SlideShare ist ein Scribd-Unternehmen logo

Требования ИБ для бирж

Aleksey Lukatskiy
Aleksey Lukatskiy

Требования Банка России по ИБ для организаторов торговли

Recht
1 von 13
Downloaden Sie, um offline zu lesen
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Требования по защите информации для организаторов торговли Алексей Лукацкий Бизнес-консультант по безопасности Cisco 28 February 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Что такое Национальная платежная система? •  Помимо традиционных денежных переводов в НПС входят Системы платежных карт Мобильный банкинг Телефонный банкинг Банкоматы и платежные терминалы ДБО Организаторы торговли (биржи) …
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Положение 382-П – основной документ по ИБ в НПС Назначение и распределение прав и обязанностей Этапы жизненного цикла объектов информационной инфраструктуры Доступ к объектам информационной инфраструктуры Защита от несанкционированного доступа Защита от вредоносного кода Защита при использовании Интернет и защита ДБО Применение СКЗИ Контроль выполнения технологии обработки защищаемой информации Организация и функционирование подразделения ИБ Повышение осведомленности работников и клиентов Выявление инцидентов и реагирование на них Регламентация и документирование деятельности по обеспечению защиты информации Оценка выполнения требований Информирование оператора платежной системы ее участниками об ОЗИ Совершенствование инфраструктуры защиты Безопасность банкоматов и платежных терминалов Безопасность платежных карт
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 ПОЛОЖЕНИЕ ПО ПРОВЕДЕНИЮ ОРГАНИЗОВАННЫХ ТОРГОВ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Положение Банка России 437-П •  Положение Банка России №437-П «Положение о деятельности по проведению организованных торгов» Утверждено 17.10.2014 Зарегистрировано в Минюсте 30.12.2014 Опубликовано в «Вестнике Банка России» №5 (1601) за 2015 год Вступило в силу 06.02.2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Что устанавливает положение? •  Организатор торговли утверждает внутренний документ, устанавливающий требования к порядку хранения и защиты информации и документов, связанных с проведением организованных торгов, а также к сроку их хранения, с учетом следующих положений •  Организатор торговли устанавливает перечень лиц, имеющих доступ к указанной информации и сведениям •  Биржа обязана обеспечить хранение и защиту всей информации о внебиржевых договорах купли-продажи товаров и ценных бумаг, предоставленной ей в соответствии с нормативными правовыми актами Правительства Российской Федерации и нормативными актами Банка России, устанавливающими обязанность по предоставлению указанной информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Защитные меры для организатора торговли •  Обеспечение защиты информации при управлении доступом и регистрацией •  Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем •  Обеспечение защиты информации средствами антивирусной защиты •  Обеспечение защиты информации при использовании ресурсов информационно- телекоммуникационной сети «Интернет» •  Обеспечение защиты информации при использовании средств криптографической защиты информации; •  Обеспечение защиты информации при назначении и распределении ролей •  Организация деятельности службы информационной безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Защитные меры для организатора торговли •  Управление рисками нарушения защиты информации •  Регламентация и документирование деятельности по обеспечению защиты информации •  Повышение осведомленности работников в области обеспечения защиты информации •  Обнаружение и реагирование на инциденты информационной̆ безопасности •  Мониторинг и анализ обеспечения защиты информации •  Своевременное совершенствование обеспечения защиты информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Требования по защите баз данных •  Определить порядок доступа к базам данных организатора торговли и обеспечить защиту от несанкционированного доступа к базам данных организатора торговли •  Определить порядок использования паролей и других средств, ограничивающих доступ к базам данных организатора торговли •  Установить принимаемые организатором торговли и участниками торгов меры, направленные на предотвращение сбоев и ошибок в работе средств проведения торгов •  Осуществлять ежедневное резервное копирование информации, содержащейся в реестрах, которые ведет организатор торговли
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Требования к организаторам торговли и 382-П Защитная мера 437-П 382-П Обеспечение защиты информации при управлении доступом и регистрацией + + Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем + + Обеспечение защиты информации средствами антивирусной защиты + + Обеспечение защиты информации при использовании ресурсов информационно- телекоммуникационной сети «Интернет» + + Обеспечение защиты информации при использовании средств криптографической защиты информации + + Обеспечение защиты информации при назначении и распределении ролей + + Организация деятельности службы информационной безопасности + + Управление рисками нарушения защиты информации + - Регламентация и документирование деятельности по обеспечению защиты информации + + Повышение осведомленности работников в области обеспечения защиты информации + + Обнаружение и реагирование на инциденты информационной̆ безопасности + +
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Требования к организаторам торговли и 382-П •  Отличия между требованиями 437-П и 382-П состоят в детализации требований В 4-м разделе 437-П перечислены только сами требования, без деталей реализации Защитная мера 437-П 382-П Контроль выполнения технологии обработки защищаемой информации - + Оценка выполнения требований - + Информирование оператора платежной системы ее участниками об ОЗИ - + Мониторинг и анализ обеспечения защиты информации + - Своевременное совершенствование обеспечения защиты информации + + Определить порядок доступа к базам данных организатора торговли и обеспечить защиту от несанкционированного доступа к базам данных организатора торговли + - Определить порядок использования паролей и других средств, ограничивающих доступ к базам данных организатора торговли + - Установить принимаемые организатором торговли и участниками торгов меры, направленные на предотвращение сбоев и ошибок в работе средств проведения торгов + - Осуществлять ежедневное резервное копирование информации, содержащейся в реестрах, которые ведет организатор торговли + -
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Резюме •  Банк России унифицирует требования по защите информации в рамках Национальной платежной системы •  Положение 382-П является базой, на которой строятся и иные требования по защите информации в НПС •  Требований 437-П к организаторам торговли в основных категориях защитных мер совпадает с 382-П Можно предположить, что и надзор за соблюдением мер защиты организаторами торговли будет осуществляться в соответствие с 157-Т (внутренней методикой проведения оценки соответствия требованиям 382-П) или в соответствие с разрабатываемой методикой надзора, которую сейчас создает ДНПС
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Благодарю за внимание

