SlideShare ist ein Scribd-Unternehmen logo

Безопасность дбо и минимизация финансовых потерь

Als PPTX, PDF herunterladen
Z
zl0ypilot

Presented by Alexey Kan

Business
1 von 12
Безопасность ДБО и минимизация финансовых потерь Профессиональные встречи (не за кружечкой пива, хотя после можно) Алексей Кан SSCP, C|EH, CCNA Старший консультант KPMG 24.05.2012
О чем пойдет речь? ДБО – Дистанционное Банковское Обслуживание, клиент-серверное приложение позволяющее клиенту банка осуществлять операции со счетом через сеть Интернет. Активное развитие ДБО началось во время начала финансового кризиса, и параллельно возросли финансовые потери Банков. IC3 Internet Crime Report in USA © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 1 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
За и против Преимущества ДБО для клиента: Угрозы использования ДБО для клиента: • Постоянный доступ к счету для проведения • Возможность потерять средства на счету; платежей; • Нет необходимости ездить в Банк, стоять в очередях; •Увеличение скорости обслуживания. Преимущества ДБО для банка: Угрозы использования ДБО для банка: • снижение операционных издержек; • финансовые потери; • повышение лояльности абонентов; • репутационные потери; • увеличение количества ежедневных • доступность сервиса; операций; © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 2 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
ДБО и ИБ Безопасность ИБ Бизнес ДБО © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 3 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
А стоит ли игра свеч? Или риски решают все! Эффективная оценка рисков, позволит определить величину допустимых финансовых потерь для бизнеса, если возникает инцидент связанный с ДБО. Понимая, что мы защищаем, мы можем эффективно внедрять средства защиты и контроля. «Не стоит тратить на защиту 10 млн., если объект защиты стоит 100 тыс.» Старый-мудрый безопасник © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 4 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
А кто будет крайним? Варианты угроз: Банк? Атака на ДБО от Банка Клиент? Атака на клиента Вендор? Атака на ДБО Вендора или хакер? А поймайте его сначала….. © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 5 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Механизмы защиты доступа 1. Использование двухфакторной авторизации (What you have) Сертификаты Генераторы одноразовых паролей Защищенные носители информации Токены со смарт-картой. SMS-авторизация 2. Использование двухфакторной авторизации (What you are)  Отпечаток пальца(ов)  Отпечаток капилляров  Радужная оболочка глаза  Геометрия лица © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 6 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Контроль и авторизация операций По каждой операции должно производится оповещение владельца счета, посредством:  SMS сообщения;  электронного сообщения. При проведении операций превышающих порог чувствительности, должна производится дополнительная авторизация посредством:  ввода кода подтверждения полученного через SMS сообщение;  телефонного звонка клиенту с обязательной записью разговора;  посредством дополнительного авторизации через токен или смарт-карту. © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 7 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Сбор доказательной базы 1. Создание защищенной копии лог-файлов сервера приложений (web-сервера) 2. Создание защищенной копии лог-файлов баз данных 3. Создание копии всего сетевого трафика взаимодействия с сервером ДБО 4. Установление контактов с отделом полиции по расследованию компьютерных преступлений 5. Обеспечение единого системного времени 6. Создание процедуры оперативного реагирования на инциденты ДБО включающей:  Процедуру по полному отключению ДБО  Процедуру по блокированию мошеннических транзакций  Процедуру сбора доказательной базы и вызова криминалистов  План действия если инцидент произошел у клиента © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 8 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
И самое главное…. Организация мероприятий по повышению уровня осведомленности в области безопасности как персонала банка так и клиентов… © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 9 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Последний слайд Вопросы??? © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 10 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
© 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The KPMG name, logo and “cutting through complexity” are registered trademarks or trademarks of KPMG International Cooperative (“KPMG International”).

Empfohlen

Журнал "Вестник "Коммеск-Омір", №2, 2017
Журнал "Вестник "Коммеск-Омір", №2, 2017Журнал "Вестник "Коммеск-Омір", №2, 2017
Журнал "Вестник "Коммеск-Омір", №2, 2017Коммеск-Омир
 
Журнал "Вестник "Коммеск-Омiр", №3-4, 2017
Журнал "Вестник "Коммеск-Омiр", №3-4, 2017 Журнал "Вестник "Коммеск-Омiр", №3-4, 2017
Журнал "Вестник "Коммеск-Омiр", №3-4, 2017 Коммеск-Омир
 
Предлагаемая система страхования залогов
Предлагаемая система страхования залоговПредлагаемая система страхования залогов
Предлагаемая система страхования залоговНЭПК "СОЮЗ "АТАМЕКЕН"
 
