Защита информации в национальной платежной системе
Post on 27-May-2015
1.953 Views
Preview:
DESCRIPTION
TRANSCRIPT
Защита информации в национальной платежной системе
+7 (495) 921 1410 / www.leta.ruНоябрь 2012
Игорь Бурцев, Константин МалюшкинДепартамент внедрения и консалтинга ЗАО «ЛЕТА»
2
ЗНАКОМСТВО
Игорь Бурцев Константин Малюшкин
Опыт работы в банковской сфере;
Опыт реализации различных проектовпо информационной безопасности:
Сертифицированные ABISS специалисты
по внедрению и аудиту стандарта СТО БР ИББС-1.0;
( )
3
О ЧЕМ ПОГОВОРИМ
Часть 1. Основы регулирования НПС. Требования законодательства и документов Банка России по защите информации в НПС
Часть 3. Сравнение требований Положения Банка России №382-П и стандарта СТО БР ИББС-1.0
Часть 2. Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС
Часть 4. Практические аспекты реализации требований нормативных документов по защите информации в НПС
ВОПРОСЫ И ОТВЕТЫ
4
Часть 1. Основы регулирования НПС. Требования законодательства и документов Банка России по защите информации в НПС
5
ПРЕДЫСТОРИЯ НПС
Национальная система платежных карт (НСПК) – проект создания в РФ альтернативы международным платежным системам Visa и Mastercard с целью: функционирования на национальном уровне независимой от влияния
международных платежных систем структуры расчетов по карточкам;
реализация социальной функции, используя карты НСПК в качестве
основы для предоставления различных госуслуг в электронном виде
(УЭК – универсальная электронная карта)
НПС ≠ НСПК
6
ЧТО ТАКОЕ НПС
Национальная платежная система – элемент нормативного регулирования деятельности по переводам денежных средств. Операторы по переводу денежных средств
(включая операторов электронных денежных средств);
Операторы платежных систем;
Операторы услуг платежной инфраструктуры;
Банковские платежные агенты (субагенты);
Платежные агенты;
Организации федеральной почтовой связи при оказании ими платежных услуг в соответствии с зак-ов РФ.
Субъекты НПС
7
ПЛАТЕЖНАЯ СИСТЕМА
Платежная система (ПС) – совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств.
Примеры платежных систем: Платежная система Банка России Золотая Корона Visa Яндекс.Деньги Western Union Contact
8
ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ
Оператор платежной системы (ОПС) – организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные 161-ФЗ.
Оператором платежной системы может являться: кредитная организация, организация, не являющаяся кредитной организацией, Банк России; Внешэкономбанк.
Организация, намеревающаяся стать оператором ПС, должна направить в Банк России регистрационное заявление по форме и в порядке, которые установлены Банком России.
9
РЕЕСТР ОПЕРАТОРОВ ПЛАТЕЖНОЙ СИСТЕМ
10
ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ
На данный момент в рамках НПС официально присутствует 6 операторов платежных систем:
Банк России –Платежная система Банка России
АКБ «РУССЛАВБАНК» (ЗАО) – Платежная система CONTACT
161-ФЗ (ст. 15) и Положение ЦБ 378-П «О порядке направления в Банк России заявление о регистрации ОПС»
161-ФЗ (ст. 15) и Положение ЦБ РФ № 384-П «О платежной системе Банка России»
ЗАО «Национальные кредитные карточки» –Платежная система NCC (NATIONAL CREDIT CARDS) (РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК»)
ОАО КБ «ЮНИСТРИМ» –Система денежных переводов «ЮНИСТРИМ»
ООО «НКО «Вестерн Юнион ДП Восток» –Платежная Система Вестерн Юнион(РЦ – ОАО Банк ВТБ и НКО «ОРС» (ОАО))
ЗАО «Процессинговая компания «Юнион Кард» –Платежная система «Юнион Кард» (UNION CARD)(РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК«)
11
ОПЕРАТОР ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ
Оператор по переводу денежных средств (ОПДС) – организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств.