Empfohlen

Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
Aleksey Lukatskiy
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
 

Empfohlen

Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
Aleksey Lukatskiy
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
Aleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
Aleksey Lukatskiy
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
Aleksey Lukatskiy
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
Aleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
Aleksey Lukatskiy
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
Aleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
Aleksey Lukatskiy
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Aleksey Lukatskiy
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
Aleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 

Was ist angesagt? (20)

Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
 

Andere mochten auch

Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Aleksey Lukatskiy
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
Aleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
 
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?
Aleksey Lukatskiy
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
Aleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
Aleksey Lukatskiy
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
Aleksey Lukatskiy
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
Aleksey Lukatskiy
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about security
Aleksey Lukatskiy
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным данным
Aleksey Lukatskiy
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
Aleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
Aleksey Lukatskiy
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security Strategy
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
 

Andere mochten auch (20)

Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
 
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Security And Crisis
Security And CrisisSecurity And Crisis
Security And Crisis
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about security
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным данным
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security Strategy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
 
Cyberwarfare examples
Cyberwarfare examplesCyberwarfare examples
Cyberwarfare examples
 

Ähnlich wie Требования ИБ для бирж

Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
finopolis
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
Tim Parson
 
Аудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере БанкаАудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере Банка
imbasoft ru
 
Список мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данныхСписок мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данных
SiteSecure
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Expolink
 

Ähnlich wie Требования ИБ для бирж (20)

Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленности
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdf
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdf
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
 
Аудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере БанкаАудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере Банка
 
Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?
 
Аттестация
АттестацияАттестация
Аттестация
 
Список мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данныхСписок мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данных
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычислений
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 

Mehr von Aleksey Lukatskiy

Mehr von Aleksey Lukatskiy (20)