Jubatus tutorial
Jubatus tutorialJubatus tutorial
Jubatus tutorialJubatusOfficial
 
Tolgandac
TolgandacTolgandac
Tolgandactolgandac
 
Does your brand penetrate past the logo on the sweatshirt?
Does your brand penetrate past the logo on the sweatshirt?Does your brand penetrate past the logo on the sweatshirt?
Does your brand penetrate past the logo on the sweatshirt?Reusser Design, LLC
 
Как сделать шаблон презентации
Как сделать шаблон презентацииКак сделать шаблон презентации
Как сделать шаблон презентацииLidija Rudakova
 
diadiktyakh dhmosiografia
diadiktyakh dhmosiografiadiadiktyakh dhmosiografia
diadiktyakh dhmosiografiadimitra13
 

Empfohlen

Журнал "Вестник "Коммеск-Омір", №2, 2017
Журнал "Вестник "Коммеск-Омір", №2, 2017Журнал "Вестник "Коммеск-Омір", №2, 2017
Журнал "Вестник "Коммеск-Омір", №2, 2017Коммеск-Омир
 
Журнал "Вестник "Коммеск-Омiр", №3-4, 2017
Журнал "Вестник "Коммеск-Омiр", №3-4, 2017 Журнал "Вестник "Коммеск-Омiр", №3-4, 2017
Журнал "Вестник "Коммеск-Омiр", №3-4, 2017 Коммеск-Омир
 
Предлагаемая система страхования залогов
Предлагаемая система страхования залоговПредлагаемая система страхования залогов
Предлагаемая система страхования залоговНЭПК "СОЮЗ "АТАМЕКЕН"
 
Jubatus tutorial
Jubatus tutorialJubatus tutorial
Jubatus tutorialJubatusOfficial
 
Tolgandac
TolgandacTolgandac
Tolgandactolgandac
 
Does your brand penetrate past the logo on the sweatshirt?
Does your brand penetrate past the logo on the sweatshirt?Does your brand penetrate past the logo on the sweatshirt?
Does your brand penetrate past the logo on the sweatshirt?Reusser Design, LLC
 
Как сделать шаблон презентации
Как сделать шаблон презентацииКак сделать шаблон презентации
Как сделать шаблон презентацииLidija Rudakova
 
diadiktyakh dhmosiografia
diadiktyakh dhmosiografiadiadiktyakh dhmosiografia
diadiktyakh dhmosiografiadimitra13
 
Tenis okulu
Tenis okuluTenis okulu
Tenis okuluzeynep_zyn84
 
智慧快餐
智慧快餐智慧快餐
智慧快餐健興 郭
 
นาย ศุภกร ม่วงจุ้ย
นาย ศุภกร ม่วงจุ้ย นาย ศุภกร ม่วงจุ้ย
นาย ศุภกร ม่วงจุ้ย ศุภกร ม่วงจุ้ย
 
Ticaret kurs
Ticaret kursTicaret kurs
Ticaret kurszeynep_zyn84
 
Mileuc
MileucMileuc
MileucCarismático De Rcces
 
Similitudes
SimilitudesSimilitudes
Similitudesyenica-c-soto-c
 
вечная память героям войны!
вечная память героям войны!вечная память героям войны!
вечная память героям войны!yulyarom
 
10 sposobów na zwiększenie konwersji.
10 sposobów na zwiększenie konwersji.10 sposobów na zwiększenie konwersji.
10 sposobów na zwiększenie konwersji.Leadimatic
 
Product training 22 jan 2011 thai
Product training 22 jan 2011 thaiProduct training 22 jan 2011 thai
Product training 22 jan 2011 thaiSiam Hua Hin
 
KUHS
KUHSKUHS
KUHSAmer Sawalha
 
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...Konstantin Matyukhin
 
Business view to cyber security
Business view to cyber securityBusiness view to cyber security
Business view to cyber securityАйдар Гилязов
 
Взгляд на кибербезопасность с точки зрения бизнеса
Взгляд на кибербезопасность с точки зрения бизнеса Взгляд на кибербезопасность с точки зрения бизнеса
Взгляд на кибербезопасность с точки зрения бизнеса Альбина Минуллина
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямRISSPA_SPb
 
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Cisco Russia
 
Компаниец
КомпаниецКомпаниец
КомпаниецFinancialStudio
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Cisco Russia
 
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложениях
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложенияхAEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложениях
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложенияхKazakhtelecom JSC
 
Fs operational risks management
Fs operational risks managementFs operational risks management
Fs operational risks managementFinancialStudio
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
CS Ltd - about company
CS Ltd - about companyCS Ltd - about company
CS Ltd - about companyIgor Dyachenko
 

