• Главная
  • Автомобиль
  • Выплаты
  • _empty_
  • Новости

    Статьи

    Особливості забезпечення інформаційної безпеки в банківській системі

    1. Вступ
    2. Становлення стандартів ІБ Банку Росії
    3. Інформаційна безпека в Банках з урахуванням СТО БР Іббсе 2014
    4. Захист персональних даних в банках
    5. Інформаційна безпека національної платіжної системи
    6. Інформаційна безпека платіжних систем
    7. Висновки

    Стаття присвячена забезпеченню інформаційної безпеки в банківських установах на основі вітчизняних нормативних вимог галузевих стандартів Банку Росії СТО БР Іббсе-1.0-2014. Розглянуто деякі аспекти захисту в автоматизованих банківських системах (АБС), питання захисту персональних даних в банківській сфері, внутрішнього аудиту та самооцінки на відповідність вимогам ІБ, а також деякі особливості і проблемні місця, що стосуються специфіки інформаційної безпеки в банках.

    1. Введення

    2. Становлення стандартів ІБ Банку Росії

    3. Інформаційна безпека банків з урахуванням СТО БР Іббсе 2014

    4. Захист персональних даних в банках

    5. Інформаційна безпека національної платіжної системи

    6. Інформаційна безпека платіжних систем

    7. Висновки

    Вступ

    Не секрет, що банки є наріжним каменем кредитно-фінансової системи держави і найважливішим фінансовим інститутом сучасного суспільства. У зв'язку з цим на них покладаються особливі вимоги до забезпечення інформаційної безпеки. До моменту появи вітчизняних галузевих стандартів інформаційної безпеки СТО БР Іббсе банки управляли безпекою, грунтуючись на положеннях внутрішніх нормативних документів. Але і після прийняття цих документів залишилося багато питань, які потребують свого вирішення. Деякі розглядаються в статті питання пов'язані з розширенням «вузьких місць» системи ІБ банків і адаптації політики безпеки під нові вимоги з урахуванням вже наявного «багажу» в області захисту інформації.

    Становлення стандартів ІБ Банку Росії

    У Росії до середини 2000-х років слово «безпека» переважно асоціювали з керуванням «Банківськими ризиками» , Тобто контролю ситуацій, які могли б привести до понесених кредитною організацією втрат і \ або погіршення її ліквідності внаслідок настання несприятливих подій. Таких категорій як «інформаційна безпека» або «захист інформації» не існувало в принципі. Тільки лише федеральний закон «Про банківську діяльність» від 02.12.1990 N 395-1 ФЗ в ст.26 Банківська таємниця давав обмежене право і можливість на захист конфіденційних відомостей в банківській сфері. Через більше ніж десятиліття вітчизняні правотрорци випустили в світ Федеральний закон «Про комерційну таємницю» 29.07.2004 N 98-ФЗ , Що дозволяє, нарешті то, повноцінно заявити про новий вид діяльності і окремої категорії питань таких як «інформаційна безпека банків».

    У ті ж роки у вітчизняному банківському співтоваристві намітилися тенденції для прийняття міжнародних банківських стандартів, зокрема стандарту Базель II . У своєму трактуванні цей стандарт розглядав інформаційну безпеку як операційний ризик і, в цілому, вимагав заходів щодо аудиту та контролю за інформаційною сферою, що було абсолютним нововведенням для російських банків в той час. Однак і цього було недостатньо - розвиток сучасних інформаційних технологій і постійне прагнення пропозиції нових банківських продуктів на ринок вимагали більш значно уваги до цих питань.

    Наступною еволюційної віхою розвитку став 2004 рік з випуском Центральним Банком Росії першої редакції пакету вітчизняних галузевих стандартів з інформаційної безпеки СТО БР ІБСС . Стандарт ЦБ по ІТ-безпеки вважався найкращим галузевим стандартом на той час, адже він увібрав в себе найкращий світовий досвід і практику, об'єднує в собі основні положення стандартів з управління ІТ-безпекою (ISO 17799, 13335), регламентує опис життєвого циклу програмних засобів і критерії оцінки ІТ-безпеки (ГОСТ ISO / IEC 15408-1-2-3). Також в документі знайшли відображення технології оцінки загроз і вразливостей, деякі положення британською методологією оцінки інформаційних ризиків CRAMM (див. Малюнок 1).

