сбор и анализ событий;  Регулярная оценка соответствия  Архивирование и backup 41
  • 42. ЗАЩИТНЫЕ МЕРЫ Распределение ролей и обязанностей Частная политика по обеспечению ИБ при назначении и распределении ролей Инструкция пользователя по ИБ IDM / IAM Приказ о распределении ролей и ответственности в области обеспечения ИБ 42
  • 43. ЗАЩИТНЫЕ МЕРЫ Этапы жизненного цикла объектов ИИ Частная политика по обеспечению ИБ на стадиях жизненного цикла системы защиты информации Технические задания, ПМИ, эксплуатационная документация Backup Порядок обеспечения ИБ при обслуживании АРМ и серверов Планы внедрения/модернизации, Протоколы испытаний, Акты ввода/вывода из эксплуатации 43
  • 44. ЗАЩИТНЫЕ МЕРЫ Доступ к объектам ИИ Политика ИБ / Частная политика по управлению доступом Порядок управления доступом к информационным ресурсам Порядок регистрации и анализа действий и операций IDM / IAM Матрица функциональных ролей/полномочий доступа 44
  • 45. ЗАЩИТНЫЕ МЕРЫ Антивирусная защита Политика ИБ / Частная политика по обеспечению антивирусной защиты Порядок обеспечения антивирусной защиты Антивирусы Журналы проверок на наличие вирусов 45
  • 46. ЗАЩИТНЫЕ МЕРЫ Использование сети Интернет Частная политика обеспечения ИБ при использовании ресурсов сети Интернет IDS / IPS Регламент использования сети Интернет Инструкция по ИБ для пользователя Firewall Список правил межсетевого Proxy экранирования Список запрещенных сайтов / портов Web-filtering Рекомендации для клиентов (в договор) 46
  • 47. ЗАЩИТНЫЕ МЕРЫ Применение СКЗИ Политика ИБ / Частная политика применения СКЗИ Порядок применения СКЗИ СКЗИ Порядок восстановления работоспособности СКЗИ Правила управления ключевой системой УЦ Журнал учета выдачи СКЗИ (ключевых VPN носителей) Приказ о назначении ответственных за работу с СКЗИ 47
  • 48. ЗАЩИТНЫЕ МЕРЫ Безопасность платежных ТП Политика ИБ / Частная политика обеспечения ИБ платежных ТП Порядок обеспечения ИБ при осуществлении ПДС СКЗИ Порядок регистрации операций по ПДС Порядок обеспечения ИБ при ЭП обслуживании АРМ и серверов Логирование Электронный журнал о выполнении операций по ПДС 48
  • 49. ЗАЩИТНЫЕ МЕРЫ Выявление инцидентов Политика ИБ / Частная политика по управлению инцидентами при выполнении операций по ПДС IDS / IPS Порядок управления инцидентами Порядок мониторинга и контроля SIEM защитных мер Инструкция по ИБ для пользователей Логирование Приказ о создании группы реагирования Сканеры на инциденты защищенности Журнал регистрации инцидентов 49
  • 50. ЗАЩИТНЫЕ МЕРЫ Организация подразделения ИБ Стратегия ИБ Политика ИБ Положение о подразделении ИБ Должностные инструкции сотрудников подразделения ИБ Приказ о формировании подразделения ИБ Приказ о назначении куратора ИБ 50
  • 51. ЗАЩИТНЫЕ МЕРЫ Обучение и повышение осведомленности Политика ИБ Порядок обучения и повышения осведомленности в области ИБ Программа повышения осведомленности Приказ о проведении обучения Журнал регистрации сотрудников, прошедших обучение 51
  • 52. ЗАЩИТНЫЕ МЕРЫ Оценка соответствия требованиям ФЗ-161 Политика ИБ Порядок организации и проведения аудитов и самооценок Программа проведения аудитов и самооценок Приказ о проведении самооценки/аудита Приказ о создании рабочей группы / аудиторской группы Договор с внешней организацией Отчет о проведении самооценки / аудита 52
  • 53. КОМПЛЕКСНЫЙ ПОДХОД Внедрение в организации стандарта СТО БР ИББС позволит максимально упростить процесс приведения в соответствие требованиям ФЗ-161 Требуется минимум усилий на выполнение требований ФЗ-161, если в организации уже проводилась работа по внедрению стандарта +7 (495) 921 1410 / www.leta.ru 53
  • 54. УСЛУГИ КОМПАНИИ Основные работы:  Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств (оценка соответствия);  Разработка рекомендаций по совершенствованию СОИБ в соответствии с требованиями нормативных документов по защите информации в НПС;  Разработка и (или) совершенствование существующей организационно- распорядительной документации по ИБ;  Техническое проектирование системы ИБ (разработка ТЗ на построение / совершенствование системы ИБ, выбор и обоснование возможных вариантов технических решений - ЭП);  Внедрение технических средств защиты информации. 54
  • 55. УСЛУГИ КОМПАНИИ А также:  Анализ защищенности информационных систем (выявление уязвимостей программного обеспечения);  Повышение осведомленности по вопросам обеспечения информационной безопасности и защите информации при осуществлении переводов денежных средств;  Проведение инвентаризации информационных активов и оценки рисков информационной безопасности. 55
  • 56. ТЕХНИЧЕСКИЕ РЕШЕНИЯ ПОД НПС В рамках нормативных документов по НПС предусмотрено применение следующих средств защиты:  шифровальные (криптографические) средства защиты  средства защиты информации от несанкционированного доступа,  средства антивирусной защиты,  средства межсетевого экранирования,  системы обнаружения вторжений,  средства контроля (анализа) защищенности  и др. решения... 56
  • 57. МЕТОДОЛОГИЯ LETA Инвентаризация процессов ПДС 2. Проектирование 1. Предварительная СОИБ оценка соответствия Планирование СОИБ 3. Реализация 5. Принятие организацией требований ИБ и Реализация Совершенствован БС РФ решений о отработка СОИБ ие СОИБ необходимости процессов СОИБ улучшений Проверка СОИБ 4. Аудит ИБ 57
  • 59. КОНТАКТНАЯ ИНФОРМАЦИЯ Игорь Бурцев Константин Малюшкин IBurcev@leta.ru KMalyushkin@leta.ru Компания LETA 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410 www.leta.ru 59