Операторами по переводу денежных средств являются: Банк России; кредитные организации, имеющие право на осуществление перевода
денежных средств; Внешэкономбанк.
Все банки являются ОПДС, так как, как минимум, они являются участниками платежной системы Банка России.
12
ОПЕРАТОР УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ
Оператор услуг платежной инфраструктуры (ОУПИ):
• доступ к услугам по переводу денежных средств;
• обмен электронными сообщениями между участниками ПС
Операционный центр
• сверка расчетов между участниками ПС и вывод о достаточности денежных средств плательщика для совершения расчетов
Платежный клиринговый
центр
• Произведение расчетов между участников ПСРасчетный центр
ОУПИ может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк (кроме РЦ – только кредитная организация)
13
БАНКОВСКИЕ ПЛАТЕЖНЫЕ АГЕНТЫ И СУБАГЕНТЫ
Банковский платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления деятельности, предусмотренной ФЗ-161.
Банковский платежный субагент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления деятельности, предусмотренной ФЗ-161.
14
КАКОВА ВАША РОЛЬ В НПС ?
Платежный агент
Банковские платежный
субагент
Оператор платежной системы
Оператор по переводу денежных
средств
Оператор электронных
денежных средств
Операционный центр
Банковский платежный агент
Платежный клиринговый
центр
Расчетный центр
15
НОРМАТИВНЫЕ ДОКУМЕНТЫ ПО НПС
16
НОРМАТИВНЫЕ ДОКУМЕНТЫ ПО НПС
17
161-ФЗ «О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ»
Статья 27. Обеспечение защиты информации в платежной системе(вступила в силу с 01.07.2012)
Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать:
защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством РФ:
Требования к защите указанной информации устанавливает Правительство РФ. Контроль и надзор за выполнением установленных требований осуществляются ФСБ
России и ФСТЭК России, в пределах их полномочий и без права ознакомления с защищаемой информацией.
Постановление Правительства РФ от 13 июня 2012 г. № 584
защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России:
Требования согласовываются ФСБ России и ФСТЭК России. Контроль за соблюдением установленных требований осуществляется Банком
России в рамках надзора в НПС в установленном им порядке, согласованном с ФСБ России и ФСТЭК России.
Положение Банка России от 9 июня 2012 г. № 382-П
18
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584ЧТО РЕГУЛИРУЕТ ?
Устанавливает требования к защите информации в платежной системе.
Защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами ПС в правила ПС в том числе в соответствии с настоящим Положением.
Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер…
Для проведения работ по защите информации могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по ТЗКИ и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.
Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по ТКЗИ.
19
Требования к составу правил платежной системы:
1. создание службы ИБ или назначение должностного лица, ответственного за организацию защиты информации;
2. включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;
3. определение угроз безопасности информации и анализ уязвимости ИС;
4. анализ и управление рисками нарушения требований к защите информации;
5. разработка и реализация систем защиты информации в ИС;
6. применение средств защиты информации;
7. выявление и реагирование на инциденты ИБ;
8. обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
9. определение порядка доступа к объектам инфраструктуры ПС, обрабатывающим информацию;
10. организация и проведение контроля и оценки соответствия на собственных объектах инфраструктуры не реже 1 раза в 2 года.
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584ТРЕБОВАНИЯ К ПРАВИЛАМ ПЛАТЕЖНОЙ СИСТЕМЫ
20
Требования к составу применяемых СЗИ:
шифровальные (криптографические) средства,
СЗИ информации от несанкционированного доступа,
средства антивирусной защиты,
средства межсетевого экранирования,
системы обнаружения вторжений,
средства контроля (анализа) защищенности
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584ЧЕМ ЗАЩИЩАТЬ ?
21
ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-ПЧТО РЕГУЛИРУЕТ ?