    Малюнок 1. Взаємозв'язок різних вимог і стандартів в області ІТ, безпеки та управління

    Серед основних положень стандарту ЦБ можна було відзначити орієнтацію на вирішення проблеми інсайдерів. Для цього Банк Росії закріплює контроль над зверненням конфіденційної інформації всередині корпоративної середовища. Значну увагу приділено зовнішнім загрозам: положення стандарту вимагають від банків мати антивірусний захист з регулярно оновлюваними базами, засоби фільтрації спаму, управління доступом, регламентувати процедури внутрішнього аудиту, встановлювати безпечні захисту від несанкціонованого доступу і т.п.

    Незважаючи на всі ці очевидні переваги стандарт носив рекомендаційний характер - його положення могли застосовуватися вітчизняними банками тільки на добровільній основі. Проте, за результатами дослідження респондентів, представлених на III міжбанківської конференції , Простежувалася явна тенденція до прийняття даних документів як обов'язкової базової основи для російських банків.

    Паралельно з розвитком банківських стандартів в середині 2000-х років в Росії йшов і процес становлення вітчизняного законодавства в сфері інформаційної безпеки. Ключовим моментом стало оновлення Федерального закону «Про інформацію, інформаційні технології і про захист інформації» від 27.07.2006 N 149-ФЗ , Що дає нові актуальні визначення інформації, інформаційних технологій і процесів, окремо заголовком виділена «захист інформації». Слідом за ним окрему категорію в практиці захисту інформації ознаменував вихід закону «Про Персональних даних» від 27.07.2006 N 152-ФЗ .

    З огляду на всі ці нововведення і мінливі реалії суспільства, в світ виходили і нові редакції СТО БР Іббсе. так, в третій редакції стандарту від 2008 року , Пакет документів був значно перероблений, повелися нові терміни і поняття, були уточнені і деталізовані деякі вимоги щодо забезпечення безпеки; оновлені вимоги до системи менеджменту інформаційної безпеки. Також стандарт обзавівся власною моделлю загроз і порушників інформаційної безпеки організацій БС РФ. Введено нові блоки на вимогу ІБ в автоматизованих банківських системах, регламентований процес банківських платіжних та інформаційних технологічних процесів, окремо сказано про застосування засобів криптографічного захисту інформації.

    Зміни в четвертої редакції (2010р) головним чином стосувалися оновленої методики захисту Персональних даних (ПДН). У банківського співтовариства з'явився альтернативний спосіб виконання вимог щодо захисту персональних даних. У комплексі документів був істотно змінений порядок категорирования ПДН і класифікації ІСПДн. Запропонований підхід грунтувався на чітких розмежуваннях спеціальних, біометричних, знеособлених і загальнодоступних ПДН і не залежить від обсягу записів в ІСПДн. Особливим приємним моментом для організацій банківської сфери стала розроблена галузева модель загроз. Банк має право її прийняти без змін, що дозволяє уникнути трудомісткої аналітичної роботи. Комплекс документів СТО БР Іббсе вносить ясність в питання атестації ІСПДн і отримання ліцензії ФСТЕК Росії. Значно спростилася життя пункті 9.6 СТО БР Іббсе-1.0-2010, в якому знімається необхідність проведення атестації та ліцензування, якщо проводяться заходи щодо забезпечення безпеки ІСПДн для власних потреб банку.

    У 2011 році голова уряду Володимир Путін підписує федеральний закон «Про національну платіжну систему« від 27.06.2011 N 161-ФЗ , Що стало ще однією категорією бізнесу міцно зміцнилася з процесами управлінням ІБ. Для виконання доручення президента через рік Наказом Банку Росії виходить документ « Положення про вимоги до забезпечення захисту інформації при здійсненні переказів грошових коштів ... »від 09.06.2012 N 382-П) .

    На тлі останніх світових подій 2014 року і економічних санкцій, введених західними країнами щодо Росії, намітилася чітка тенденція до розробки і переходу на національну систему платіжних карт . Це, відповідно, вимагає додаткових вимог до надійності і безпеки таких систем, що тягне за собою і підвищення значення вітчизняних стандартів ІБ.

    Результатом усіх цих подій стало чергове перевидання стандарту. І в червні 2014 року набула чинності оновлена ​​п'ята, і поки остання на сьогоднішній день, редакція СТО БР Іббсе - 2014 . У новій редакції виправили огріхи минулих випусків і, що дуже важливо, вимоги та рекомендації СТО привели у відповідність з вищеописаним 382-П. Так, наприклад, уточнено список вимагають реєстрації операцій в ДБО,, розширено список інформації, що захищається, виходячи з П-382, наведена таблиця відповідності приватних показників оцінки з СТО і показників з поточної редакції 382-П.

