SlideShare a Scribd company logo

Практический опыт защиты финансовых транзакций клиентов Банка

Positive Hack Days
Positive Hack Days

В рамках секции: Инновации в средствах защиты и проверки защищенности

Technology
1 of 15
Служба информационной безопасности / Юрий Шульга, начальник отдела Как снизить риски в системе ДБО. Опыт банка по использованию устройств SafeTouch 23 мая 2017 года / PHDays 2017
2 Концептуальная схема проблем в системах ДБО ЦБ РФ ФСБ РФ ФСТЭК РФ БАНКИ Поставщики решений ДБО Поставщики СЗИ КЛИЕНТЫ ЮЛ + ФЛ ЗЛОУМЫШЛЕННИКИ Минкомсвязь РФ
3 Комплекс решений безопасности системы ДБО Правовой риск Операционный риск «Регуляторный» риск Риск потери деловой репутации Банковские риски систем ДБО
4 Как снизить риски в системе ДБО. Правовой риск Правовой риск Письмом от 30 июня 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» Банк России определяет правовой риск как риск возникновения у кредитной организации убытков вследствие влияния двух типов факторов - внутренних и внешних. К внутренним факторам Банк России относит (выписка): •  несоблюдение кредитной организацией законодательства Российской Федерации; •  неспособность кредитной организации своевременно приводить свою деятельность и внутренние документы в соответствие с изменениями законодательства.
5 Как снизить риски в системе ДБО. Правовой риск Федеральный закон от 06.04.11 № 63-ФЗ «Об электронной подписи». Ст. 12, ч. 2, п. 1) в предыдущей редакции: 2. При создании электронной подписи средства электронной подписи должны: 1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; в действующей ред. Федерального закона от 30.12.2015 № 445- ФЗ : 1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с и с п о л ь з о в а н и е м у к а з а н н ы х с р е д с т в , л и ц у , осуществляющему создание электронной подписи, содержание информации, подписание которой производится;
6 Как снизить риски в системе ДБО. Правовой риск Федеральный закон от 06.04.11 № 63-ФЗ «Об электронной подписи». Ст. 12, ч. 3, п. 1) в предыдущей редакции: 3. При проверке электронной подписи средства электронной подписи должны: 1) показывать содержание электронного документа, подписанного электронной подписью; ; в действующей ред. Федерального закона от 30.12.2015 № 445- ФЗ : 1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;
7 Как снизить риски в системе ДБО. Правовой риск Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств… » в новой редакции, вступающей в силу 1 июля 2019 года. Пункт 2.10 дополнить подпунктами 2.10.5 – 2.10.7 следующего содержания: 2.10.5. При осуществлении переводов денежных средств с использованием … «Интернет», оператор по переводу денежных средств обеспечивает реализацию технологических мер по разделению контуров подготовки и подтверждения клиентом электронных сообщений (далее – разделение контуров) и (или) реализует ограничения на параметры операций по осуществлению переводов денежных средств…
8 Как снизить риски в системе ДБО. Правовой риск 2.10.6. Реализуемые оператором по переводу денежных средств технологические меры разделения контуров обеспечивают: возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений; возможность контроля клиентом реквизитов распоряжений о переводе денежных средств при подготовке электронных сообщений (пакета электронных сообщений) и их подтверждении; В зависимости от параметров и статистики выполняемых операций, … оператор по переводу денежных средств обеспечивает: возможность выполнения подтверждения клиентом электронных сообщений вне операционной системы, используемой для подготовки электронных сообщений;
9 Как снизить риски в системе ДБО. «Регуляторный» риск Ответственность Банка за неисполнение Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств… » Сначала проверка, потом предписание, ну а потом, например: [КоАП] [Глава 15] Статья 15.36. Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе Повторное в течение года неисполнение оператором платежной системы, … предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе, – влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.
10 Как снизить риски в системе ДБО. Операционный риск Экономит на персоналеКлиент среднего и малого бизнеса (СМБ) – самый значимый Клиент для розничного банка Экономит на компьютере Экономит на лицензионной ОС Экономит на антивирусах и МСЭ Клиент среднего и малого бизнеса – «слабое» звено системы ДБО
11 Как снизить риски в системе ДБО. Операционный риск Как получить квалифицированную электронную подпись Клиента, если: 1. Клиент работает в недоверенной среде? 2. Клиент на всем экономит? Проблемы недоверенной среды
12 Как снизить риски в системе ДБО. Операционный риск 2.  Изменение условий договора с Клиентом – Правил ДБО. Переход от «Рекомендаций…» к «Требованиям к Клиенту по обеспечению безопасности информации…» 3.  Регулярное доведение обновленных Требований до каждого Клиента путем рассылки писем, анкетирования и т.п. Доведение Требований непосредственно до сотрудников Клиента, работающих с системой ДБО 1.  Разработка и регулярное уточнение специалистами Банка с привлечением экспертов по безопасности минимально необходимого набора требований, обеспечивающих безопасную эксплуатацию АРМ Клиента 4.  Разработка других информационных материалов, направленных на повышение осведомленности Клиента всеми возможными способами Повышение осведомленности Клиента
13 Как снизить риски в системе ДБО. Операционный риск Вход в систему через запрос/ получение SMS SMS- подтверждение при подписи платежа Сервер нотификации – регулируемое SMS- уведомление Клиента о движении средств Средство визуализации подписываемых данных SafeTouch Система «FRAUD- Анализа» – автоматизирован- ная обработка критериев поведенческой модели Клиентов Дополнительные сервисы безопасности
14 Как снизить риски в системе ДБО. Опыт банка по использованию устройств SafeTouch 1. Внедрение СКЗИ КриптоПро ФКН CSP в форм-факторе смарт-карты 2. Внедрение средства визуализации подписываемых данных SafeTouch Вместе СКЗИ КриптоПро ФКН CSP + средство визуализации подписываемых данных SafeTouch образуют подсистему «Token security» в составе системы ДБО BS-Client Проект Перевод BSS Банк-Клиент на новую версию включает:
15 Как снизить риски в системе ДБО. Опыт банка по использованию устройств SafeTouch СПАСИБО ЗА ВНИМАНИЕ! 8 800 755 00 05 www.vbank.ru

