Добрый день! Занин В.В. Директор по производству ЗАО «Програм Банк»

ЗАО «Програм Банк»: 21 год надежного партнерства

Програм Банк - Ваш надежный партнер 21 год на рынке банковской автоматизации Устойчивые позиции на рынке банковских и аналитических систем Стабильность и надежность Партнерские отношения с клиентами Передовые технологии

Правила интерактивного семинара Интерфейс (по часовой стрелке): Презентация, список участников, чат, видео, окно опросов. Вопросы – в чат по ходу презентации, ответы – голосом в конце каждого выступления. Внизу справа будут появляться вопросы к Вам, просим выбирать ответы из вариантов.

СТО БР ИББС: Защита персональных данных Требования Проблемы Направления реализации

Познакомимся поближе: Что Вы знаете про компанию «Програмбанк»? –Что такая существует; –Что компания занимается автоматизацией банков; –Знаю, какие продукты и решения предлагает; –Знаю что предлагает, знаю плюсы и минусы по сравнению с используемым банком решением; –Не знаю, но интересно узнать; –Знаю больше Вас.

Программа семинара Вопросы СТО БР ИББС 2010 Александр Токаренко, Председатель правления НП «Датум» Имеющаяся правоприменительная практика, Александр Виноградов, Руссо Банк Направления реализации требований по обработке ПДн в продуктах компании «Програм Банк» Виталий Занин, «Програм Банк» Заключительное слово, Виталий Занин, «Програм Банк»

«Внешняя» работа по 152-ФЗ – взаимодействие «Програмбанка» с рынком и клиентами: Семинар марта «Круглый стол»: апрель Выборочный опрос клиентов: сентябрь Специальная рассылка перед текущим семинаром: октябрь Цели –Главное – понять, что именно нужно нашим клиентам по 152-ФЗ В частности, нужны ли сертифицированные СЗИ в нашем ПО («Гефест» и «Омега») –Информационная поддержка банков

Главный вывод: 78% респондентов не заинтересованы во включении СЗИ в состав ИБС Причины Программное обеспечение (ППО) АБС ИСПДн То есть АБС в каждом банке своя Пока нет устоявшихся требований СЗИ требуют значительных инвестиций от банка и затрат на сопровождение

Текущая законодательная нестабильность: Новые поправки в 152-ФЗ: –соответствие требованиям ФСТЭК обязательно только для государственных и муниципальных предприятий? Согласован и принят отраслевой стандарт Банковской Системы России по защите ПДн Постановление ПР 330 ДСП? Готовится новый вариант системы лицензирования отдельных видов деятельности?

Наши выводы: Ориентируемся на стандарты Банка России (СТО БРИББС): Причины: позиция Банка России Программные меры защиты в нашем ПО (утверждаются приказом по банку) Для сложных ИСПДн – неизбежно применение внешних СЗИ Поэтапная реализация мер защиты С сертификацией пока не надо торопиться

Какую помощь Вам оказывает в области 152-ФЗ поставщик Вашей ИБС? Предлагает готовое сертифицированное решение в рамках сопровождения Предлагает готовое сертифицированное решение за отдельную плату Предлагает готовое несертифицированное решение Реализует и/или документирует меры защиты, но не в полном объеме Рекомендует партнеров со льготными условиями Просто рекомендует партнеров Ограничился ликбезом (информационной поддержкой) Практически ничего не сделано Не знаю

Что планируем? Программа мероприятий по содействию в выполнении требований СТО БР ИББС Внедрение и доработка Комплекса программных мер по обработке ПДн Цикл семинаров по тематике Сбор конкретных пожеланий и заявок от банков Развитие комплекса программных мер

Комплекс программных мер по обработке ПДн Регулирующие документы –СТО БР ИББС – Общие положения –СТО БР ИББС – 2.3 – 2010 Требования Ответственность разработчика – требования, относящиеся к ППО Ответственность банка – требования, относящиеся к АБС и ИСПДн

Комплекс программных мер по обработке ПДн Требование (СТО БР ИББС ) Описание Разработка технических заданий и приемка АБС должны осуществляться по согласованию и при участии подразделения (лиц) в организации БС РФ, ответственных за обеспечение ИБ Изменение формы и вида заявок на доработки программного обеспечения. В заявке на доработку должна быть отметка службы безопасности. В банке меняется бизнес процесс формирования заявок для доработок (требуется согласование со службой безопасности). Изменение может быть учтено в договоре на сопровождение и/или в WEB системе приема и учета заявок от банков в «Програм Банк» Разрабатываемые АБС и(или) их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе, в отношении угроз ИБ (источников угроз), описанных в модели угроз организации БС РФ. Приобретаемые организацией БС РФ готовые АБС и (или) их компоненты рекомендуется снабжать указанной документацией. Также документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки. В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов организациям БС РФ должны включаться положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект рабочей конструкторской документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости или позиции фирмы – поставщика (разработчика), руководство организации БС РФ должно оценить и документально оформить допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов. Управления процессами производства ППО по ИСО Состав документации по ППО: Описание применения Описание программы Руководство программиста Руководство оператора Руководство администратора Документация по АБС – задача банка На стадии эксплуатации АБС должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер. Результаты выполнения контроля должны документироваться. Контроль целостности кода, СМК ИСО