Weitere ähnliche Inhalte

Andere mochten auch

вечная память героям войны!
вечная память героям войны!вечная память героям войны!
вечная память героям войны!yulyarom
 
10 sposobów na zwiększenie konwersji.
10 sposobów na zwiększenie konwersji.10 sposobów na zwiększenie konwersji.
10 sposobów na zwiększenie konwersji.Leadimatic
 
Product training 22 jan 2011 thai
Product training 22 jan 2011 thaiProduct training 22 jan 2011 thai
Product training 22 jan 2011 thaiSiam Hua Hin
 

Andere mochten auch (10)

Tenis okulu
Tenis okuluTenis okulu
Tenis okulu
 
智慧快餐
智慧快餐智慧快餐
智慧快餐
 
นาย ศุภกร ม่วงจุ้ย
นาย ศุภกร ม่วงจุ้ย นาย ศุภกร ม่วงจุ้ย
นาย ศุภกร ม่วงจุ้ย
 
Ticaret kurs
Ticaret kursTicaret kurs
Ticaret kurs
 
Mileuc
MileucMileuc
Mileuc
 
Similitudes
SimilitudesSimilitudes
Similitudes
 
вечная память героям войны!
вечная память героям войны!вечная память героям войны!
вечная память героям войны!
 
10 sposobów na zwiększenie konwersji.
10 sposobów na zwiększenie konwersji.10 sposobów na zwiększenie konwersji.
10 sposobów na zwiększenie konwersji.
 
Product training 22 jan 2011 thai
Product training 22 jan 2011 thaiProduct training 22 jan 2011 thai
Product training 22 jan 2011 thai
 
KUHS
KUHSKUHS
KUHS
 

Ähnlich wie Безопасность дбо и минимизация финансовых потерь

Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...Konstantin Matyukhin
 
Взгляд на кибербезопасность с точки зрения бизнеса
Взгляд на кибербезопасность с точки зрения бизнеса Взгляд на кибербезопасность с точки зрения бизнеса
Взгляд на кибербезопасность с точки зрения бизнеса Альбина Минуллина
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямRISSPA_SPb
 
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Cisco Russia
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Cisco Russia
 
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложениях
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложенияхAEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложениях
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложенияхKazakhtelecom JSC
 
Fs operational risks management
Fs operational risks managementFs operational risks management
Fs operational risks managementFinancialStudio
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
CS Ltd - about company
CS Ltd - about companyCS Ltd - about company
CS Ltd - about companyIgor Dyachenko
 
BMS PCI DSS в Украине
BMS PCI DSS в УкраинеBMS PCI DSS в Украине
BMS PCI DSS в УкраинеNick Turunov
 
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"Expolink
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 
Прием платежей в Badoo взгляд изнутри. HighLoad++ 2014 (HL++ 2014)
Прием платежей в Badoo взгляд изнутри. HighLoad++ 2014 (HL++ 2014)Прием платежей в Badoo взгляд изнутри. HighLoad++ 2014 (HL++ 2014)
Прием платежей в Badoo взгляд изнутри. HighLoad++ 2014 (HL++ 2014)Anatoly Panov
 

Ähnlich wie Безопасность дбо и минимизация финансовых потерь (20)

Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
 
Business view to cyber security
Business view to cyber securityBusiness view to cyber security
Business view to cyber security
 
Взгляд на кибербезопасность с точки зрения бизнеса
Взгляд на кибербезопасность с точки зрения бизнеса Взгляд на кибербезопасность с точки зрения бизнеса
Взгляд на кибербезопасность с точки зрения бизнеса
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиям
 
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
 
Компаниец
КомпаниецКомпаниец
Компаниец
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложениях
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложенияхAEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложениях
AEF2016 - Санжар Кеттебеков - Архитерктура Blockchain в бизнес приложениях
 
Fs operational risks management
Fs operational risks managementFs operational risks management
Fs operational risks management
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
CS Ltd - about company
CS Ltd - about companyCS Ltd - about company
CS Ltd - about company
 
BMS PCI DSS в Украине
BMS PCI DSS в УкраинеBMS PCI DSS в Украине
BMS PCI DSS в Украине
 
Fond moja firma
Fond moja firmaFond moja firma
Fond moja firma
 
Credit control
Credit controlCredit control
Credit control
 
Credit control-site
Credit control-siteCredit control-site
Credit control-site
 
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 
Презентация Егора Великогло, KPMG
Презентация Егора Великогло, KPMGПрезентация Егора Великогло, KPMG
Презентация Егора Великогло, KPMG
 