Recommended

Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...Positive Hack Days
 
Решения КРОК по противодействию внутреннему мошенничеству
Решения КРОК по противодействию внутреннему мошенничествуРешения КРОК по противодействию внутреннему мошенничеству
Решения КРОК по противодействию внутреннему мошенничествуКРОК
 
DDoS for banks
DDoS for banksDDoS for banks
DDoS for banksVladimir Guk
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСКРОК
 
Safetech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...
Safetech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...Safetech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...
Safetech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...Expolink
 
SafeTech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...
SafeTech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...SafeTech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...
SafeTech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...Expolink
 
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...Expolink
 
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...Банковское обозрение
 

Recommended

Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...Positive Hack Days
 
Решения КРОК по противодействию внутреннему мошенничеству
Решения КРОК по противодействию внутреннему мошенничествуРешения КРОК по противодействию внутреннему мошенничеству
Решения КРОК по противодействию внутреннему мошенничествуКРОК
 
DDoS for banks
DDoS for banksDDoS for banks
DDoS for banksVladimir Guk
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСКРОК
 
Safetech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...
Safetech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...Safetech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...
Safetech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...Expolink
 
SafeTech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...
SafeTech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...SafeTech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...
SafeTech. Денис Калемберг. "Интернет-банкинг. Делаем безопасность клиента при...Expolink
 
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...Expolink
 
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...
Презентация Владимира Шишкина с конференции «Кредитный скоринг – 2016», 13 ию...Банковское обозрение
 
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Банковское обозрение
 
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?31012013 152ФЗ - сделан ли шаг навстречу бизнесу?
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?Valentin Korobkov
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Expolink
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...BAKOTECH
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Как и зачем ломают интернет-магазины
Как и зачем ломают интернет-магазины Как и зачем ломают интернет-магазины
Как и зачем ломают интернет-магазины SiteSecure
 