    Не менш значущим досягненням стала актуалізована база нормативних вимог з урахуванням останніх змін законодавства в сфері захисту Персональних даних, а саме додані посилання на Постанова Уряду №1119 і Наказ ФСТЕК Росії №21 .

    Все це сформувало єдину методичну та нормативну платформу для забезпечення комплексної інформаційної безпеки з урахуванням банківської специфіки. Пакет документів СТО БР Іббсе обособил російські банки збудувавши в них систему безпеки з галузевої точки зору, але в той же час ввібрав кращу світову практику і досвід зарубіжних колег щодо забезпечення інформаційної безпеки.

    Інформаційна безпека в Банках з урахуванням СТО БР Іббсе 2014

    На даний момент розпорядженням Банку Росії пакет документів СТО БР Іббсе складається з наступних частин:

    1. СТО БР Іббсе-1.0-2014. «Загальні положення (5 в редакції)» ;
    2. СТО БР Іббсе-1.1-2007. «Аудит інформаційної безпеки»;
    3. СТО БР Іббсе-1.2-2014. «Методика оцінки відповідності інформаційної безпеки організацій банківської системи Російської Федерації вимогам СТО БР Іббсе-1.0-2014 (4 в редакції)»;

    Крім того, Банком Росії розроблені і введені наступні рекомендації в галузі стандартизації ІБ:

    1. РС БР Іббсе-2.0-2007. «Методичні рекомендації по документації в галузі забезпечення інформаційної безпеки у відповідність до вимог СТО БР Іббсе-1.0»;
    2. РС БР Іббсе-2.1-2007. «Керівництво по самооцінці відповідності інформаційної безпеки організацій банківської системи Російської Федерації вимогам СТО БР Іббсе-1. 0 »;
    3. РС БР Іббсе-2.2-2009. «Методика оцінки ризиків порушення інформаційної безпеки»;
    4. РС БР Іббсе-2.5-2014. «Менеджмент інцидентів інформаційної безпеки»

    Перші три документа є обов'язковими для всіх банків, які взяли зазначений стандарт в якості своєї базової політики. Документ «Загальні положення» є основою для формування всіх заходів щодо захисту інформації. Вся структура розбита на окремі блоки. У них докладно описуються вимоги до забезпечення безпеки, даються конкретні переліки заходів захисту з того чи іншого блоку. (Див. Таблиця 1)

    Таблиця 1. Вимоги до забезпечення інформаційної безпеки

    - при призначенні і розподілі ролей і забезпеченні довіри до персоналу; - в автоматизованих банківських систем (АБС) на стадіях життєвого циклу; - при управлінні доступом і реєстрацією користувачів; - до засобів антивірусного захисту; - при використанні ресурсів мережі Інтернет; - при використанні засобів криптографічного захисту інформації; - в банківських платіжних технологічних процесах; - з обробки персональних даних; - готельним заголовком винесені вимоги до системи менеджменту інформаційної безпеки.

    Документ «Аудит інформаційної безпеки» самий малостранічний з усіх, вказує на необхідність проведення аудиту системи ІБ, а також дає відсилання до проведення щорічної самооцінки за вимогами стандарту. Дані підсумкової самооцінки служать базою як для форми звітності в разі перевірки Центральним Банком, так і укладенням відповідності рівня захищеності системи інформаційної безпеки банку виявленим ризикам і загрозам ІБ.

    І останній з розглянутих документ «Методика оцінки відповідності вимогам ІБ» - це звід методик оцінки і таблиць з відповідними полями для заповнення. Кожен захід і захід захисту дають певну вагову значення в оцінці званий груповий показник. За результатами групових показників вибудовується кругова діаграма відповідності вимогою СТО БР Іббсе (див. Рисунок 2). Все значень групових показників лежать в діапазоні від 0 до 1, в якому для визначення підсумку виділені ще 6 рівнів відповідності стандарту, починаючи з нульового. Банком Росії рекомендовані рівні 4 і 5 (див. Рисунок 2). Відповідно чим вище значення, тим більше вважається захищеною система. На круговій діаграмі ці сектори мають зелений колір, червоний ж - показник критичного рівня.

