Услуги

До момента появления отечественных стандартов в области ИБ банки и другие финансовые организации управляли безопасностью, основываясь на положениях внутренних нормативных документов. Начиная с середины двухтысячных годов Банк России начал разрабатывать документы, определяющие меры по безопасности информационных систем финансовых организаций. В настоящее время требования к ИБ организаций финансовой сферы установлены, в том числе, следующими документами Банка России или созданными при его участии:

ГОСТ Р 57580.1—2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.
Положение Банка России от 9 января 2019 г. № 672-П “О требованиях к защите информации в платежной системе Банка России”.
Положение Банка России от 17 апреля 2019 г. N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
Положение Банка России от 17 апреля 2019 г. N 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Положение Банка России от 4 июня 2020 года N 719-П О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.
В целом данные документы можно рассматривать как руководства, позволяющие финансовой организации понять, насколько полно мероприятия по обеспечению ИБ охватывают различные аспекты деятельности компании.

Документальное подтверждение соответствия информационной безопасности Банка существующим требованиям и стандарту.

Услуга по приведению в соответствие СТО БР ИББС включает:

• Оценка соответствия существующей СОБИ требованиям Стандарта.
• Проектирование, модернизацию и поставку элементов СОБИ.
• Разработка проектов организационно-распорядительной документации.
• Доработка уже существующих документов по процессам ИТ и ИБ в организации.
• Итоговая оценка системы обеспечения информационной безопасности кредитно-финансовой организации с декларированием уровня защищённости согласно методике ЦБ РФ.

Государственные (муниципальные) информационные системы (ГИС) – информационные системы, созданные на основании федеральных законов, законов субъектов Российской Федерации, правовых актов государственных органов или решений органов местного самоуправления.

Ключевым документом, устанавливающим обязательные требования к обеспечению защиты информации ограниченного доступа при ее обработке в государственных (муниципальных) информационных системах, является Приказ ФСТЭК России от 11.02.2013 № 17.

Требования этого приказа распространяются, в том числе, и на ГИС, обрабатывающие персональные данные (государственные ИСПДн). По решению обладателя информации (заказчика) или оператора информационной системы требования Приказа № 17 могут применяться и для защиты информации, содержащейся в негосударственных информационных системах.

В соответствии с этими требованиями создание системы защиты информации ГИС осуществляется в следующей последовательности:

• формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации и ввод ее в действие.

Применение комплексных и отдельных мер для обеспечения полнейшей защищенности информации как от намеренного хищения, так и от непреднамеренной утечки важной информации.

• разработка проектной документации на объект информатизации;
• контроль эксплуатации объектов информатизации;
• разработка технических заданий и организация мер по защите информации;
• составление протоколов испытаний, предписаний на право эксплуатации и другой документации по технической защите информации и обеспечению безопасности информации на объектах информатизации;
• экспертиза материалов, предназначенных для открытого опубликования;
• планирование и осуществление мероприятий по разграничению доступа работников к сведениям, составляющим коммерческую тайну;
• принятие мер по выявлению и закрытию возможных каналов утечки сведений;
• координация деятельности по вопросам защиты информации;
• анализ деятельности организации по обеспечению защиты информации;
• ведение учета нарушений и анализа их причины;
• участие в проведении служебных расследований в случае утраты либо хищения носителей сведений, составляющих коммерческую тайну, других нарушений режима конфиденциальности, а также по фактам разглашения сведений;
• участие в разработке развернутых и отдельных перечней сведений, нормативно-методических документов по вопросам защиты информации, осуществление контроля;
• участие в подготовке и инструктаже работников;
• участие в оформлении доступа работников, контроль за его сроком действия;
• участие в определении эффективности инженерно-технических средств охраны и разработке предложений по их совершенствованию;
  
• организация и ведение конфиденциального делопроизводства;
• выполнение иных функций, связанных с обеспечением защиты информации и ведением конфиденциального делопроизводства.

Положение № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» представляет собой документ, закрепляющий перечень требований по обеспечению безопасности при осуществлении переводов денежных средств для участников платежной системы Банка России, а также порядок проведения работ по оценке соответствия этим требованиям.

Требования положения являются обязательными для следующих субъектов платёжной системы:

• операторов по переводу денежных средств;
• банковских платежных агентов (субагентов);
• операторов платежных систем;
• операторов услуг платежной инфраструктуры.

Услуги:

Оценка соответствия требованиям Положения №382-П

Оценка соответствия может выполняться организацией самостоятельно или с привлечением внешней аудиторской компании. Привлечение внешних аудиторов позволяет квалифицированно и объективно оценить состояние защищенности инфраструктуры организации.

Услуга включает:

• Сбор и анализ документов и свидетельств выполнения требований информационной безопасности при осуществлении переводов денежных средств;
• Проведение оценки соответствия требованиям Положения № 382-П;
• Документальное оформление результатов, включая подготовку отчёта и расчетколичественных оценок;
• Разработка рекомендаций по совершенствованию системы и устранению выявленных несоответствий.
• Приведение документации в соответствие требованиям Положения №382-П

Наличие в организации внутренней нормативно-распорядительной документации, соответствующей требованиям Положения №382-П, является важнейшим критерием признания организации соответствующей требованиям Положения. В ходе инспекционных проверок, проводимых Банком России, имеющаяся документация всегда анализируется самым тщательным образом.