Комплекс программных мер по обработке ПДн Требование (СТО БР ИББС ) Описание На стадии сопровождения (модернизации) должны быть документально определены и выполняться процедуры контроля, обеспечивающие защиту от: умышленного несанкционированного раскрытия, модификации или уничтожения информации; неумышленной модификации, раскрытия или уничтожения информации; отказа в обслуживании или ухудшения обслуживания. Результаты выполнения контроля должны документироваться. На основе описания защитных программных мер банк формируется специальный документ с описанием процедур контроля. Разграничение доступа Управление документооборотом, двойной ввод, авторизация изменений Журналирование, резервное копирование Мониторинг пользователей, параметров системы и ресурсов На стадии сопровождения (модернизации) при любом внесении изменения в АБС должны проводиться процедуры проверки функциональности, результаты которой должны документально фиксироваться. То же что и В организации БС РФ должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий. Процедуры управления доступом должны исключать возможность «само санкционирования». Рабочее место администратора безопасности: Управление паролями Ведение и просмотр журналов Мониторинг журналов Анализ данных регистрации Настройка регистрации доступа к ПДн Архивирование и очистка журналов

Комплекс программных мер по обработке ПДн Требование (СТО БР ИББС ) Описание В организации БС РФ необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга и анализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и(или) технические средства. Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям. То же что и Используемые в организации БС РФ АБС, в том числе, системы дистанционного банковского обслуживания должны обеспечивать, среди прочего, возможность регистрации: операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов; проводимых транзакций, имеющих финансовые последствия; операций, связанных с назначением и распределением прав пользователей. В ППО должны быть реализованы программные средства регистрации любой операции и доступа к информации (7.4.3) В организации БС РФ должны применяться защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и НРД к такой информации должны регистрироваться. При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанной информации, необходимо выполнить документированные процедуры соответствующего пересмотра прав доступа. См , хранение в закодированном виде.

Комплекс программных мер по обработке ПДн Требование (СТО БР ИББС ) Описание Работники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов. То же что и в Результаты технологических операций по обработке платежной информации должны контролироваться (проверяться) и удостоверяться лицами/автоматизированными процессами. Рекомендуется, чтобы обработку платежной информации и контроль (проверку) результатов обработки осуществляли разные работники/автоматизированные процессы. Настройка электронного документооборота в ППО, Журналирование выполнение операций, Инструкции сотрудникам по выполнению платежных процессов

Комплекс программных мер по обработке ПДн Требование (СТО БР ИББС ) Описание Комплекс мер по обеспечению ИБ банковского платежного технологического процесса должен предусматривать, в том числе: – защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений; – доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации; – контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации; – аутентификацию входящих электронных платежных сообщений; – двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями; – возможность ввода платежной информации в АБС только для авторизованных пользователей; – контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т.д.); – восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники; – сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов; – доставку электронных платежных сообщений участникам обмена. Кроме того, в организации БС РФ рекомендуется организовать авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип «двойного управления»). Изменение электронного документооборота в ППО Журналирование Мониторинг Реализация функций «двойного ввода»

Комплекс программных мер по обработке ПДн Требование (СТО БР ИББС ) Описание В ИСПДн не должно быть субъекта доступа, имеющего полномочия, а, при возможности, и технические средства по уничтожению и модификации информации, содержащейся в журнале регистрации событий, указанном в пункте Очистка журналов регистрации событий регламентируется разработчиком ИСПДн в эксплуатационной документации на ИСПДн. Перед очисткой журналов регистрации событий должно производиться архивирование содержащейся в них информации путем перемещения информации в соответствующий архив. Операция по архивированию журнала регистрации событий должна, в свою очередь, регистрироваться с указанием времени и идентификатора работника, выполнившего операцию, в качестве первой записи в действующем журнале регистрации событий. Архивы журналов регистрации событий уничтожаются только администратором информационной безопасности, в зоне ответственности которого находятся данные архивы не ранее чем через три года с момента появления последней записи в данной архивной копии В ППО реализация разграничения прав доступа, функционального состава (меню) Порядок внесения изменений в установленное ПО ИСПДн, включая контроль действий программистов в процессе модификации ПО, должен быть регламентирован. Эталонные копии ПО должны быть учтены, доступ к ним должен быть регламентирован. Соответствующие регламенты в виде инструкций, руководств готовятся разработчиком ИСПДн в эксплуатационной документации на ИСПДн. Процедура внесения изменений, тестирование определяется на основе дополнительных инструкций и/или договоров между банком и разработчиками ППО В ИСПДн не должно быть субъекта доступа, имеющего полномочия, а, при возможности, и технические средства по уничтожению и модификации информации, содержащейся в журналах регистрации событий, указанных в пунктах Очистка журналов регистрации событий регламентируется разработчиком ИСПДн в эксплуатационной документации на ИСПДн. Перед очисткой журналов регистрации событий должно производиться архивирование содержащейся в них информации путем перемещения информации в соответствующий архив. Операция по архивированию журнала регистрации событий должна, в свою очередь, регистрироваться с указанием времени и идентификатора работника, выполнившего операцию, в качестве первой записи в действующем журнале регистрации событий. Архивы журналов регистрации событий уничтожаются только администратором информационной безопасности, в зоне ответственности которого находятся данные архивы не ранее чем через три года с момента появления последней записи в данной архивной копии. Реализация функций организационно-технические меры в банке

Что дальше?

Выбор за Вами: Просим дополнить и скорректировать наш текущй перечень мер Мы открыты для предложений до 20 ноября: –Руководитель рабочей группы Саблин Владимир Анатольевич. (495)

И последний вопрос! Был ли полезен наш семинар? Поставьте оценку по пятибалльной шкале. Был ли интересен наш семинар? Поставьте оценку по пятибалльной шкале.