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Expolink
 
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемыСМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемыPayment Village
 
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовSiteSecure
 
Информационная безопасность. Требования Банка России-2017
Информационная безопасность. Требования Банка России-2017Информационная безопасность. Требования Банка России-2017
Информационная безопасность. Требования Банка России-2017Агентство "ВЭП"
 
Краудлендинг (P2P кредитование) в России и мире
Краудлендинг (P2P кредитование) в России и миреКраудлендинг (P2P кредитование) в России и мире
Краудлендинг (P2P кредитование) в России и миреVladimir Baydin
 
5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минутCisco Russia
 
Инновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакИнновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакOlga Ponomareva
 
Zaymigo. Презентация на конференции Fintech Lab - 2015
Zaymigo. Презентация на конференции Fintech Lab - 2015 Zaymigo. Презентация на конференции Fintech Lab - 2015
Zaymigo. Презентация на конференции Fintech Lab - 2015 Антон Арнаутов
 
Verus презентация для кадровых служб
Verus презентация для кадровых службVerus презентация для кадровых служб
Verus презентация для кадровых службAlexander Lavrushko
 
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...Expolink
 
F5 rus-e-crime-14
F5 rus-e-crime-14F5 rus-e-crime-14
F5 rus-e-crime-14Alexander Serebryakov
 
SafeNet Authentication Service - аутентификация следующего поколения
SafeNet Authentication Service - аутентификация следующего поколенияSafeNet Authentication Service - аутентификация следующего поколения
SafeNet Authentication Service - аутентификация следующего поколенияЦифровые технологии
 
Health Insurance Support System (Blockchain Based)
Health Insurance Support System (Blockchain Based)Health Insurance Support System (Blockchain Based)
Health Insurance Support System (Blockchain Based)Denis Efremov
 
2010 год, №152-ФЗ
2010 год, №152-ФЗ2010 год, №152-ФЗ
2010 год, №152-ФЗTimur AITOV
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 

More Related Content

What's hot

Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Банковское обозрение
 
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?31012013 152ФЗ - сделан ли шаг навстречу бизнесу?
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?Valentin Korobkov
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Expolink
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...BAKOTECH
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Как и зачем ломают интернет-магазины
Как и зачем ломают интернет-магазины Как и зачем ломают интернет-магазины
Как и зачем ломают интернет-магазины SiteSecure
 
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Expolink
 
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемыСМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемыPayment Village
 
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовSiteSecure
 
Информационная безопасность. Требования Банка России-2017
Информационная безопасность. Требования Банка России-2017Информационная безопасность. Требования Банка России-2017
Информационная безопасность. Требования Банка России-2017Агентство "ВЭП"
 
Краудлендинг (P2P кредитование) в России и мире
Краудлендинг (P2P кредитование) в России и миреКраудлендинг (P2P кредитование) в России и мире
Краудлендинг (P2P кредитование) в России и миреVladimir Baydin
 
5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минутCisco Russia
 
Инновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакИнновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакOlga Ponomareva
 
Zaymigo. Презентация на конференции Fintech Lab - 2015
Zaymigo. Презентация на конференции Fintech Lab - 2015 Zaymigo. Презентация на конференции Fintech Lab - 2015
Zaymigo. Презентация на конференции Fintech Lab - 2015 Антон Арнаутов
 
Verus презентация для кадровых служб
Verus презентация для кадровых службVerus презентация для кадровых служб
Verus презентация для кадровых службAlexander Lavrushko
 
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...Expolink
 
SafeNet Authentication Service - аутентификация следующего поколения
SafeNet Authentication Service - аутентификация следующего поколенияSafeNet Authentication Service - аутентификация следующего поколения
SafeNet Authentication Service - аутентификация следующего поколенияЦифровые технологии
 
Health Insurance Support System (Blockchain Based)
Health Insurance Support System (Blockchain Based)Health Insurance Support System (Blockchain Based)
Health Insurance Support System (Blockchain Based)Denis Efremov
 

What's hot (20)

Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
Презентация Алексея Просвирина с конференции «Кредитный скоринг – 2016», 13 и...
 
