SlideShare uma empresa Scribd logo

Уральский форум по информационной безопасности финансовых организаций за 15 минут - 2018

Aleksey Lukatskiy
Aleksey Lukatskiy

Обзор 4-хдневной программы Уральского форума по информационной безопасности финансовых организаций. Ключевые положения

Tecnologia
1 de 55
Baixar para ler offline
Бизнес-консультант по безопасности Уральский форум за 15 минут Фигня! За 15 минут не уложиться J Алексей Лукацкий 16 февраля 2018
Disclaimer Презентация описывает взгляд автора на программу 10-го Уральского форума по информационной безопасности финансовой сферы Данная презентация описывает личную точку зрения автора и может не совпадать с точкой зрения его работодателя или иных официальных лиц, с которыми автора связывают или не связывают какие-либо отношения!
Основные направления технологического развития Банка России Система передачи финансовых сообщений Единая система идентификации и аутентификации Перспективная платежная система Сквозной идентификатор клиента Платформа быстрых платежей Платформа на основе технологии распределенных реестров Платформа для регистрации финансовых сделок Финансовый маркетплейс Национальная система платежных карт Биометрическая платформа Платформа для облачных сервисов Новые платформы Развивающиеся платформы Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема
Стандартизация и направления регулирования ИБ
Дорожная карта стандартизации по ИБ Банка России • Домен УКР – «управление киберриском» • Домен ЗИ – «защита информации» • Домен СО – «мониторинг киберрисков и ситуационная осведомленность» • Домен ОНД – «обеспечение непрерывности выполнения бизнес и технологических процессов финансовых организаций в случае реализации информационных угроз» • Домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» • Домен УИ – «управление инцидентами ИБ»
Стандарты по защите информации ГОСТ 57580.1 ГОСТ 57580.2 Стандарты по ОИБ и управлению рисками Общие положения Оценка соответствия Аудит ИБ Аутсорсинг и использование информационных сервисов Аутсорсинг Использование информационных сервисов Оценка соответствия Стандарты по управлению инцидентами Требования и меры организации Сбор и анализ технических данных Взаимодействие с ФинЦЕРТ (СТО 1.5) Стандарт по непрерывности Требования и меры реализации Оценка соответствия Мониторинг киберрисков и ситуационная осведомленность Требования и меры реализации Оценка соответствия Направления стандартизации Банка России Источник: план работы ПК1 ТК122
Резервирование капитала для покрытия рисков ИБ
Управление киберрисками • Киберриски – это часть операционных рисков • В кредитной организации должна быть создана база данных о событиях операционного риска и убытках, понесенных вследствие реализации операционного риска • Назначение базы данных – контроль над уровнем фактически понесенных (прямых) убытков кредитной организации • ДБР в 2018-м году планирует установить требования к отдельной классификации событий риска ИБ в составе БД операционных рисков !
Управление киберрисками • Кредитная организация: Определяет на плановый годовой период количественные и качественные показатели склонности к риску ОР, в том числе к риску ИБ(риск-аппетиты ОР и ИБ) Устанавливает целевые уровни этих показателей: сигнальный (приемлемый) уровень и контрольный (лимитный) уровень • Качественные требования будут формулироваться в рамках ВПОДК в Указании Банка России №3624-У ссылками на отраслевые стандарты ИБ (например, ГОСТР 57580.1-2017) с учетом качественных требований Базеля II к ВПОДК • Банк самостоятельно определяет уровни и утверждает их на Совете Директоров. • Уровни должны быть обоснованы и должны соотноситься с величиной минимального регуляторного капитала в рамках Положения No 346-П !Кредитная организация обязана будет резервировать капитал на покрытие операционных рисков, включая и киберриски
Иные проекты НА и НПА
Иные нормативные и нормативно- правовые акты • Новая редакция 382-П – 1 июля 2018 года Контроль защищенности платежных приложений Внешний аудит Оценка соответствия платежных приложений Оперативное уведомление об инцидентах (в течение дня) Разделение контуров • Перспективная редакция 382-П – 2019 год Обязательность применения ГОСТ Р 57580.1 Оценка соответствия по ГОСТ Р 57580.1 (57580.2) • Новая форма отчетности 203 !
Иные нормативные и нормативно- правовые акты • Проект федерального закона № 296412-7 «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)» введение антифрод-систем кредитных организаций возврат несанкционированно переведенных денежных средств юридическим лицам введение обмена информацией о компьютерных атаках с использованием сервисов ФинЦЕРТ расширение полномочий Банка России по регулированию обеспечения защиты информации на финансовом рынке !
Развитие форм отчетности об инцидентах 203-я отчетность 203-я отчетность Отчетность по 552-П Отчетность по 382-П 203-я отчетность Отчетность по 552-П Отчетность по 161-ФЗ t Отчетность в ГосСОПКУ 2012+ 2016+ 2018+
Иные нормативные и нормативно- правовые акты • Проект федерального закона «О внесении изменений в статью 151 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» блокировка по решению Банка России фишинговых сайтов блокировка по решению Бланка России сайтов, предоставляющих финансовые услуги без соответствующей лицензии Банка России • Проект федерального закона «О внесении изменений в Федеральный закон «О банках и банковской деятельности» Исключение режима не распространения банковской тайны на случаи обмена информации о совершении (попытках совершения) перевода денежных средств без согласия клиента с использованием информационных сервисов ФинЦерт Банка России !