Устанавливает конкретные требования к защите информации при осуществлении переводов денежных средств, обязательные для выполнения:
Устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в НПС.
Субъект НПСНеобходимость
выполненияКонтроль
выполнения
Оператор платежной системы + Банк России
Оператор по переводу денежных средств + Банк России
Оператор услуг платежной инфраструктуры + Банк России
Банковские платежные агенты (субагенты) + ОПДС
Клиенты – –
22
Всего 129 частных требований, сгруппированных в 14 разделов
ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-ППРИМЕНИМОСТЬ К РАЗЛИЧНЫМ ТИПАМ СУБЪЕКТОВ НПС
Сокращения: ОПС – оператор платежной системы;ОПДС – оператор по переводу денежных средств;ОУПИ – оператор услуг платежной инфраструктуры; БПА (БПСА) – банковские платежные агенты (субагенты) юрлица / ИП
23
ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-ППРИМЕНИМОСТЬ К РАЗЛИЧНЫМ ТИПАМ СУБЪЕКТОВ НПС
24
УКАЗАНИЕ БАНКА РОССИИ № 2831-У
Форма 0403202 «Сведения о выполнении ОПС, ОУПИ, ОПДС требований к обеспечению защиты информации при осуществлении переводов денежных средств»:
предоставляется не позднее 30-ти рабочих дней со дня завершения проведения оценки соответствия требованиям 382-П
Форма 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств»:
предоставляется ОУПИ, ОПДС ежемесячно не позднее 10-го рабочего дня месяца, следующего за отчетным;
25
Часть 2. Организация и проведение оценки выполнения требований к обеспечению
защиты информации в НПС
26
ПРОВЕДЕНИЕ ОЦЕНКИ СООТВЕТСТВИЯ
Положение Банка России от 9 июня 2012 г. № 382-П
ОПДС, ОПС, ОУПИ обеспечивают проведение оценки выполнения требований к обеспечению защиты информации при осуществлении перевода денежных средств (оценка соответствия).
Оценка соответствия проводится не реже одного раза в два года, а также по требованию Банка России.
Оценка соответствия осуществляется операторами самостоятельно или с привлечением сторонних организаций.
Порядок проведения оценки соответствия и документирования ее результатов определен в Приложение 1 к 382-П.
Перечень требований, выполнение которых проверяется при проведении оценки соответствия определен в Приложении 2 к 382-П.
27
МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ
Итоговый показатель Rпс
…
Свидетельства анализ документов, опросы и наблюдения
Обобщающий показатель EV1пс
Обобщающий показатель EV2пс
ГП07 (п.2.10 382-П)
П.71 (п.2.10.1)
. . .
П.81 (п.2.10.4)
ГП01 (п.2.4 382-П)
П.1 (п.2.4.1)
. . .
П.7 (п.2.4.3)
…
ГП14 (п.2.17 382-П)
П.121 (п.2.17.1)
. . .
П.129 (п.2.17.3)
ГП09 (п.2.11 382-П)
П.82 (п.2.11.1)
. . .
П.92 (п.2.11.3)
k2k1
MIN
28
РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ
EV1ПС
EV2ПС
RПС = MIN(EV1ПС, EV2ПС))
~ k1
~ k2
29
КАТЕГОРИИ ТРЕБОВАНИЙ
Предусмотрено 3 категории проверки требования:
требования категория проверки 1 – реализуемые применением организационных мер защиты информации или использованием технических средств защиты информации;
требования категория проверки 2 – устанавливают необходимость обеспечения наличия определенного 382-П документа;
требования категория проверки 3 – устанавливают необходимость выполнения определенной 382-П деятельности.