    Малюнок 2. Кругова діаграма відповідності вимогам СТО БР Іббсе

    Що ще можна додати - досить велика увага приділяється процесам менеджменту системи інформаційної безпеки, зокрема можна виділити Цикл Демінга, який використовується топ-менеджерами в управлінні якістю (рисунок 3).

    Малюнок 3. Цикл Демінга для СОІБ СТО БР Іббсе

    Цикл Демінга для СОІБ СТО БР Іббсе

    У новій редакції Банк Росії актуалізував методику оцінки відповідності інформаційної безпеки. Основні зміни торкнулися підходу до оцінки:

    • всі вимоги тепер віднесені до одного з трьох класів (документування, виконання, документування та виконання);
    • оцінка групових показників визначається як середнє арифметичне (відсутні вагові коефіцієнти приватних показників);
    • вводиться поняття коригувальних коефіцієнтів, які впливають на оцінки за напрямками і залежних від кількості повністю не реалізованих вимог Стандарту;
    • значення показника М9 (Загальні вимоги по обробці персональних даних) розраховується за загальною схемою (а не як мінімальне зі значень вхідних приватних показників у попередній версії стандарту).

    Варто відзначити той факт, що стало значно більше приділятися уваги документування процедур безпеки у внутрішніх нормативних документах банків. Таким чином, навіть якщо процедура фактично не виконується, але передбачена і документально підтверджена, - це підвищує результат внутрішнього аудиту.

    У порівнянні з минулою редакцією зросла кількість приватних показників, а так само змінилися вагові значення оцінок (див. Малюнок 4).

    Малюнок 4. Зміни в минулому і поточній редакції СТО БР Іббсе (за даними ІнфоКонстал Менеджмент, www. Km-ltd.com, 2014 року)

    com, 2014 року)

    Слід сказати ще про один важливий додаток, що стосується вбудованих механізмів захисту в АБС, - Банк Росії випустив рекомендації «Забезпечення інформаційної безпеки на стадіях життєвого циклу автоматизованих банківських систем» (РС БР Іббсе-2.6-2014) » . Суть їх полягає в тому, що тепер банки можуть, посилаючись на цей документ, виставляти вимоги розробникам до функціоналу програмного забезпечення в частині механізмів захисту. Не можна забувати, що це саме рекомендації, а не вимоги, і сам Банк Росії нав'язувати нічого не може, проте він дозволяє транслювати ці рекомендації від імені банківської спільноти, а це вже зміна в кращу сторону.

    Захист персональних даних в банках

    До виходу 5 редакції СТО БР Іббсе-2014, захист персональних даних в банках базувалася на двох документах : БР Іббсе-2.3-2010. «Вимоги щодо забезпечення безпеки персональних даних в інформаційних системах персональних даних організацій банківської системи Російської Федерації» і РС БР Іббсе-2.4-2010. «Галузева приватна модель загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних організацій банківської системи Російської Федерації».

    На практиці це виглядало так: брали в незмінному вигляді запропоновану Центральним Банком приватну галузеву модель загроз, за ​​методичними рекомендаціями визначали вимог до захисту кожної ІСПДн, виходячи з і кількості та переліку оброблюваних даних, і в подальшому вибудовували по ним перелік необхідних заходів.

    Найбільшим головним болем фахівців до сьогоднішнього дня було те, що справжні вимог діяли аж до чергової редакції СТО БР Іббсе - 2014 року, хоча на той момент захист ПДН вже вибудовувалася відповідно до ПП-1119 та наказом ФСТЕК №21. З причини того, що банки повинні відповідати прийнятому пакету СТО БР Іббсе, багато хто з них використовували не актуальними методиками і, як наслідок, не соотвестствовалі нових реалій забезпечення безпеки.

    З виходом ціх двох згаданіх нормативних документів ситуация змінілася на краще - були скасовані деякі строгі вимоги по ліцензуванню, спрощені процедури класіфікації ІСПДн, оператору ПДН дано более прав на вибір захисних ЗАХОДІВ. Вимоги до захисту ІСПДн визначаючись таблицею відповідності «рівня захищеності» і застосовуваних до них процедур безпеки, деталізація яких була представлена ​​наказом ФСТЕК № 21. Це дозволило нівелювати відмінності в методиці захисту ПДН в галузевому стандарті ЦБ і загального російського законодавства.

    В оновленому стандарті з'явився новий термін «Ресурс ПДН», для якого сформовані вимоги до документованості окремих процедур, пов'язаних з обробкою персональних даних (розділ 7.10). Окремо розглянуто питання, пов'язані зі знищенням персональних даних: організаціям надана можливість знищувати ПДН не відразу, а на періодичній основі, але не рідше одного разу на півроку.