Иные нормативные и нормативно- правовые акты • Проект федерального закона «О внесении изменений в Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи» (в части защиты прав и законных интересов пользователей услуг)» подтверждение принадлежности абонентского номера конкретного клиента кредитной организаций в единой информационной системе • Проект Указания Банка России «Об определении перечня угроз безопасности биометрических персональных данных, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» !
Критическая информационная инфраструктура
Финансовые организации и КИИ • Все финансовые организации являются субъектами КИИ • Все информационные системы являются объектами КИИ, но не все являются значимыми !
Что надо делать для выполнения закона? ☔ Категорирование Обеспечение ИБ Присоединение к ГосСОПКЕ
У кого могут быть значимые объекты? • 31 финансовая организация с участием государства • 1 банк как стратегическое предприятие и стратегическое АО • 11 системно значимых кредитных организаций • 4 системно значимые инфраструктурные организации финансового рынка • 9 операторов услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем По состоянию на 14 февраля 2018 года
Финансовые организации с участием государства • Банк России • Сбербанк • Внешэкономбанк • Национальный Клиринговый Центр • ВТБ • Россельхозбанк • Газпромбанк • Глобэкс (как дочка ВЭБ) • Связь-Банк (как дочка ВЭБ) • МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства) • Российский капитал (как дочка АИЖК) • ВБРР • Почта Банк (как дочка ВТБ и Почты России) • РНКБ (как дочка Росимущества) • Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ) • Крайинвестбанк • Дальневосточный Банк • Акибанк • Алмазэргиэнбанк • Московское Ипотечное Агентство • Росэксимбанк • БМ-Банк • Русь • Хакасский Муниципальный Банк • Банк Казани • Почтобанк (не путать с Почта Банк) • Новикомбанк • НСПК • Открытие • Бинбанк • Ростбанк • Уралприватбанк Оценка автора
Системно значимые кредитные организации • АО ЮниКредит Банк • Банк ГПБ • Банк ВТБ • АО «АЛЬФА-БАНК» • ПАО Сбербанк • ПАО «Московский Кредитный Банк» • ПАО Банк «ФК Открытие» • ПАО РОСБАНК • ПАО «Промсвязьбанк» • АО «Райффайзенбанк» • АО «Россельхозбанк» Оценка автора
Системно значимые инфраструктурные организации финансового рынка • Центральный депозитарий • Расчетный депозитарий • Репозитарий • Центральный контрагент Оценка автора
Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС • Русславбанк и ВТБ (для CONTACT) • НСПК, Банк России (для Visa) • Платежный центр, Золотая корона (для Золотой короны) • Национальный расчетный депозитарий (для НРД) • Лидер (для ПС Лидер) • НСПК, Банк России (для MasterCard) • ВТБ (для ПС ВТБ) • Сбербанк (для ПС Сбербанка) • Рапида, ВТБ (для Рапиды) Оценка автора
Что означает присоединение к ГосСОПКЕ? • Информирование об инцидентах на значимых объектах КИИ вашего центра ГосСОПКИ • Содействие сотрудникам ФСБ в деятельности по реагированию на инциденты • Выполнять требования по установке и эксплуатации средств ГосСОПКИ на объектах КИИ (если устанавливаются)
ФинЦЕРТ и ГосСОПКА • Организация и координация обмена информацией между ФинЦЕРТ и правоохранительными органами, кредитными и некредитными финансовыми организациями • Анализ данных о компьютерных атаках в кредитных и некредитных финансовых организациях и подготовка аналитических материалов • ФинЦЕРТ не является ни ведомственным, ни корпоративным центром ГосСОПКА и финансовые организации должны самостоятельно направлять данные об инцидентах в ГосСОПКУ • Ведутся работы по наделению ФинЦЕРТ полномочиями центра ГосСОПКИ !
Обратите внимание! Значимые Незначимые Объекты КИИ Требования по безопасности ФСТЭК предъявляются только к значимым объектам КИИ Незначимые объекты могут продолжать относиться к ИСПДн, АБС и т.п.
Обратите внимание! Незначимый объект 21-й приказ 17 приказ ГОСТ ЦБ 382-П 552-П PCI DSS ... Действующие документы по ИБ ФСТЭК, Банка России, ФСБ, Минкомсвязи продолжают действовать!
Удаленная идентификация
Удаленная идентификация клиентов
Первичная идентификация
Удаленная идентификация при получении услуг в месте, отличном от первичной идентификации
Обновление идентификационной информации
Перспективы ЕСИА: взгляд Минкомсвязи • Биометрическая идентификация/ аутентификация • Облачная квалифицированная электронная подпись • Реестр персданных и система дачи согласий на доступ к ним • Юридически значимые уведомления
Кто-нибудь учитывает модель угроз? Сбор данных Обработка сигнала Сравнение Принятие решения Верификация (приложение) Хранение Доказательство идентичности Регистрация биометрии 1 2 3 4 5 6 7 8 9 10 11 12 13 Взлом «расчленением» и дублированием - это только один из 13-ти векторов атак
Практические аспекты небезопасности биометрии • Мало кто говорит о защите центрального хранилища биометрических ПДн, площадь атаки на которое будет только расти в связи с подключением большого количества участников (это вам не база биометрических паспортов) • Технологии меняются и дешевеют быстро, а внедрение биометрии на тысячи и десятки тысяч устройств (например, банкоматов) может занять длительное время • Биометрия может иметь отношение к биометрическим ПДн, обработка которых требует письменного согласия субъекта ПДн • Не каждый банковский офис в состоянии обеспечить эффективное снятие биометрического профиля клиента (качество освещения и качество звука) Посмотрите материалы мастер-класса Oz Forensics и Информзащиты про использование нейросетей для обхода биометрии