Прием платежей в Badoo взгляд изнутри. HighLoad++ 2014 (HL++ 2014)
Прием платежей в Badoo взгляд изнутри. HighLoad++ 2014 (HL++ 2014)Прием платежей в Badoo взгляд изнутри. HighLoad++ 2014 (HL++ 2014)
Прием платежей в Badoo взгляд изнутри. HighLoad++ 2014 (HL++ 2014)
 

Безопасность дбо и минимизация финансовых потерь

  • 1. Безопасность ДБО и минимизация финансовых потерь Профессиональные встречи (не за кружечкой пива, хотя после можно) Алексей Кан SSCP, C|EH, CCNA Старший консультант KPMG 24.05.2012
  • 2. О чем пойдет речь? ДБО – Дистанционное Банковское Обслуживание, клиент-серверное приложение позволяющее клиенту банка осуществлять операции со счетом через сеть Интернет. Активное развитие ДБО началось во время начала финансового кризиса, и параллельно возросли финансовые потери Банков. IC3 Internet Crime Report in USA © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 1 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 3. За и против Преимущества ДБО для клиента: Угрозы использования ДБО для клиента: • Постоянный доступ к счету для проведения • Возможность потерять средства на счету; платежей; • Нет необходимости ездить в Банк, стоять в очередях; •Увеличение скорости обслуживания. Преимущества ДБО для банка: Угрозы использования ДБО для банка: • снижение операционных издержек; • финансовые потери; • повышение лояльности абонентов; • репутационные потери; • увеличение количества ежедневных • доступность сервиса; операций; © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 2 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 4. ДБО и ИБ Безопасность ИБ Бизнес ДБО © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 3 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 5. А стоит ли игра свеч? Или риски решают все! Эффективная оценка рисков, позволит определить величину допустимых финансовых потерь для бизнеса, если возникает инцидент связанный с ДБО. Понимая, что мы защищаем, мы можем эффективно внедрять средства защиты и контроля. «Не стоит тратить на защиту 10 млн., если объект защиты стоит 100 тыс.» Старый-мудрый безопасник © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 4 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 6. А кто будет крайним? Варианты угроз: Банк? Атака на ДБО от Банка Клиент? Атака на клиента Вендор? Атака на ДБО Вендора или хакер? А поймайте его сначала….. © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 5 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 7. Механизмы защиты доступа 1. Использование двухфакторной авторизации (What you have) Сертификаты Генераторы одноразовых паролей Защищенные носители информации Токены со смарт-картой. SMS-авторизация 2. Использование двухфакторной авторизации (What you are)  Отпечаток пальца(ов)  Отпечаток капилляров  Радужная оболочка глаза  Геометрия лица © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 6 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 8. Контроль и авторизация операций По каждой операции должно производится оповещение владельца счета, посредством:  SMS сообщения;  электронного сообщения. При проведении операций превышающих порог чувствительности, должна производится дополнительная авторизация посредством:  ввода кода подтверждения полученного через SMS сообщение;  телефонного звонка клиенту с обязательной записью разговора;  посредством дополнительного авторизации через токен или смарт-карту. © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 7 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 9. Сбор доказательной базы 1. Создание защищенной копии лог-файлов сервера приложений (web-сервера) 2. Создание защищенной копии лог-файлов баз данных 3. Создание копии всего сетевого трафика взаимодействия с сервером ДБО 4. Установление контактов с отделом полиции по расследованию компьютерных преступлений 5. Обеспечение единого системного времени 6. Создание процедуры оперативного реагирования на инциденты ДБО включающей:  Процедуру по полному отключению ДБО  Процедуру по блокированию мошеннических транзакций  Процедуру сбора доказательной базы и вызова криминалистов  План действия если инцидент произошел у клиента © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 8 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 10. И самое главное…. Организация мероприятий по повышению уровня осведомленности в области безопасности как персонала банка так и клиентов… © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 9 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 11. Последний слайд Вопросы??? © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the 10 KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
  • 12. © 2011 KPMG Audit LLC, a company incorporated under the Laws of the Republic of Kazakhstan, a subsidiary of KPMG Europe LLP, and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The KPMG name, logo and “cutting through complexity” are registered trademarks or trademarks of KPMG International Cooperative (“KPMG International”).

Hinweis der Redaktion

  1. Атака на ПО от Банка – если ПО разработано банком, насколько хорошо они протестированно, проводились ли процедуры анализа уязвимого кода.Атака на ПО вендора – насколько вендор гарантирует защиту от взлома его ПО, подписывается ли сертификатом его ПО.