0,25 0,5 0,75 10
10
0,5 10
30
РЕЗУЛЬТАТЫ ОЦЕНКИ СООТВЕТСТВИЯ
Значение Rпс Оценка работы по обеспечению ЗИ при осуществлении ПДС
Rпс >= 0.85На необходимом уровне обеспечивает выполнение установленных требований
0,7 <= Rпс < 0,85В целом обеспечивает выполнение установленных требований
0,5 <= Rпс < 0,7Не в полной мере обеспечивает выполнение установленных требований
Rпс < 0,5Не обеспечивает выполнение установленных требований
31
ФОРМЫ ДОКУМЕНТИРОВАНИЯ
Предусмотрено 2 формы документирования результатов:
Форма 1. Документирование результатов оценки соответствия
Форма 2. Документирование результатов вычислений обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении ПДС
32
АВТОМАТИЗАЦИЯ ОЦЕНКИ СООТВЕТСТВИЯ
ISM Revision: NPS Auditor
Ускорение и упрощение процедуры оценки соответствия;
Возможность совместной работы группы специалистов
Наличие дополнительной аналитики по оценке требований;
Возможность централизованного хранения всей информации о проведенной оценке соответствия
33
АВТОМАТИЗАЦИЯ ОЦЕНКИ СООТВЕТСТВИЯ
34
Часть 3. Сравнение требований Положения Банка России №382-П и стандарта СТО БР
ИББС-1.0
35
ГРУППЫ ТРЕБОВАНИЙ – СТО БР ИББС-1.0
Распределение ролей и
обязанностей
Этапы жизненного цикла АБС
Доступ и регистрация
событий
Антивирусная защита
Использование сети Интернет
Применение СКЗИ Безопасность платежных ТП
Безопасность информационных
ТП
Организация обработки ПДн
Классификация ИСПДн
Организация службы ИБ Оценка рисков ИБ Область действия
СОИБ
Разработка внутренних документов
Решения руководства о
реализации СОИБ
Внедрение СОИБОбучение и повышение
осведомленности
Выявление инцидентов ИБ и реагирование на
них
Непрерывность бизнеса и
восстановление деятельности
Мониторинг и контроль защитных
мер
Самооценка ИБ и Аудит ИБ
Анализ функционирования
СОИБ
Анализ СОИБ руководством
Тактические улучшения
Стратегические улучшения
36
ГРУППЫ ТРЕБОВАНИЙ – ПОЛОЖЕНИЕ 382-П
Распределение ролей и
обязанностей
Этапы жизненного цикла АБС
Доступ и регистрация
событий
Антивирусная защита
Использование сети Интернет
Применение СКЗИ Безопасность платежных ТП
Безопасность информационных
ТП
Организация обработки ПДн
Классификация ИСПДн
Организация подразделения ИБ Оценка рисков ИБ Область действия
СОИБ
Разработка внутренних документов
Решения руководства о
реализации СОИБ
Планирование и внедрение СОИБ
Обучение и повышение
осведомленности
Выявление инцидентов ИБ и реагирование на
них
Непрерывность бизнеса и
восстановление деятельности
Мониторинг и контроль защитных
мер
Самооценка ИБ и аудит ИБ
Анализ функционирования
СОИБ
Анализ СОИБ руководством
Тактические улучшения
Стратегические улучшения
37
ЧТО НОВОГО ПО СРАВНЕНИЮ С СТО БР ИББС?
Отсутствие требования сертификации средств защиты
Информирование клиентов о новых угрозах и рисках и рекомендациях по их нейтрализации/управлению
Акцент на работу по выявлению и реагированию на инциденты и информированию ОПДС и ОУПИ о выявленных инцидентах
Новая методика оценки соответствия требованиям по ИБ (возможна и самооценка, и оценка с привлечением внешней организации)
Введение обязательных форм отчетности по обеспечению защиты информации при осуществлении переводов денежных средств
38
ИНФОРМИРОВАНИЕ ОПС
Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать оператора платежной системы о том, как они осуществляют защиту информации
Необходимо информировать: о степени выполнения требований к обеспечению защиты информации
при осуществлении переводов денежных средств; о реализации порядка обеспечения защиты информации при
осуществлении переводов денежных средств; о выявленных инцидентах, связанных с нарушениями требований к
обеспечению защиты информации при осуществлении переводов денежных средств;
о результатах проведенных оценок соответствия; о выявленных угрозах и уязвимостях в обеспечении защиты
информации
39
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ
Статья 15.36 КОАП РФ «Неисполнение предписания Банка России, направленного им при осуществлении надзора в НПС»«Повторное в течение года неисполнение оператором платежной системы, операционным центром, платежным клиринговым центром предписания Банка России, направленного им при осуществлении надзора в НПС, влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей».