ФинЦЕРТ
Центр компетенций по ИБ в кредитно- финансовой сфере на базе ФинЦЕРТ • Определение потребностей рынка в совершенствовании вопросов киберустойчивости • Организация и осуществление информационного обмена о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении финансовых операций по определенной технологии и в установленных форматах электронных сообщений • Нормативное регулирование вопросов киберустойчивости финансовых организаций • Ведение базы данных о выявленных инцидентов, связанных с нарушением киберустойчивости финансовых организаций • Организация и координация работ по совершенствованию форм и методов взаимодействия финансовых организаций по вопросам обеспечения информационной безопасности и повышения их готовности к противостоянию информационным угрозам
Планы развития ФинЦЕРТ • Использование ГОСТа ФСТЭК по описанию уязвимостей • Создание системы противодействия хищениям денежных средств (Антифрод) • Взаимодействие с КЦ национального домена сети Интернет • Усиление технической экспертизы в части расследования инцидентов • Система личных кабинетов на сайте ЦБ • Участие в инспекционных проверках • Получение большего числа уведомлений об инцидентах • Автоматизация рассылки бюллетеней в машинно-читаемом формате !
АСОИ ФинЦЕРТ (1-я очередь) • Обмен с участниками через интегрированный защищенный портал и e-mail (получение информации в форматах XLS и JSON) Проект СТО 1.5 по форматам обмена данными на основе информации от ФинЦЕРТ и ГосСОПКИ • Автоматизация ключевых процессов • Автоматическое взаимодействие с ГосСОПКА • Возможность взаимодействия с иностранными участниками !
Автоматизация работы ФинЦЕРТ (2-я очередь) • Автоматическое online-получение данных из SIEM- систем • Автоматизация всех процессов деятельности • Расширенные показатели назначения • Online-анализ дампов трафика • Максимально широкая экспертная база, автоматически пополняемая от российских и иностранных поставщиков • Обеспечение неотказуемости (использование ЭП) • Взаимодействие с иностранными участниками !
Сроки внедрения АСОИ ФинЦЕРТ !
Методологическая поддержка
Повышение квалификации
Совершенствование процесса повышения квалификации Профессиональные стандарты Образовательные стандарты Система независимой аттестации специалистов +8 ПС в области ИБ +9 ФГОС для разных уровней подготовки в области ИБ +1 new! типовая программа* профессиональной переподготовки специалистов в области ИБ для КФС Дополнительные профессиональные программы Сертификаты международных независимых организаций (CISA, CISM, CISSP, COBIT, CGEIT, CRISC и другие) + new! планируется разработка системы аттестации специалистов и руководителей подразделений ИБ +1 new! типовая программа профессиональной переподготовки руководителей в области ИБ для КФС +1 new! ПС по кибербезопасности +2 new! ФГОС для разных уровней подготовки в области ИБ для КФС
Разработка учебных программ • Программа переподготовки специалиста ИБ на базе высшего образования • Программа переподготовки руководителя ИБ на базе профильного высшего образования и (или) обучения по программе переподготовки «специалиста ИБ» • Программа бакалавриата по профилю «Обеспечение информационной безопасности в организациях кредитно- финансовой сферы» в рамках общего направления «Информационная безопасность» • Программа специализации «Информационная безопасность кредитно-финансовой сферы» в рамках специальности 10.05.03 «Информационная безопасность автоматизированных систем», 10.05.04 «Информационно- аналитические системы безопасности» !
Цифровая экономика
Цифровая экономика для финансовых организаций • Российский сегмент Интернет хотят перевести на российскую криптографию, Web-сервера должны будут использовать TLS на базе ГОСТ 28147-89 в варианте «Кузнечик», а все браузеры должны реализовывать российскую криптографию • Разработка процедуры обязательной оценки соответствия (сертификации) компонентов платежной инфраструктуры, используемых для переводов денежных средств в НПС Доклад ТК26 в рамках Уральского форума • Рекомендуется перейти на отечественную криптографию в НПС !
Новые рекомендации ТК26 для ФО
Новые рекомендации ТК26 для ФО
Цифровая экономика для финансовых организаций • Нормативное закрепление обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность (в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищенности ПДн (для высококритичных классов информационных систем) • Страхование киберрисков ⚰
Предложения рынка ИБ
Активно предлагаемые на Уральском форуме решения ИБ • Threat Intelligence и OSINT • Антифрод в разных проявлениях • Мониторинг ИБ (SOC) • CASB • Безопасность в облаке Блин, кто-нибудь ответит, можно банковскую тайну передавать облачному провайдеру, не имеющему лицензии ЦБ? • Аутсорсинг !
Что не удалось услышать?
Неозвученные темы • Персональные данные Штрафы, большие данные, обезличивание, ФЗ-242, новое понятие ПДн РКН вообще не приехал L • Позиция ФСТЭК и ФСБ по КИИ • ФСБ и СКЗИ Новые требования по сертификации, 552-П и АРМ КБР, российская криптография и НПС/НСПК… • PCI DSS !
Спасибо! alukatsk@cisco.com