Услуга включает:

• Доработку существующих документов в соответствии с требованиями №382-П;
• Разработку отсутствующих документов.

Данная услуга может быть оказана только по результатам выполненной оценки соответствиятребованиям Положения №382-П.

Проектирование систем информационной безопасности (Проектирование систем ИБ). Анализ уязвимостей защищаемой информационной системы и проведение приемочных испытаний системы защиты информации

• Определение перечня угроз безопасности информации, разработка требований к системе защиты информации
• Создание индивидуального проекта системы защиты информации с учетом требований клиента
• Тестирование проектных решений системы защиты информации и разработка соответствующей эксплуатационной документации
• Поставка, установка и настройка средств защиты информации
• Внедрение организационных мер защиты информации и разработка необходимых организационно-распорядительных документов
• Анализ уязвимостей защищаемой информационной системы и проведение приемочных испытаний системы защиты информации
• Оценка соответствия объекта защиты требованиям по защите информации
• Выдача аттестата соответствия требованиям по защите информации
• Сопровождение системы защиты
• Внесение изменений в состав и структуру системы защиты информации по требованию клиента
• Распространение действия аттестата соответствия на вновь вводимые в эксплуатацию элементы объекта защиты (проведение дополнительных аттестационных испытаний)
• Консультирование клиента при проведении проверок со стороны контролирующих органов

Формально, тестирование на проникновение – один из элементов аудита защищенности информационной системы. В реальности, именно пентест позволяет оценить реальную защищенность IT-инфраструктуры от реальных атак потенциальных злоумышленников (и оценить зрелость IT-бизнес-процессов). Т.е. по факту – это возможность проверить, способна ли система защиты выявить и предотвратить попытку взлома информационной системы.

• Тест на проникновение внешнего веб-приложения, тестирование сети и конфигурации хоста.

Один тест на проникновение внешнего веб-приложения, черный ящик, а также тестирование сети и конфигурации хоста для хост-веб-сервера (и / или связанных устройств, таких как балансировщики нагрузки).

• Тест на проникновение внешнего веб-приложения, одно приложение или API.

Ручное или автоматическое тестирование на проникновение: оба
Доказательства, сделанные вручную: копия файла ручных заметок
Автоматические доказательства: копия отчета об автоматическом сканировании

• Тест на проникновение в конфигурацию внешней сети и хоста, до 32 IP-адресов.

Ручное или автоматическое тестирование на проникновение: оба
Доказательства, сделанные вручную: копия файла ручных заметок.
Автоматические доказательства: копия отчета об автоматическом сканировании

Тестирование на проникновение отличается от действий хакера. Задача специалистов, выполняющих пентест – минимизация воздействия. Иногда до 30% уязвимостей при выявлении не проверяется в виду технических рисков нарушения работоспособности ИС. Полностью исключаются все возможные проверки, способные привести к отказу в обслуживании. Свои ограничения также накладывает необходимость соблюдения законодательства Российской Федерации.

Самое главное – все действия заранее согласовываются. Выделяются ресурсы, которые подлежат проверке, определяется перечень, какие атаки можно и какие нельзя выполнять. У организации, проводящей тестирование на проникновение, возникает юридическая ответственность за все последствия тестирования.
Ответственность за свои действия – ключевое отличие специалиста по пентесту от хакера. Такой специалист – это этичный хакер (белый хакер, white hacker, white hat), цель которых –повысить защищенность анализируемых систем.

Поддержка служб безопасности включает в себя многолетний опыт, знания и обширный набор инструментов для мониторинга угроз безопасности, регулярного обновления систем и устранения уязвимостей по доступной цене.

Профессиональные услуги безопасности помогают поддерживать правильные уровни безопасности, включая автоматическое исправление программного обеспечения, безопасность DNS, брандмауэры, защиту от вредоносных программ, антифишинговое программное обеспечение, менеджеры паролей, инструменты управления идентификацией и доступом (IAM) и многое другое, чтобы снизить риск раскрытия данных. неавторизованным пользователям.

Услуги аутсорсинга по обеспечению безопасности позволяют получить доступ к высококвалифицированным специалистам, обладающим новейшими технологиями, для поддержания безопасности в вашей организации. И это тоже без ущерба для банка! Эти поставщики услуг могут распределять затраты на эти инструменты и оборудование между несколькими клиентами, сокращая ваши общие расходы на тот же уровень обслуживания.

Поставщики услуг по обеспечению безопасности на основе аутсорсинга управляют большей частью возникающих для вас бизнес-рисков, обладая специальными отраслевыми знаниями и опытом, особенно в отношении соблюдения нормативных требований.

Совершенно непрактично ожидать, что ваша команда разработчиков устранит все уязвимости системы безопасности или наймет команду специалистов по безопасности для одного проекта, а затем время от времени обучит этих людей выполнять свои задачи.

Что делать, если вы хотите приостановить проект на несколько месяцев? Что делать, если у вас будет простой на несколько недель?

Вы по-прежнему будете платить значительную часть своего бюджета внутренней службе безопасности. Однако, отдав управление безопасностью на аутсорсинг, вы можете проявить гибкость.

Одним из самых больших преимуществ аутсорсинга служб безопасности является то, что это можно делать по мере необходимости. Это дает предприятиям возможность быстро найти уже обученный и знающий персонал, способный справиться с динамичным объемом бизнеса.

Привлекая к аутсорсингу, вы будете иметь необходимый талант и ресурсы