Требования ИБ для бирж
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Требования по защите информации для организаторов торговли Алексей Лукацкий Бизнес-консультант по безопасности Cisco 28 February 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Что такое Национальная платежная система?
• Помимо традиционных денежных переводов в НПС входят Системы платежных карт Мобильный банкинг Телефонный банкинг Банкоматы и платежные терминалы ДБО Организаторы торговли (биржи) …
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Положение 382-П – основной документ по ИБ в НПС
Назначение и распределение прав и обязанностей
Этапы жизненного цикла объектов информационной инфраструктуры
Доступ к объектам информационной инфраструктуры
Защита от несанкционированного
доступа
Защита от вредоносного кода
Защита при использовании
Интернет и защита ДБО
Применение СКЗИ
Контроль выполнения технологии обработки
защищаемой информации
Организация и функционирование подразделения ИБ
Повышение осведомленности работников и клиентов
Выявление инцидентов и
реагирование на них
Регламентация и документирование деятельности по
обеспечению защиты информации
Оценка выполнения требований
Информирование оператора платежной
системы ее участниками об ОЗИ
Совершенствование инфраструктуры
защиты
Безопасность банкоматов и платежных терминалов
Безопасность платежных карт
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
ПОЛОЖЕНИЕ ПО ПРОВЕДЕНИЮ ОРГАНИЗОВАННЫХ ТОРГОВ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Положение Банка России 437-П
• Положение Банка России №437-П «Положение о деятельности по проведению организованных торгов» Утверждено 17.10.2014 Зарегистрировано в Минюсте 30.12.2014 Опубликовано в «Вестнике Банка России» №5 (1601) за 2015 год Вступило в силу 06.02.2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Что устанавливает положение?
• Организатор торговли утверждает внутренний документ, устанавливающий требования к порядку хранения и защиты информации и документов, связанных с проведением организованных торгов, а также к сроку их хранения, с учетом следующих положений
• Организатор торговли устанавливает перечень лиц, имеющих доступ к указанной информации и сведениям
• Биржа обязана обеспечить хранение и защиту всей информации о внебиржевых договорах купли-продажи товаров и ценных бумаг, предоставленной ей в соответствии с нормативными правовыми актами Правительства Российской Федерации и нормативными актами Банка России, устанавливающими обязанность по предоставлению указанной информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Защитные меры для организатора торговли
• Обеспечение защиты информации при управлении доступом и регистрацией
• Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем
• Обеспечение защиты информации средствами антивирусной защиты
• Обеспечение защиты информации при использовании ресурсов информационно-телекоммуникационной сети «Интернет»
• Обеспечение защиты информации при использовании средств криптографической защиты информации;
• Обеспечение защиты информации при назначении и распределении ролей
• Организация деятельности службы информационной безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Защитные меры для организатора торговли
• Управление рисками нарушения защиты информации
• Регламентация и документирование деятельности по обеспечению защиты информации
• Повышение осведомленности работников в области обеспечения защиты информации
• Обнаружение и реагирование на инциденты информационной̆ безопасности
• Мониторинг и анализ обеспечения защиты информации
• Своевременное совершенствование обеспечения защиты информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Требования по защите баз данных
• Определить порядок доступа к базам данных организатора торговли и обеспечить защиту от несанкционированного доступа к базам данных организатора торговли
• Определить порядок использования паролей и других средств, ограничивающих доступ к базам данных организатора торговли
• Установить принимаемые организатором торговли и участниками торгов меры, направленные на предотвращение сбоев и ошибок в работе средств проведения торгов
• Осуществлять ежедневное резервное копирование информации, содержащейся в реестрах, которые ведет организатор торговли
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Требования к организаторам торговли и 382-П Защитная мера 437-П 382-П
Обеспечение защиты информации при управлении доступом и регистрацией + + Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем + + Обеспечение защиты информации средствами антивирусной защиты + + Обеспечение защиты информации при использовании ресурсов информационно-телекоммуникационной сети «Интернет»
+ +
Обеспечение защиты информации при использовании средств криптографической защиты информации
+ +
Обеспечение защиты информации при назначении и распределении ролей + + Организация деятельности службы информационной безопасности + + Управление рисками нарушения защиты информации + - Регламентация и документирование деятельности по обеспечению защиты информации + + Повышение осведомленности работников в области обеспечения защиты информации + + Обнаружение и реагирование на инциденты информационной̆ безопасности + +
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Требования к организаторам торговли и 382-П
• Отличия между требованиями 437-П и 382-П состоят в детализации требований В 4-м разделе 437-П перечислены только сами требования, без деталей реализации
Защитная мера 437-П 382-П Контроль выполнения технологии обработки защищаемой информации - + Оценка выполнения требований - + Информирование оператора платежной системы ее участниками об ОЗИ - + Мониторинг и анализ обеспечения защиты информации + - Своевременное совершенствование обеспечения защиты информации + + Определить порядок доступа к базам данных организатора торговли и обеспечить защиту от несанкционированного доступа к базам данных организатора торговли
+ -
Определить порядок использования паролей и других средств, ограничивающих доступ к базам данных организатора торговли
+ -
Установить принимаемые организатором торговли и участниками торгов меры, направленные на предотвращение сбоев и ошибок в работе средств проведения торгов
+ -
Осуществлять ежедневное резервное копирование информации, содержащейся в реестрах, которые ведет организатор торговли
+ -
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Резюме
• Банк России унифицирует требования по защите информации в рамках Национальной платежной системы
• Положение 382-П является базой, на которой строятся и иные требования по защите информации в НПС
• Требований 437-П к организаторам торговли в основных категориях защитных мер совпадает с 382-П Можно предположить, что и надзор за соблюдением мер защиты организаторами торговли будет осуществляться в соответствие с 157-Т (внутренней методикой проведения оценки соответствия требованиям 382-П) или в соответствие с разрабатываемой методикой надзора, которую сейчас создает ДНПС
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Благодарю за внимание