Recomendados

Обзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаОбзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаAleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Aleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...RISClubSPb
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 

Recomendados

Обзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаОбзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаAleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Aleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...RISClubSPb
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииAleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations updateCisco Russia
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутSelectedPresentations
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхAleksey Lukatskiy
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Expolink
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минутAleksey Lukatskiy
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Aleksey Lukatskiy
 
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Банковское обозрение
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Expolink
 
Инновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакИнновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакOlga Ponomareva
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...Банковское обозрение
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...SelectedPresentations
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Cisco Russia
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Банковское обозрение
 
Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСAleksey Lukatskiy
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системеLETA IT-company
 

Mais conteúdo relacionado

Mais procurados

Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииAleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations updateCisco Russia
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутSelectedPresentations
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхAleksey Lukatskiy
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Expolink
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минутAleksey Lukatskiy
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Aleksey Lukatskiy
 
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Банковское обозрение
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Expolink
 
Инновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакИнновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакOlga Ponomareva
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...Банковское обозрение
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...SelectedPresentations
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Cisco Russia
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Банковское обозрение
 

Mais procurados (20)

Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минут
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
 
Инновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакИнновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атак
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...
Требования к информационной безопасности для Финтехов. Сергей Демидов, Москов...
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
 

Semelhante a Уральский форум по информационной безопасности финансовых организаций за 15 минут - 2018

Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСAleksey Lukatskiy
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системеLETA IT-company
 
Кредитные рейтинги банков: факторы определяющие уровень риска
Кредитные рейтинги банков: факторы определяющие уровень рискаКредитные рейтинги банков: факторы определяющие уровень риска
Кредитные рейтинги банков: факторы определяющие уровень рискаExpert RA
 
5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минутCisco Russia
 
Надежда Карисалова
Надежда КарисаловаНадежда Карисалова
Надежда Карисаловаa-dolgih
 
карисалова иркутск
карисалова иркутсккарисалова иркутск
карисалова иркутскa-dolgih
 
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...Moscow IT Department
 
ID systems: ГИС, ГМП и новые сервисы
ID systems: ГИС, ГМП и новые сервисыID systems: ГИС, ГМП и новые сервисы
ID systems: ГИС, ГМП и новые сервисыExpolink
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пLETA IT-company
 
ЭКСАР_Б.Игошин
ЭКСАР_Б.ИгошинЭКСАР_Б.Игошин
ЭКСАР_Б.Игошинa-dolgih
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
Правовые основы рефинансирования кредитных организаций
Правовые основы рефинансирования кредитных организацийПравовые основы рефинансирования кредитных организаций
Правовые основы рефинансирования кредитных организацийНина Демидова
 
дипломная презентация по вкладным операциям коммерческого банка
дипломная презентация по вкладным операциям коммерческого банкадипломная презентация по вкладным операциям коммерческого банка
дипломная презентация по вкладным операциям коммерческого банкаIvan Simanov
 