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?31012013 152ФЗ - сделан ли шаг навстречу бизнесу?
31012013 152ФЗ - сделан ли шаг навстречу бизнесу?
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБ
 
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...
Change Auditor. История успешного проекта. Банк "Ренессанс Кредит". (Владимир...
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 
Как и зачем ломают интернет-магазины
Как и зачем ломают интернет-магазины Как и зачем ломают интернет-магазины
Как и зачем ломают интернет-магазины
 
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
 
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемыСМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы
 
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
 
Информационная безопасность. Требования Банка России-2017
Информационная безопасность. Требования Банка России-2017Информационная безопасность. Требования Банка России-2017
Информационная безопасность. Требования Банка России-2017
 
Краудлендинг (P2P кредитование) в России и мире
Краудлендинг (P2P кредитование) в России и миреКраудлендинг (P2P кредитование) в России и мире
Краудлендинг (P2P кредитование) в России и мире
 
5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут
 
Инновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атакИнновационные методы профилактики DDoS-атак
Инновационные методы профилактики DDoS-атак
 
Zaymigo. Презентация на конференции Fintech Lab - 2015
Zaymigo. Презентация на конференции Fintech Lab - 2015 Zaymigo. Презентация на конференции Fintech Lab - 2015
Zaymigo. Презентация на конференции Fintech Lab - 2015
 
Verus презентация для кадровых служб
Verus презентация для кадровых службVerus презентация для кадровых служб
Verus презентация для кадровых служб
 
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...
Лаборатория Касперского. Илья Кудрин. "Информационная безопасность - залог пр...
 
F5 rus-e-crime-14
F5 rus-e-crime-14F5 rus-e-crime-14
F5 rus-e-crime-14
 
SafeNet Authentication Service - аутентификация следующего поколения
SafeNet Authentication Service - аутентификация следующего поколенияSafeNet Authentication Service - аутентификация следующего поколения
SafeNet Authentication Service - аутентификация следующего поколения
 
Health Insurance Support System (Blockchain Based)
Health Insurance Support System (Blockchain Based)Health Insurance Support System (Blockchain Based)
Health Insurance Support System (Blockchain Based)
 

Similar to Практический опыт защиты финансовых транзакций клиентов Банка

2010 год, №152-ФЗ
2010 год, №152-ФЗ2010 год, №152-ФЗ
2010 год, №152-ФЗTimur AITOV
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Fs operational risks management
Fs operational risks managementFs operational risks management
Fs operational risks managementFinancialStudio
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...Банковское обозрение
 
Мобильные приложения для физюриков. GOMS
Мобильные приложения для физюриков. GOMSМобильные приложения для физюриков. GOMS
Мобильные приложения для физюриков. GOMSДмитрий Силаев
 
юзабилитилаб д.силаев
юзабилитилаб д.силаевюзабилитилаб д.силаев
юзабилитилаб д.силаевDenial Solopov
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...ArtemAgeev
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомКРОК
 
SearchInform - Особенности защиты от внутренних угроз в банковской сфере
SearchInform - Особенности защиты от внутренних угроз в банковской сфереSearchInform - Особенности защиты от внутренних угроз в банковской сфере
SearchInform - Особенности защиты от внутренних угроз в банковской сфереExpolink
 
Противодействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБОПротиводействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБОRuslan Nesterov
 
Презентация программы банковского страхования
Презентация программы банковского страхованияПрезентация программы банковского страхования
Презентация программы банковского страхованияIndependent Insurance Consultants
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Vsevolod Shabad
 
презентация Credit control
презентация Credit controlпрезентация Credit control
презентация Credit controlira-minsk
 
Finanse credit & control financial-security.ru Finance and economy Credit con...
Finanse credit & control financial-security.ru Finance and economy Credit con...Finanse credit & control financial-security.ru Finance and economy Credit con...
Finanse credit & control financial-security.ru Finance and economy Credit con...ira-minsk
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Евгений Царев
 

Similar to Практический опыт защиты финансовых транзакций клиентов Банка (20)

2010 год, №152-ФЗ
2010 год, №152-ФЗ2010 год, №152-ФЗ
2010 год, №152-ФЗ
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
Fs operational risks management
Fs operational risks managementFs operational risks management
Fs operational risks management
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...
 