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 

Требования ИБ для бирж

  • 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Требования по защите информации для организаторов торговли Алексей Лукацкий Бизнес-консультант по безопасности Cisco 28 February 2015
  • 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Что такое Национальная платежная система? •  Помимо традиционных денежных переводов в НПС входят Системы платежных карт Мобильный банкинг Телефонный банкинг Банкоматы и платежные терминалы ДБО Организаторы торговли (биржи) …
  • 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Положение 382-П – основной документ по ИБ в НПС Назначение и распределение прав и обязанностей Этапы жизненного цикла объектов информационной инфраструктуры Доступ к объектам информационной инфраструктуры Защита от несанкционированного доступа Защита от вредоносного кода Защита при использовании Интернет и защита ДБО Применение СКЗИ Контроль выполнения технологии обработки защищаемой информации Организация и функционирование подразделения ИБ Повышение осведомленности работников и клиентов Выявление инцидентов и реагирование на них Регламентация и документирование деятельности по обеспечению защиты информации Оценка выполнения требований Информирование оператора платежной системы ее участниками об ОЗИ Совершенствование инфраструктуры защиты Безопасность банкоматов и платежных терминалов Безопасность платежных карт
  • 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 ПОЛОЖЕНИЕ ПО ПРОВЕДЕНИЮ ОРГАНИЗОВАННЫХ ТОРГОВ
  • 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Положение Банка России 437-П •  Положение Банка России №437-П «Положение о деятельности по проведению организованных торгов» Утверждено 17.10.2014 Зарегистрировано в Минюсте 30.12.2014 Опубликовано в «Вестнике Банка России» №5 (1601) за 2015 год Вступило в силу 06.02.2015
  • 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Что устанавливает положение? •  Организатор торговли утверждает внутренний документ, устанавливающий требования к порядку хранения и защиты информации и документов, связанных с проведением организованных торгов, а также к сроку их хранения, с учетом следующих положений •  Организатор торговли устанавливает перечень лиц, имеющих доступ к указанной информации и сведениям •  Биржа обязана обеспечить хранение и защиту всей информации о внебиржевых договорах купли-продажи товаров и ценных бумаг, предоставленной ей в соответствии с нормативными правовыми актами Правительства Российской Федерации и нормативными актами Банка России, устанавливающими обязанность по предоставлению указанной информации
  • 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Защитные меры для организатора торговли •  Обеспечение защиты информации при управлении доступом и регистрацией •  Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем •  Обеспечение защиты информации средствами антивирусной защиты •  Обеспечение защиты информации при использовании ресурсов информационно- телекоммуникационной сети «Интернет» •  Обеспечение защиты информации при использовании средств криптографической защиты информации; •  Обеспечение защиты информации при назначении и распределении ролей •  Организация деятельности службы информационной безопасности
  • 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Защитные меры для организатора торговли •  Управление рисками нарушения защиты информации •  Регламентация и документирование деятельности по обеспечению защиты информации •  Повышение осведомленности работников в области обеспечения защиты информации •  Обнаружение и реагирование на инциденты информационной̆ безопасности •  Мониторинг и анализ обеспечения защиты информации •  Своевременное совершенствование обеспечения защиты информации
  • 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Требования по защите баз данных •  Определить порядок доступа к базам данных организатора торговли и обеспечить защиту от несанкционированного доступа к базам данных организатора торговли •  Определить порядок использования паролей и других средств, ограничивающих доступ к базам данных организатора торговли •  Установить принимаемые организатором торговли и участниками торгов меры, направленные на предотвращение сбоев и ошибок в работе средств проведения торгов •  Осуществлять ежедневное резервное копирование информации, содержащейся в реестрах, которые ведет организатор торговли
  • 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Требования к организаторам торговли и 382-П Защитная мера 437-П 382-П Обеспечение защиты информации при управлении доступом и регистрацией + + Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем + + Обеспечение защиты информации средствами антивирусной защиты + + Обеспечение защиты информации при использовании ресурсов информационно- телекоммуникационной сети «Интернет» + + Обеспечение защиты информации при использовании средств криптографической защиты информации + + Обеспечение защиты информации при назначении и распределении ролей + + Организация деятельности службы информационной безопасности + + Управление рисками нарушения защиты информации + - Регламентация и документирование деятельности по обеспечению защиты информации + + Повышение осведомленности работников в области обеспечения защиты информации + + Обнаружение и реагирование на инциденты информационной̆ безопасности + +
  • 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Требования к организаторам торговли и 382-П •  Отличия между требованиями 437-П и 382-П состоят в детализации требований В 4-м разделе 437-П перечислены только сами требования, без деталей реализации Защитная мера 437-П 382-П Контроль выполнения технологии обработки защищаемой информации - + Оценка выполнения требований - + Информирование оператора платежной системы ее участниками об ОЗИ - + Мониторинг и анализ обеспечения защиты информации + - Своевременное совершенствование обеспечения защиты информации + + Определить порядок доступа к базам данных организатора торговли и обеспечить защиту от несанкционированного доступа к базам данных организатора торговли + - Определить порядок использования паролей и других средств, ограничивающих доступ к базам данных организатора торговли + - Установить принимаемые организатором торговли и участниками торгов меры, направленные на предотвращение сбоев и ошибок в работе средств проведения торгов + - Осуществлять ежедневное резервное копирование информации, содержащейся в реестрах, которые ведет организатор торговли + -
  • 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Резюме •  Банк России унифицирует требования по защите информации в рамках Национальной платежной системы •  Положение 382-П является базой, на которой строятся и иные требования по защите информации в НПС •  Требований 437-П к организаторам торговли в основных категориях защитных мер совпадает с 382-П Можно предположить, что и надзор за соблюдением мер защиты организаторами торговли будет осуществляться в соответствие с 157-Т (внутренней методикой проведения оценки соответствия требованиям 382-П) или в соответствие с разрабатываемой методикой надзора, которую сейчас создает ДНПС
  • 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Благодарю за внимание