Монетизация данных: могут ли банки зарабатывать на информации
Монетизация данных: могут ли банки зарабатывать на информацииМонетизация данных: могут ли банки зарабатывать на информации
Монетизация данных: могут ли банки зарабатывать на информацииMike Sverdlov
 
Презентация Любомудров М.Г.
Презентация Любомудров М.Г. Презентация Любомудров М.Г.
Презентация Любомудров М.Г. Деловая Среда
 
Наталья Ярашова_Банк Москвы
Наталья Ярашова_Банк МосквыНаталья Ярашова_Банк Москвы
Наталья Ярашова_Банк Москвыa-dolgih
 

Semelhante a Уральский форум по информационной безопасности финансовых организаций за 15 минут - 2018 (20)

Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПС
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системе
 
Кредитные рейтинги банков: факторы определяющие уровень риска
Кредитные рейтинги банков: факторы определяющие уровень рискаКредитные рейтинги банков: факторы определяющие уровень риска
Кредитные рейтинги банков: факторы определяющие уровень риска
 
5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут
 
Презентация Шаров А.В.
Презентация Шаров А.В.Презентация Шаров А.В.
Презентация Шаров А.В.
 
Надежда Карисалова
Надежда КарисаловаНадежда Карисалова
Надежда Карисалова
 
карисалова иркутск
карисалова иркутсккарисалова иркутск
карисалова иркутск
 
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
 
BDO_BankingSurvey_2013
BDO_BankingSurvey_2013BDO_BankingSurvey_2013
BDO_BankingSurvey_2013
 
ID systems: ГИС, ГМП и новые сервисы
ID systems: ГИС, ГМП и новые сервисыID systems: ГИС, ГМП и новые сервисы
ID systems: ГИС, ГМП и новые сервисы
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
 
ЭКСАР_Б.Игошин
ЭКСАР_Б.ИгошинЭКСАР_Б.Игошин
ЭКСАР_Б.Игошин
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
 
Правовые основы рефинансирования кредитных организаций
Правовые основы рефинансирования кредитных организацийПравовые основы рефинансирования кредитных организаций
Правовые основы рефинансирования кредитных организаций
 
дипломная презентация по вкладным операциям коммерческого банка
дипломная презентация по вкладным операциям коммерческого банкадипломная презентация по вкладным операциям коммерческого банка
дипломная презентация по вкладным операциям коммерческого банка
 
Монетизация данных: могут ли банки зарабатывать на информации
Монетизация данных: могут ли банки зарабатывать на информацииМонетизация данных: могут ли банки зарабатывать на информации
Монетизация данных: могут ли банки зарабатывать на информации
 
Презентация Любомудров М.Г.
Презентация Любомудров М.Г. Презентация Любомудров М.Г.
Презентация Любомудров М.Г.
 
Наталья Ярашова_Банк Москвы
Наталья Ярашова_Банк МосквыНаталья Ярашова_Банк Москвы
Наталья Ярашова_Банк Москвы
 
Фролов: Финансы растущему бизнесу - 2013
Фролов: Финансы растущему бизнесу - 2013Фролов: Финансы растущему бизнесу - 2013
Фролов: Финансы растущему бизнесу - 2013
 
Фролов Роман Николаевич - заместитель генерального директора, руководитель це...
Фролов Роман Николаевич - заместитель генерального директора, руководитель це...Фролов Роман Николаевич - заместитель генерального директора, руководитель це...
Фролов Роман Николаевич - заместитель генерального директора, руководитель це...
 

Mais de Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 

Mais de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Уральский форум по информационной безопасности финансовых организаций за 15 минут - 2018