Мобильные приложения для физюриков. GOMS
Мобильные приложения для физюриков. GOMSМобильные приложения для физюриков. GOMS
Мобильные приложения для физюриков. GOMS
 
юзабилитилаб д.силаев
юзабилитилаб д.силаевюзабилитилаб д.силаев
юзабилитилаб д.силаев
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
 
Лесохин Роман Владимирович - директор департамента по работе с малым бизнесом...
Лесохин Роман Владимирович - директор департамента по работе с малым бизнесом...Лесохин Роман Владимирович - директор департамента по работе с малым бизнесом...
Лесохин Роман Владимирович - директор департамента по работе с малым бизнесом...
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
 
SearchInform - Особенности защиты от внутренних угроз в банковской сфере
SearchInform - Особенности защиты от внутренних угроз в банковской сфереSearchInform - Особенности защиты от внутренних угроз в банковской сфере
SearchInform - Особенности защиты от внутренних угроз в банковской сфере
 
Противодействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБОПротиводействие мошейничеству в среде ДБО
Противодействие мошейничеству в среде ДБО
 
Презентация программы банковского страхования
Презентация программы банковского страхованияПрезентация программы банковского страхования
Презентация программы банковского страхования
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
 
презентация Credit control
презентация Credit controlпрезентация Credit control
презентация Credit control
 
Finanse credit & control financial-security.ru Finance and economy Credit con...
Finanse credit & control financial-security.ru Finance and economy Credit con...Finanse credit & control financial-security.ru Finance and economy Credit con...
Finanse credit & control financial-security.ru Finance and economy Credit con...
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Практический опыт защиты финансовых транзакций клиентов Банка