40
Часть 4. Практические аспекты реализации требований нормативных документов по
защите информации в НПС
41
ПЕРЕЧЕНЬ НЕОБХОДИМЫХ МЕР ЗАЩИТЫ
Закон предусматривает два вида защитных мер
Организационные меры: Формирование службы ИБ; Документирование процедур:
Выявления инцидентов и реагирования на них;
Обучения и повышения осведомленности;
Применения средств защиты;
И пр. Распределение обязанностей; Регулярная оценка соответствия
Технические меры: Системы IDM / IAM; Защита информации от НСД; Средства антивирусной защиты; Средства МСЭ; Системы IDS/IPS; Системы веб-фильтрации; Средства построения VPN сетей; Средства анализа защищенности; СКЗИ; Сбор и анализ событий; Архивирование и backup
42
Распределение ролей и обязанностей
Частная политика по обеспечению ИБ при назначении и распределении ролей
Инструкция пользователя по ИБ
Приказ о распределении ролей и ответственности в области
обеспечения ИБ
IDM / IAM
ЗАЩИТНЫЕ МЕРЫ
43
Этапы жизненного цикла объектов ИИ
Частная политика по обеспечению ИБ на стадиях жизненного цикла системы защиты информации
Технические задания, ПМИ, эксплуатационная документацияПорядок обеспечения ИБ при обслуживании АРМ и серверов
Планы внедрения/модернизации, Протоколы испытаний, Акты ввода/вывода из эксплуатации
ЗАЩИТНЫЕ МЕРЫ
Backup
44
Доступ к объектам ИИ
Политика ИБ / Частная политика по управлению доступом
Порядок управления доступом к информационным ресурсам
Порядок регистрации и анализа действий и операций
Матрица функциональных ролей/полномочий доступа
IDM / IAM
ЗАЩИТНЫЕ МЕРЫ
45
Антивирусная защита
Политика ИБ / Частная политика по обеспечению антивирусной защиты
Порядок обеспечения антивирусной защиты
Журналы проверок на наличие вирусов
Антивирусы
ЗАЩИТНЫЕ МЕРЫ
46
Использование сети Интернет
Частная политика обеспечения ИБ при использовании ресурсов сети Интернет
Регламент использования сети ИнтернетИнструкция по ИБ для пользователя
Список правил межсетевого экранирования
Список запрещенных сайтов / портовРекомендации для клиентов (в договор)
FirewallProxy
Web-filtering
IDS / IPS
ЗАЩИТНЫЕ МЕРЫ
47
Применение СКЗИ
Политика ИБ / Частная политика применения СКЗИ
Порядок применения СКЗИПорядок восстановления работоспособности СКЗИ
Правила управления ключевой системой
Журнал учета выдачи СКЗИ (ключевых носителей)
Приказ о назначении ответственных за работу с СКЗИ
УЦVPN
СКЗИ
ЗАЩИТНЫЕ МЕРЫ
48
Безопасность платежных ТП
Политика ИБ / Частная политика обеспечения ИБ платежных ТП
Порядок обеспечения ИБ при осуществлении ПДС
Порядок регистрации операций по ПДСПорядок обеспечения ИБ при
обслуживании АРМ и серверов
Электронный журнал о выполнении операций по ПДС
ЭПЛогирование
СКЗИ
ЗАЩИТНЫЕ МЕРЫ
49
Выявление инцидентов
Политика ИБ / Частная политика по управлению инцидентами при выполнении операций по ПДС
Порядок управления инцидентамиПорядок мониторинга и контроля
защитных мерИнструкция по ИБ для пользователей
Приказ о создании группы реагирования на инциденты
Журнал регистрации инцидентов
ЛогированиеSIEM
ЗАЩИТНЫЕ МЕРЫ