  • 1. Бизнес-консультант по безопасности Уральский форум за 15 минут Фигня! За 15 минут не уложиться J Алексей Лукацкий 16 февраля 2018
  • 2. Disclaimer Презентация описывает взгляд автора на программу 10-го Уральского форума по информационной безопасности финансовой сферы Данная презентация описывает личную точку зрения автора и может не совпадать с точкой зрения его работодателя или иных официальных лиц, с которыми автора связывают или не связывают какие-либо отношения!
  • 3. Основные направления технологического развития Банка России Система передачи финансовых сообщений Единая система идентификации и аутентификации Перспективная платежная система Сквозной идентификатор клиента Платформа быстрых платежей Платформа на основе технологии распределенных реестров Платформа для регистрации финансовых сделок Финансовый маркетплейс Национальная система платежных карт Биометрическая платформа Платформа для облачных сервисов Новые платформы Развивающиеся платформы Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема
  • 5. Дорожная карта стандартизации по ИБ Банка России • Домен УКР – «управление киберриском» • Домен ЗИ – «защита информации» • Домен СО – «мониторинг киберрисков и ситуационная осведомленность» • Домен ОНД – «обеспечение непрерывности выполнения бизнес и технологических процессов финансовых организаций в случае реализации информационных угроз» • Домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» • Домен УИ – «управление инцидентами ИБ»
  • 6. Стандарты по защите информации ГОСТ 57580.1 ГОСТ 57580.2 Стандарты по ОИБ и управлению рисками Общие положения Оценка соответствия Аудит ИБ Аутсорсинг и использование информационных сервисов Аутсорсинг Использование информационных сервисов Оценка соответствия Стандарты по управлению инцидентами Требования и меры организации Сбор и анализ технических данных Взаимодействие с ФинЦЕРТ (СТО 1.5) Стандарт по непрерывности Требования и меры реализации Оценка соответствия Мониторинг киберрисков и ситуационная осведомленность Требования и меры реализации Оценка соответствия Направления стандартизации Банка России Источник: план работы ПК1 ТК122
  • 8. Управление киберрисками • Киберриски – это часть операционных рисков • В кредитной организации должна быть создана база данных о событиях операционного риска и убытках, понесенных вследствие реализации операционного риска • Назначение базы данных – контроль над уровнем фактически понесенных (прямых) убытков кредитной организации • ДБР в 2018-м году планирует установить требования к отдельной классификации событий риска ИБ в составе БД операционных рисков !
  • 9. Управление киберрисками • Кредитная организация: Определяет на плановый годовой период количественные и качественные показатели склонности к риску ОР, в том числе к риску ИБ(риск-аппетиты ОР и ИБ) Устанавливает целевые уровни этих показателей: сигнальный (приемлемый) уровень и контрольный (лимитный) уровень • Качественные требования будут формулироваться в рамках ВПОДК в Указании Банка России №3624-У ссылками на отраслевые стандарты ИБ (например, ГОСТР 57580.1-2017) с учетом качественных требований Базеля II к ВПОДК • Банк самостоятельно определяет уровни и утверждает их на Совете Директоров. • Уровни должны быть обоснованы и должны соотноситься с величиной минимального регуляторного капитала в рамках Положения No 346-П !Кредитная организация обязана будет резервировать капитал на покрытие операционных рисков, включая и киберриски
  • 11. Иные нормативные и нормативно- правовые акты • Новая редакция 382-П – 1 июля 2018 года Контроль защищенности платежных приложений Внешний аудит Оценка соответствия платежных приложений Оперативное уведомление об инцидентах (в течение дня) Разделение контуров • Перспективная редакция 382-П – 2019 год Обязательность применения ГОСТ Р 57580.1 Оценка соответствия по ГОСТ Р 57580.1 (57580.2) • Новая форма отчетности 203 !
  • 12. Иные нормативные и нормативно- правовые акты • Проект федерального закона № 296412-7 «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)» введение антифрод-систем кредитных организаций возврат несанкционированно переведенных денежных средств юридическим лицам введение обмена информацией о компьютерных атаках с использованием сервисов ФинЦЕРТ расширение полномочий Банка России по регулированию обеспечения защиты информации на финансовом рынке !
  • 13. Развитие форм отчетности об инцидентах 203-я отчетность 203-я отчетность Отчетность по 552-П Отчетность по 382-П 203-я отчетность Отчетность по 552-П Отчетность по 161-ФЗ t Отчетность в ГосСОПКУ 2012+ 2016+ 2018+
  • 14. Иные нормативные и нормативно- правовые акты • Проект федерального закона «О внесении изменений в статью 151 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» блокировка по решению Банка России фишинговых сайтов блокировка по решению Бланка России сайтов, предоставляющих финансовые услуги без соответствующей лицензии Банка России • Проект федерального закона «О внесении изменений в Федеральный закон «О банках и банковской деятельности» Исключение режима не распространения банковской тайны на случаи обмена информации о совершении (попытках совершения) перевода денежных средств без согласия клиента с использованием информационных сервисов ФинЦерт Банка России !
