КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Банки

Финансовая и банковская сферы обеспечивают непрерывную работу экономики любой страны, обеспечивая непрерывный процесс перераспределения финансов между экономическими субъектами. Именно поэтому данные сферы наиболее часто становятся целями для компьютерных атак, целью которых является кража платежных и персональных данных, хищение денежных средств, а также непосредственно блокировка отдельных сервисов. 

Для обеспечения безопасности данных и финансов всех участников банковского взаимодействия применяются специализированные международные и отечественные стандарты защиты информации. Основным регулятором в информационной безопасности в банковской и финансовой сферах является Центральный банк Российской Федерации (Банк России), который не только выпускает и контролирует исполнение своих приказов, но и выпускает пояснения к федеральным законам с учетом применения данных требований к особенностям работы банков.

Нормативно-правовая база в сфере защиты информации в банковской сфере

Тип Номер Дата Наименование
Международный стандарт 3.2.1 17.05.2018 Payment Card Industry Data Security Standard (PCI DSS)
Федеральный закон 187-ФЗ 26.07.2017 О безопасности критической информационной инфраструктуры РФ
Федеральный закон 161-ФЗ 27.06.2011 О национальной платежной системе
Федеральный закон 152-ФЗ 27.07.2006 О персональных данных
Постановление Правительства РФ 584 13.06.2012 Об утверждении Положения о защите информации в платежной системе
ГОСТ 156-СТ 28.03.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
ГОСТ 822-СТ 08.08.2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
Приказ  ОД-2189 22.08.2018 Об основных направлениях политики обработки персональных данных в Центральном банке Российской Федерации (Банке России)
Методические рекомендации 4-МР 14.02.2019 Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их
соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации
Стандарт ЦБ РФ СТО БР БФБО-1.5-2018 01.11.2018 О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации 
Стандарт ЦБ РФ СТО БР ИББС-1.4-2018 01.07.2018 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге
Стандарт ЦБ РФ СТО БР ИББС-1.3-2016 01.01.2017 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств
Стандарт ЦБ РФ СТО БР ИББС-1.2-2014 01.06.2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014
Стандарт ЦБ РФ СТО БР ИББС-1.0-2014 01.06.2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения
Стандарт ЦБ РФ СТО БР ИББС-1.1-2007 01.05.2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007
Положение 684-П  17.04.2019 Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций
Положение 683-П  17.04.2019 Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента
Положение 607-П 03.10.2017 О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков
Положение 382-П 09.06.2012 О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
Положение 381-П 09.06.2012 О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе
Положение 380-П 31.05.2012 О порядке осуществления наблюдения в национальной платежной системе
Положение 379-П 31.05.2012 О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков
Рекомендации РСБРИББС-2.9-2016 01.05.2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации
Рекомендации РСБРИББС-2.8-2015 01.05.2015 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации
Рекомендации РСБРИББС-2.7-2015 01.01.2015 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности
Рекомендации РСБРИББС-2.6-2014 01.09.2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем 
Рекомендации РСБРИББС-2.5-2014 01.06.2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности
Рекомендации РCБРИББС-2.2-2009 01.01.2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности
Рекомендации РСБРИББС-2.1-2007 01.05.2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской требованиям СТО БР ИББС-1.0
Рекомендации РСБРИББС-2.0-2007 01.05.2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0

 

Определение уязвимостей программного обеспечения

Наиболее актуальными в плане начала реализации мер по защите информации являются приказы Банка России №683-П и №684-П, регламентирующие необходимость проведение работ по поиску и устранению уязвимостей в прикладном программном обеспечении, использующимся  для облуживания клиентов, автоматизации работы, биллинга.

В рамках реализации мер по определению уязвимостей применяются сертифицированные ФСТЭК России средства анализа программного и системного кода с привлечением экспертизы специалистов нашей технической лаборатории.

Общий алгоритм организации работ по определению уязвимостей программного кода с использованием  инструментария PT Application Inspector:

 

Тестирование на проникновение (пентест)

Одним из обязательных и ежегодных мероприятий по контролю безопасности ИТ-инфраструктуры банка является проведение тестирования на проникновения, необходимость это регламентирована в положениях Банка России №382-П и №683-П.

Идентификация уязвимостей и рисков, которые с ними связаны, является важнейшим элементом обеспечения информационной безопасности. Выполнение работ по оценке защищенности позволит разработать адекватную и всеобъемлющую программу мероприятий по повышению уровня защищенности web-ресурса, что в свою очередь должно привести к снижению операционных, финансовых и репутационных рисков до приемлемого уровня.

Для достижения указанной цели предлагается провести анализ защищенности Системы, и решить, таким образом, следующие задачи:

  • выявление недостатков в применяемых мерах информационной безопасности и оценка возможности их использования нарушителем;
  • практическая демонстрация возможности в примере использования уязвимостей (наиболее критических);
  • получение на основе объективных свидетельств комплексной оценки текущего уровня защищенности Системы;
  • выработка рекомендаций по устранению выявленных уязвимостей и недостатков с целью повышения уровня защищенности Системы.

  В ходе работ  используются методы и инструменты, позволяющие идентифицировать следующие классы уязвимостей:

  • ошибки в реализации механизмов аутентификации пользователей;
  • ошибки в реализации механизмов авторизации и разграничения доступа;
  • отсутствие или недостаточность механизмов противодействия атакам на пользователей web-приложений (межсайтовое выполнение сценариев, подделка запросов и т.п.);
  • уязвимости, приводящие к нарушению логики функционирования web-приложений (внедрение операторов SQL, выполнение команд операционной системы и т.п.);
  • раскрытие конфиденциальной информации, в том числе – раскрытие информации об особенностях реализации функций приложения, используемых программных компонентах и прочей информации, облегчающей нарушителю организацию атаки;
  • ошибки в реализации доступных пользователю функций приложения;
  • ошибки в настройке операционной системы, web-сервера, системы управления контентом и прочих компонентов web-приложения;
  • нагрузочные тестирования и проверка отказоустойчивости web-ресурса.

Также проводится:

  • Сетевое сканирование и анализ установленного ПО и средств защиты;
  • Сбор и анализ информации об имеющихся уязвимостях в обнаруженных версиях ПО, сервисах, конфигурациях.

Проведение всех этапов работ гарантирует:

  • Высокое качество экспертизы: работы проводятся специалистами, имеющими множество публикаций и являющимися признанными экспертами в области информационной безопасности web-приложений.
  • Соответствие международным стандартам: при проведении комплексного анализа защищенности web-приложений используются методические разработки Исполнителя и общепризнанные стандарты и руководства по обеспечению информационной безопасности, такие как:
    • Web Application Security Consortium Threat (WASC) Classification;
    • Open Web Application Security Project (OWASP) Testing Guide;
    • Стандарты серии ISO 27000;
    • Стандарты Center of Internet Security (CIS).
  • Обширные ресурсы: при работе используются передовые инструментальные средства анализа защищенности, как свободно распространяемые, так и коммерческие продукты.
  • Широкие возможности: эксперты обладают знаниями и обширным опытом как в сфере анализа защищенности распространенных платформ и технологий, так и в сфере безопасности специфичных систем.
  • Высокая эффективность: за счет использования уникальной системы трекинга обнаруженных уязвимостей специалисты одновременно выполняют анализ защищенности десятков ИС, обеспечивая при этом высокий уровень качества.

Комплексный аудит

Для реализации своевременных и актуальных мер по оценке состояния защищенности банковских информационных систем «ИТ Энигма» оказывает следующие услуги:

  • Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014);
  • Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы
  • Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014);
  • Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007);
  • Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».