    Роскомнадзором окремо були внесені пояснення щодо біометричних ПДН , Наприклад фотографії співробітників, якщо такі використовуються в цілях здійснення контрольно-пропускного режиму або виставлені на сайті компанії в якості загальнодоступної інформації про керівництво, не потрапляють під режим спеціальних вимог до захисту.

    Банкам же, які раніше вже виконали вимоги щодо захисту ПДН за старим стандартом, для відповідності новим вимогам потрібно скорегувати свої внутрішні нормативні документи, провести заново класифікацію та переадресацію ІСПДн і, відповідно до рівня захищеності, визначити для себе новий перелік захисних заходів. Хочеться відзначити, що зараз у банків з'явилося більше свободи у виборі засобів і методів захисту, однак застосування саме відсортованих ФСТЕК засобів захисту інформації як і раніше є обов'язковим.

    Інформаційна безпека національної платіжної системи

    Національна платіжна система (НПС), на увазі останніх подій, стає все більш пріоритетним напрямком у внутрішній політиці держави. Президент Росії Володимир Путін підписав закон про створення в Росії національної системи платіжних карт (НСПК) і забезпеченні безперебійності роботи міжнародних платіжних систем. Оператор НСПК створюється у формі ВАТ, 100% активів якого належить Банку Росії. Метою проекту позначено інфраструктурно і інформаційно замкнути процес здійснення грошових переказів усередині Росії, закріпити територіально всередині країни операційні центри і платіжні клірингові центри.

    Фактично, до виходу закону гроші могли з'являтися з «нізвідки» і зникати в «нікуди». З виходом закону ситуація змінюється, НПС дає можливість відстежує всі грошові операції, в тому числі фінансування сумнівних угод і шахрайські операції, які можуть загрожувати безпеці громадян або країни в цілому. Крім того, відхід від готівкового обігу, на думку уряду, є ще одним кроком у боротьбі з хабарництвом.

    Для забезпечення безпеки НПС був випущений цілий ряд підзаконних актів, сердь яких основне Положення про захист інформації в платіжній системі »від 13.06.2012 №584 . Але в більшій мірі відповідає випущене відповідальним департаментом Банком Росії Положення про вимоги до забезпечення захисту інформації при здійсненні переказів грошових коштів ... »від 09.06.2012 N 382-П)

    З оновленням П-382 тенденції забезпечення захисту тепер зміщені в бік:

    • застосуванням банкоматів і платіжних терміналів;
    • застосування пластикових платіжних карт;
    • використання мережі Інтернет (систем дистанційного банківського обслуговування (ДБО) і мобільного банкінгу);
    • вимог до порядку розробки і поширення спеціалізованого ПЗ, призначеного для використання клієнтом при переказі грошових коштів;
    • що дуже порадувало, розширення вимог щодо підвищення обізнаності клієнтів про можливі ризики отримання несанкціонованого доступу до інформації, що захищається і рекомендованих заходи щодо їх зниження;
    • вимог про необхідність проведення класифікації банкоматів і платіжних терміналів, результати якої повинні враховуватися при виборі заходів захисту;
    • процедур призупинення проведення платежу оператором по переказу грошових коштів у разі виявлення ознак шахрайських дій;
    • передбачені процедури захисту від сучасних загроз безпеки, таких як: скімінг (шляхом використання спеціалізованих засобів, що перешкоджають несанкціонованому зчитуванню треків платіжних карт; захист сервісів розташованих в мережі Інтернет від зовнішніх атак (DoS-атак); захист від фішингу (від фальсифікованих лождних ресурсів мережі Інтернет ).
    • вимога щодо застосування платіжних карт, оснащених мікропроцесором, з 2015 року і заборона випуску карт, не оснащених мікропроцесором, після 1-го січня 2015 року;
    • 29 нових показників оцінки.

    Інформаційна безпека платіжних систем

    Аналогічна ситуація складається з використанням пластикових карт. У світовому співтоваристві визнаним стандартом безпеки вважається Payment Card Industry Data Security Standard (PCI DSS) , Який був розроблений радою PCI SSC. До нього увійшли такі карткові бренди, як Visa, MasterCard, American Express, JCB і Discovery.