  • 15. Иные нормативные и нормативно- правовые акты • Проект федерального закона «О внесении изменений в Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи» (в части защиты прав и законных интересов пользователей услуг)» подтверждение принадлежности абонентского номера конкретного клиента кредитной организаций в единой информационной системе • Проект Указания Банка России «Об определении перечня угроз безопасности биометрических персональных данных, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» !
  • 17. Финансовые организации и КИИ • Все финансовые организации являются субъектами КИИ • Все информационные системы являются объектами КИИ, но не все являются значимыми !
  • 18. Что надо делать для выполнения закона? ☔ Категорирование Обеспечение ИБ Присоединение к ГосСОПКЕ
  • 19. У кого могут быть значимые объекты? • 31 финансовая организация с участием государства • 1 банк как стратегическое предприятие и стратегическое АО • 11 системно значимых кредитных организаций • 4 системно значимые инфраструктурные организации финансового рынка • 9 операторов услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем По состоянию на 14 февраля 2018 года
  • 20. Финансовые организации с участием государства • Банк России • Сбербанк • Внешэкономбанк • Национальный Клиринговый Центр • ВТБ • Россельхозбанк • Газпромбанк • Глобэкс (как дочка ВЭБ) • Связь-Банк (как дочка ВЭБ) • МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства) • Российский капитал (как дочка АИЖК) • ВБРР • Почта Банк (как дочка ВТБ и Почты России) • РНКБ (как дочка Росимущества) • Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ) • Крайинвестбанк • Дальневосточный Банк • Акибанк • Алмазэргиэнбанк • Московское Ипотечное Агентство • Росэксимбанк • БМ-Банк • Русь • Хакасский Муниципальный Банк • Банк Казани • Почтобанк (не путать с Почта Банк) • Новикомбанк • НСПК • Открытие • Бинбанк • Ростбанк • Уралприватбанк Оценка автора
  • 21. Системно значимые кредитные организации • АО ЮниКредит Банк • Банк ГПБ • Банк ВТБ • АО «АЛЬФА-БАНК» • ПАО Сбербанк • ПАО «Московский Кредитный Банк» • ПАО Банк «ФК Открытие» • ПАО РОСБАНК • ПАО «Промсвязьбанк» • АО «Райффайзенбанк» • АО «Россельхозбанк» Оценка автора
  • 22. Системно значимые инфраструктурные организации финансового рынка • Центральный депозитарий • Расчетный депозитарий • Репозитарий • Центральный контрагент Оценка автора
  • 23. Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС • Русславбанк и ВТБ (для CONTACT) • НСПК, Банк России (для Visa) • Платежный центр, Золотая корона (для Золотой короны) • Национальный расчетный депозитарий (для НРД) • Лидер (для ПС Лидер) • НСПК, Банк России (для MasterCard) • ВТБ (для ПС ВТБ) • Сбербанк (для ПС Сбербанка) • Рапида, ВТБ (для Рапиды) Оценка автора
  • 24. Что означает присоединение к ГосСОПКЕ? • Информирование об инцидентах на значимых объектах КИИ вашего центра ГосСОПКИ • Содействие сотрудникам ФСБ в деятельности по реагированию на инциденты • Выполнять требования по установке и эксплуатации средств ГосСОПКИ на объектах КИИ (если устанавливаются)
  • 25. ФинЦЕРТ и ГосСОПКА • Организация и координация обмена информацией между ФинЦЕРТ и правоохранительными органами, кредитными и некредитными финансовыми организациями • Анализ данных о компьютерных атаках в кредитных и некредитных финансовых организациях и подготовка аналитических материалов • ФинЦЕРТ не является ни ведомственным, ни корпоративным центром ГосСОПКА и финансовые организации должны самостоятельно направлять данные об инцидентах в ГосСОПКУ • Ведутся работы по наделению ФинЦЕРТ полномочиями центра ГосСОПКИ !
  • 26. Обратите внимание! Значимые Незначимые Объекты КИИ Требования по безопасности ФСТЭК предъявляются только к значимым объектам КИИ Незначимые объекты могут продолжать относиться к ИСПДн, АБС и т.п.
  • 27. Обратите внимание! Незначимый объект 21-й приказ 17 приказ ГОСТ ЦБ 382-П 552-П PCI DSS ... Действующие документы по ИБ ФСТЭК, Банка России, ФСБ, Минкомсвязи продолжают действовать!
  • 31. Удаленная идентификация при получении услуг в месте, отличном от первичной идентификации
  • 33. Перспективы ЕСИА: взгляд Минкомсвязи • Биометрическая идентификация/ аутентификация • Облачная квалифицированная электронная подпись • Реестр персданных и система дачи согласий на доступ к ним • Юридически значимые уведомления
  • 34. Кто-нибудь учитывает модель угроз? Сбор данных Обработка сигнала Сравнение Принятие решения Верификация (приложение) Хранение Доказательство идентичности Регистрация биометрии 1 2 3 4 5 6 7 8 9 10 11 12 13 Взлом «расчленением» и дублированием - это только один из 13-ти векторов атак
  • 35. Практические аспекты небезопасности биометрии • Мало кто говорит о защите центрального хранилища биометрических ПДн, площадь атаки на которое будет только расти в связи с подключением большого количества участников (это вам не база биометрических паспортов) • Технологии меняются и дешевеют быстро, а внедрение биометрии на тысячи и десятки тысяч устройств (например, банкоматов) может занять длительное время • Биометрия может иметь отношение к биометрическим ПДн, обработка которых требует письменного согласия субъекта ПДн • Не каждый банковский офис в состоянии обеспечить эффективное снятие биометрического профиля клиента (качество освещения и качество звука) Посмотрите материалы мастер-класса Oz Forensics и Информзащиты про использование нейросетей для обхода биометрии