IDS / IPS
Сканеры защищенности
50
Организация подразделения ИБ
Стратегия ИБПолитика ИБ
Положение о подразделении ИБДолжностные инструкции сотрудников
подразделения ИБ
Приказ о формировании подразделения ИБПриказ о назначении куратора ИБ
ЗАЩИТНЫЕ МЕРЫ
51
ЗАЩИТНЫЕ МЕРЫ
Обучение и повышение осведомленности
Политика ИБ
Порядок обучения и повышения осведомленности в области ИБ
Программа повышения осведомленности
Приказ о проведении обученияЖурнал регистрации сотрудников,
прошедших обучение
52
ЗАЩИТНЫЕ МЕРЫ
Оценка соответствия требованиям ФЗ-161
Политика ИБ
Порядок организации и проведения аудитов и самооценокПрограмма проведения аудитов и самооценок
Приказ о проведении самооценки/аудитаПриказ о создании рабочей группы / аудиторской группы
Договор с внешней организациейОтчет о проведении самооценки / аудита
53
КОМПЛЕКСНЫЙ ПОДХОД
+7 (495) 921 1410 / www.leta.ru
Внедрение в организации стандарта СТО БР ИББС позволит максимально упростить процесс приведения в соответствие требованиям ФЗ-161
Требуется минимум усилий на выполнение требований ФЗ-161, если в организации уже проводилась работа по внедрению стандарта
54
УСЛУГИ КОМПАНИИ
Основные работы:
Оценка выполнения требований к обеспечению защиты информации при
осуществлении переводов денежных средств (оценка соответствия);
Разработка рекомендаций по совершенствованию СОИБ в соответствии
с требованиями нормативных документов по защите информации в НПС;
Разработка и (или) совершенствование существующей организационно-
распорядительной документации по ИБ;
Техническое проектирование системы ИБ (разработка ТЗ на
построение / совершенствование системы ИБ, выбор и обоснование
возможных вариантов технических решений - ЭП);
Внедрение технических средств защиты информации.
55
А также:
Анализ защищенности информационных систем (выявление уязвимостей
программного обеспечения);
Повышение осведомленности по вопросам обеспечения
информационной безопасности и защите информации при
осуществлении переводов денежных средств;
Проведение инвентаризации информационных активов и оценки рисков
информационной безопасности.
УСЛУГИ КОМПАНИИ
56
ТЕХНИЧЕСКИЕ РЕШЕНИЯ ПОД НПС
В рамках нормативных документов по НПС предусмотрено применение следующих средств защиты:
шифровальные (криптографические) средства защиты
средства защиты информации от несанкционированного доступа,
средства антивирусной защиты,
средства межсетевого экранирования,
системы обнаружения вторжений,
средства контроля (анализа) защищенности
и др. решения...
57
МЕТОДОЛОГИЯ LETA
Реализация СОИБ
Планирование СОИБ
Проверка СОИБ
Совершенствование СОИБ
1. Предварительная оценка соответствия
4. Аудит ИБ
3. Реализация требований ИБ и
отработка процессов СОИБ
2. Проектирование СОИБ
5. Принятие организацией БС РФ решений о
необходимости улучшений
Инвентаризация процессов ПДС
58
Вопросы
59
КОНТАКТНАЯ ИНФОРМАЦИЯ
Компания LETA109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410www.leta.ru
IBurcev@leta.ru KMalyushkin@leta.ru
Игорь Бурцев Константин Малюшкин
top related