    Стандарт PCI DSS описує вимоги до захисту даних про власників карток, згруповані в дванадцять тематичних розділів. Основний акцент в стандарті PCI DSS робиться на забезпеченні безпеки мережевої інфраструктури і захисту збережених даних про власників платіжних карт, як найбільш вразливих з точки зору загроз конфіденційності місцях. Також слід зазначити, що стандарт регламентує правила безпечної розробки, підтримки і експлуатації платіжних систем, в тому числі процедури їх моніторингу. Не менш важливу роль стандарт відводить розробці і підтримці бази нормативних документів системи менеджменту інформаційної безпеки.

    Міжнародні платіжні системи зобов'язують організації, на які поширюються вимоги стандарту, проходити регулярну перевірку відповідності цим вимогам, що рано чи пізно може торкнутися і НСПК. Однак сертифікація російських банків по закордонному PCI DSS стандарту йшла досить повільно, а вітчизняного аналога на сьогоднішній день немає.

    Однак, виконуючи вимоги П-382 і останньої редакції СТО БР Іббсе-2014, можна багато в чому підготуватися до проходження сертифікації за PCI DSS, адже багато його положення перетинаються з вимогами з вітчизняного документа: антивірусна безпеку, шифрування, фільтрація за допомогою міжмережевих екранів, розмежування доступу, відстеження сеансів зв'язку, а також моніторинг, аудит і менеджмент системи ІБ (див. рисунок 5).

    Малюнок 5. Порівняння категорій захищається різними стандартами (за даними Уральський центр Систем безпеки, www.usssc.ru , 2014 року)

    ru , 2014 року)

    На відміну від всіх зарубіжних стандартів, російський 382-П покликаний стимулювати вітчизняних розробників і виробників засобів захисту інформації (СЗІ), так, наприклад, зобов'язуючи суб'єкти НПС забезпечити застосування некріптографіческіх СЗІ від несанкціонованого доступу, в тому числі пройшли в установленому порядку процедуру оцінки відповідності. При цьому, застосування рішень іноземного виробництва явно дозволено.

    Більш того, Банк Росії посилює свій контроль за дотриманням встановлених правил. У своєму документі Вказівка ​​№ 2831-У від 09.06.2012 «Про звітність щодо забезпечення захисту інформації в платіжних системах ...» явно вказує, в якій формі, і з якою періодичністю суб'єкти платіжних систем повинні звітувати про стан інформаційної безпеки в платіжних системах.

    Незважаючи на популярність і широке поширення PCI DSS існують і інші міжнародних стандарти безпеки відмінкових систем, про які теж хотілося б трохи сказати. Один з них стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) визначає вимоги до додатків, що обробляють дані про власників карт і процесу їх розробки. І, другий - стандарт Payment Card Industry PIN Transaction Security (PCI PTS), раніше PCI PED, стосуються виробників, які задають і реалізують технічні параметри і систему управління для пристроїв, що підтримують набір ПІН-коду і використовуються для проведення платіжних операцій за картками.

    Висновки

    СТО БР Іббсе є дуже важливою віхою еволюційного шляху розвитку вітчизняної системи забезпечення інформаційної безпеки. Це один з перших галузевих і адаптованих під російську дійсність стандартів. Звичайно, це не панацея від усіх бід, залишається ще багато проблем, над якими б'ються фахівці, але це перший і дуже успішний досвід, який наближає нас до стандартів кращої зарубіжної практики.

    Виконуючи вимоги стандарту, багато банків готують себе до міжнародної сертифікації забезпечення безпеки платіжних систем PCI DSS. Забезпечують захист персональних даних відповідно до останніх вимог регуляторів. Проведений щорічний внутрішній аудит дозволяє об'єктивно перевірити захищеність банків від істотних ризиків і загроз ІБ, а керівникам ефективніше спланувати побудова і управління комплексною системою захисту.

    Існуючі недоліки та явні помилки, сподіваємося, будуть виправлені в наступних редакціях, випуск яких не за горами. Уже навесні 2015 року на нас чекає оновлений П-382 , А слідом може послідувати і зміни в комплексі БР Іббсе. Поки ж задовольняємося жовтневим релізом «Стандартом фінансових операцій» ТК 122 і не забуваємо, що хоч як мене були гарні всі зусилля вищих органів, як і раніше наша безпека - тільки в наших руках!

    Новости

    Все права защищены © 2012 Insurance — Информационный портал о страховании
    Страхование имущества, грузов, финансовых рисков, инвестиций, гражданской авиации