  • 37. Центр компетенций по ИБ в кредитно- финансовой сфере на базе ФинЦЕРТ • Определение потребностей рынка в совершенствовании вопросов киберустойчивости • Организация и осуществление информационного обмена о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении финансовых операций по определенной технологии и в установленных форматах электронных сообщений • Нормативное регулирование вопросов киберустойчивости финансовых организаций • Ведение базы данных о выявленных инцидентов, связанных с нарушением киберустойчивости финансовых организаций • Организация и координация работ по совершенствованию форм и методов взаимодействия финансовых организаций по вопросам обеспечения информационной безопасности и повышения их готовности к противостоянию информационным угрозам
  • 38. Планы развития ФинЦЕРТ • Использование ГОСТа ФСТЭК по описанию уязвимостей • Создание системы противодействия хищениям денежных средств (Антифрод) • Взаимодействие с КЦ национального домена сети Интернет • Усиление технической экспертизы в части расследования инцидентов • Система личных кабинетов на сайте ЦБ • Участие в инспекционных проверках • Получение большего числа уведомлений об инцидентах • Автоматизация рассылки бюллетеней в машинно-читаемом формате !
  • 39. АСОИ ФинЦЕРТ (1-я очередь) • Обмен с участниками через интегрированный защищенный портал и e-mail (получение информации в форматах XLS и JSON) Проект СТО 1.5 по форматам обмена данными на основе информации от ФинЦЕРТ и ГосСОПКИ • Автоматизация ключевых процессов • Автоматическое взаимодействие с ГосСОПКА • Возможность взаимодействия с иностранными участниками !
  • 40. Автоматизация работы ФинЦЕРТ (2-я очередь) • Автоматическое online-получение данных из SIEM- систем • Автоматизация всех процессов деятельности • Расширенные показатели назначения • Online-анализ дампов трафика • Максимально широкая экспертная база, автоматически пополняемая от российских и иностранных поставщиков • Обеспечение неотказуемости (использование ЭП) • Взаимодействие с иностранными участниками !
  • 44. Совершенствование процесса повышения квалификации Профессиональные стандарты Образовательные стандарты Система независимой аттестации специалистов +8 ПС в области ИБ +9 ФГОС для разных уровней подготовки в области ИБ +1 new! типовая программа* профессиональной переподготовки специалистов в области ИБ для КФС Дополнительные профессиональные программы Сертификаты международных независимых организаций (CISA, CISM, CISSP, COBIT, CGEIT, CRISC и другие) + new! планируется разработка системы аттестации специалистов и руководителей подразделений ИБ +1 new! типовая программа профессиональной переподготовки руководителей в области ИБ для КФС +1 new! ПС по кибербезопасности +2 new! ФГОС для разных уровней подготовки в области ИБ для КФС
  • 45. Разработка учебных программ • Программа переподготовки специалиста ИБ на базе высшего образования • Программа переподготовки руководителя ИБ на базе профильного высшего образования и (или) обучения по программе переподготовки «специалиста ИБ» • Программа бакалавриата по профилю «Обеспечение информационной безопасности в организациях кредитно- финансовой сферы» в рамках общего направления «Информационная безопасность» • Программа специализации «Информационная безопасность кредитно-финансовой сферы» в рамках специальности 10.05.03 «Информационная безопасность автоматизированных систем», 10.05.04 «Информационно- аналитические системы безопасности» !
  • 47. Цифровая экономика для финансовых организаций • Российский сегмент Интернет хотят перевести на российскую криптографию, Web-сервера должны будут использовать TLS на базе ГОСТ 28147-89 в варианте «Кузнечик», а все браузеры должны реализовывать российскую криптографию • Разработка процедуры обязательной оценки соответствия (сертификации) компонентов платежной инфраструктуры, используемых для переводов денежных средств в НПС Доклад ТК26 в рамках Уральского форума • Рекомендуется перейти на отечественную криптографию в НПС !
  • 50. Цифровая экономика для финансовых организаций • Нормативное закрепление обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность (в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищенности ПДн (для высококритичных классов информационных систем) • Страхование киберрисков ⚰
  • 52. Активно предлагаемые на Уральском форуме решения ИБ • Threat Intelligence и OSINT • Антифрод в разных проявлениях • Мониторинг ИБ (SOC) • CASB • Безопасность в облаке Блин, кто-нибудь ответит, можно банковскую тайну передавать облачному провайдеру, не имеющему лицензии ЦБ? • Аутсорсинг !
  • 53. Что не удалось услышать?
  • 54. Неозвученные темы • Персональные данные Штрафы, большие данные, обезличивание, ФЗ-242, новое понятие ПДн РКН вообще не приехал L • Позиция ФСТЭК и ФСБ по КИИ • ФСБ и СКЗИ Новые требования по сертификации, 552-П и АРМ КБР, российская криптография и НПС/НСПК… • PCI DSS !