  • 1. Служба информационной безопасности / Юрий Шульга, начальник отдела Как снизить риски в системе ДБО. Опыт банка по использованию устройств SafeTouch 23 мая 2017 года / PHDays 2017
  • 2. 2 Концептуальная схема проблем в системах ДБО ЦБ РФ ФСБ РФ ФСТЭК РФ БАНКИ Поставщики решений ДБО Поставщики СЗИ КЛИЕНТЫ ЮЛ + ФЛ ЗЛОУМЫШЛЕННИКИ Минкомсвязь РФ
  • 3. 3 Комплекс решений безопасности системы ДБО Правовой риск Операционный риск «Регуляторный» риск Риск потери деловой репутации Банковские риски систем ДБО
  • 4. 4 Как снизить риски в системе ДБО. Правовой риск Правовой риск Письмом от 30 июня 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» Банк России определяет правовой риск как риск возникновения у кредитной организации убытков вследствие влияния двух типов факторов - внутренних и внешних. К внутренним факторам Банк России относит (выписка): •  несоблюдение кредитной организацией законодательства Российской Федерации; •  неспособность кредитной организации своевременно приводить свою деятельность и внутренние документы в соответствие с изменениями законодательства.
  • 5. 5 Как снизить риски в системе ДБО. Правовой риск Федеральный закон от 06.04.11 № 63-ФЗ «Об электронной подписи». Ст. 12, ч. 2, п. 1) в предыдущей редакции: 2. При создании электронной подписи средства электронной подписи должны: 1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; в действующей ред. Федерального закона от 30.12.2015 № 445- ФЗ : 1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с и с п о л ь з о в а н и е м у к а з а н н ы х с р е д с т в , л и ц у , осуществляющему создание электронной подписи, содержание информации, подписание которой производится;
  • 6. 6 Как снизить риски в системе ДБО. Правовой риск Федеральный закон от 06.04.11 № 63-ФЗ «Об электронной подписи». Ст. 12, ч. 3, п. 1) в предыдущей редакции: 3. При проверке электронной подписи средства электронной подписи должны: 1) показывать содержание электронного документа, подписанного электронной подписью; ; в действующей ред. Федерального закона от 30.12.2015 № 445- ФЗ : 1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;
  • 7. 7 Как снизить риски в системе ДБО. Правовой риск Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств… » в новой редакции, вступающей в силу 1 июля 2019 года. Пункт 2.10 дополнить подпунктами 2.10.5 – 2.10.7 следующего содержания: 2.10.5. При осуществлении переводов денежных средств с использованием … «Интернет», оператор по переводу денежных средств обеспечивает реализацию технологических мер по разделению контуров подготовки и подтверждения клиентом электронных сообщений (далее – разделение контуров) и (или) реализует ограничения на параметры операций по осуществлению переводов денежных средств…
  • 8. 8 Как снизить риски в системе ДБО. Правовой риск 2.10.6. Реализуемые оператором по переводу денежных средств технологические меры разделения контуров обеспечивают: возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений; возможность контроля клиентом реквизитов распоряжений о переводе денежных средств при подготовке электронных сообщений (пакета электронных сообщений) и их подтверждении; В зависимости от параметров и статистики выполняемых операций, … оператор по переводу денежных средств обеспечивает: возможность выполнения подтверждения клиентом электронных сообщений вне операционной системы, используемой для подготовки электронных сообщений;
  • 9. 9 Как снизить риски в системе ДБО. «Регуляторный» риск Ответственность Банка за неисполнение Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств… » Сначала проверка, потом предписание, ну а потом, например: [КоАП] [Глава 15] Статья 15.36. Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе Повторное в течение года неисполнение оператором платежной системы, … предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе, – влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.
  • 10. 10 Как снизить риски в системе ДБО. Операционный риск Экономит на персоналеКлиент среднего и малого бизнеса (СМБ) – самый значимый Клиент для розничного банка Экономит на компьютере Экономит на лицензионной ОС Экономит на антивирусах и МСЭ Клиент среднего и малого бизнеса – «слабое» звено системы ДБО
  • 11. 11 Как снизить риски в системе ДБО. Операционный риск Как получить квалифицированную электронную подпись Клиента, если: 1. Клиент работает в недоверенной среде? 2. Клиент на всем экономит? Проблемы недоверенной среды
  • 12. 12 Как снизить риски в системе ДБО. Операционный риск 2.  Изменение условий договора с Клиентом – Правил ДБО. Переход от «Рекомендаций…» к «Требованиям к Клиенту по обеспечению безопасности информации…» 3.  Регулярное доведение обновленных Требований до каждого Клиента путем рассылки писем, анкетирования и т.п. Доведение Требований непосредственно до сотрудников Клиента, работающих с системой ДБО 1.  Разработка и регулярное уточнение специалистами Банка с привлечением экспертов по безопасности минимально необходимого набора требований, обеспечивающих безопасную эксплуатацию АРМ Клиента 4.  Разработка других информационных материалов, направленных на повышение осведомленности Клиента всеми возможными способами Повышение осведомленности Клиента
  • 13. 13 Как снизить риски в системе ДБО. Операционный риск Вход в систему через запрос/ получение SMS SMS- подтверждение при подписи платежа Сервер нотификации – регулируемое SMS- уведомление Клиента о движении средств Средство визуализации подписываемых данных SafeTouch Система «FRAUD- Анализа» – автоматизирован- ная обработка критериев поведенческой модели Клиентов Дополнительные сервисы безопасности
  • 14. 14 Как снизить риски в системе ДБО. Опыт банка по использованию устройств SafeTouch 1. Внедрение СКЗИ КриптоПро ФКН CSP в форм-факторе смарт-карты 2. Внедрение средства визуализации подписываемых данных SafeTouch Вместе СКЗИ КриптоПро ФКН CSP + средство визуализации подписываемых данных SafeTouch образуют подсистему «Token security» в составе системы ДБО BS-Client Проект Перевод BSS Банк-Клиент на новую версию включает:
  • 15. 15 Как снизить риски в системе ДБО. Опыт банка по использованию устройств SafeTouch СПАСИБО ЗА ВНИМАНИЕ! 8 800 755 00 05 www.vbank.ru