Соответствие требованиям регуляторов


Все организации, так или иначе, сталкиваются с требованиями отраслевых стандартов и федеральных законов, регулирующих вопросы безопасности информации. В зависимости от профиля бизнеса, необходимы различные средства обеспечения безопасности для соответствия этим требованиям.

Инвестиции в обеспечение безопасности позволят избежать различных юридических рисков, в том числе и штрафов, не говоря о повышении надёжности бизнеса.

ФЗ РФ N152 от 27.07.2006г.

Закон "О персональных данных"

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

 Статья 19

Гарда БД Гарда Предприятие

п.1 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

+    + 

п.2 Обеспечение безопасности персональных данных достигается, в частности:

пп.3.применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

+ +

пп.6.обнаружением фактов несанкционированного доступа к персональным данным и принятием мер

+ +

пп.8.установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

+ +

PCI DSS

Стандарт безопасности данных платежных систем VISA, MasterCard, American Express, JCB и Discover. Стандарт описывает необходимые процедуры для обеспечения безопасности данных платежных карт.

Решение для обеспечения соответствия: Гарда БД - реализация требований по контролю доступа к данным.

Требование 10

Требование 10. Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт 

Гарда БД Гарда Предприятие

10.1 Внедрить журнал регистрации событий, связывающий любой доступ к системным компонентам с конкретным пользователем.

+    + 

10.2 Для каждого системного компонента должен быть включен механизм протоколирования следующих событий: 

10.2.1 Любой доступ пользователя к данным держателей карт 

+ -

10.2.2 Любые действия, совершенные с использованием административных полномочий. 

+ +

10.2.3 Любой доступ к записям о событиях в системе 

+ -

10.3 Для каждого события каждого системного компонента должны быть записаны как минимум следующие параметры. 

10.3.1 Идентификатор пользователя. 

+ +

10.3.2 Тип события. 

+ +

10.3.3 Дата и время 

+ +

10.3.4 Успешным или неуспешным было событие. 

+ +

10.3.5 Источник события. 

+ +

10.3.6 Идентификатор или название данных, системного компонента или ресурса, на которые повлияло событие. 

+ +

10.5 Журналы протоколирования событий должны быть защищены от изменений. 

+ +

10.5.1 Доступом к журналам протоколирования событий должны обладать только те сотрудники, которым такой доступ необходим в соответствии с их должностными обязанностями. 

+ +

10.5.2 Журналы протоколирования событий должны быть защищены от неавторизованного изменения. 

+ +

10.5.3 Резервные копии журналов протоколирования событий должны оперативно сохраняться на централизованный сервер протоколирования или отдельный носитель, где их изменение было бы затруднено. 

+ +

10.5.4 Копии журналов протоколирования событий для технологий, к которым возможен доступ извне, должны сохраняться на безопасный и централизованный внутренний сервер протоколирования или носитель. 

+ +

10.6 Изучать журналы протоколирования событий и события безопасности всех системных компонентов с целью обнаружения аномалий или подозрительной активности. 

+ +

Примечание. Для обеспечения соответствия данному требованию могут использоваться средства сбора и анализа журналов протоколирования событий, а также средства оповещения. 

+

10.6.3 Изучить исключения и аномалии, обнаруженные во время проверки. 

+ +

10.7 Журналы регистрации событий должны храниться не менее одного года, а также быть в оперативном доступе не менее трех месяцев (например, они могут находиться в прямом доступе, либо архивированы, либо могут быть оперативно восстановлены с носителя резервной копии). 

+ +

Требование 11

Требование 11. Регулярно выполнять тестирование систем и процессов обеспечения безопасности

Гарда БД Гарда Предприятие

11.4 Следует использовать методы обнаружения и (или) предотвращения вторжений для обнаружения и (или) предотвращения вторжения в сеть. Следует осуществлять мониторинг сетевого трафика по периметру среды данных держателей карт и в критичных точках внутри среды данных держателей карт, и оповещать сотрудников о подозрительных действиях. 

+ -

Системы обнаружения и предотвращения вторжений и их сигнатуры должны поддерживаться в актуальном состоянии. 

Требование 12

Требование 12. Разработать и поддерживать политику информационной безопасности для всего персонала организации

Гарда БД Гарда Предприятие

12.5.2 Мониторинг, анализ и доведение до сведения соответствующего персонала информации о событиях, имеющих отношение к безопасности данных. 

+ +

12.5.5 Мониторинг и контроль любого доступа к данным. 

+ +

12.10 Должен быть внедрен план реагирования на инциденты. Организация должна быть готова немедленно отреагировать на нарушение в работе системы. 

+ +

12.10.5 План должен включать в себя процедуры реагирования на предупреждения систем мониторинга безопасности, включая, без ограничения, системы обнаружения и предупреждения вторжений, брандмауэры, а также системы мониторинга целостности файлов. 

+ +

СТО БР ИББС

«Стандарт Банка России» - комплекс требований к обеспечению информационной безопасности в финансовых организациях. Предусматривает защиту персональных данных, внедрение систем защиты от утечек информации и др.

Решения для обеспечения соответствия: Гарда Предприятие - защита от утечек, контроль нелегитимных действий с информацией.

Гарда БД -  непосредственный контроль доступа к базам данных и снижение риска потери или искажения данных.

СТО БР ИББС

СТО БР ИББС

Гарда БД Гарда Предприятие

7.2.4 В организации БС РФ должны быть определены, выполняться и регистрироваться процедуры контроля деятельности работников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить контроль над защищаемым информационным активом организации БС РФ.

+ +

7.4.3 В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры: — выявления и блокирования несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин;

+ +

7.4.4 В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции, для чего, среди прочего, следует:
·         определить действия и операции, подлежащие регистрации; 
·         определить состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения; 
·         обеспечить резервирование необходимого объема памяти для записи данных; 
·         обеспечить реагирование на сбои при регистрации действий и операций, в том числе аппаратные и программные ошибки, сбои в технических средствах сбора данных; 
·         обеспечить генерацию временных меток для регистрируемых действий и операций и синхронизацию системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных. 
Рекомендуется обеспечить хранение данных о действиях и операциях не менее трех лет,
Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным действиям и операциям (транзакциям).

+ +

7.6 С целью ограничения использования сети Интернет в неустановленных целях в организации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей

- +

7.6.2 Должны быть определены, выполняться, регистрироваться и контролироваться процедуры подключения и использования ресурсов сети Интернет. 

- +

7.6.4 ….Должны быть определены и выполняться процедуры протоколирования посещения ресурсов сети Интернет работниками организации БС РФ. Данные о посещенных работниками организации БС РФ ресурсов сети Интернет должны быть доступны работникам службы ИБ.

- +

7.6.9. Электронная почта должна архивироваться. Целями создания архивов электронной почты являются: 
·         контроль информационных потоков, в том числе с целью предотвращение утечек информации; 
·         использование архивов при проведении разбирательств по фактам утечек информации. 
Должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры доступа к информации архива и ее изменения, предусматривающие возможность доступа работников службы ИБ к информации архива.

- +

8.2.2  - осуществлять мониторинг событий, связанных с обеспечением ИБ; 
- участвовать в расследовании событий, связанных с инцидентами ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации БС РФ;

+ +

8.10.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обработки инцидентов, включающие: 
- процедуры обнаружения инцидентов ИБ; 
- процедуры информирования об инцидентах, в том числе информирования службы ИБ; 
- процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;
 - процедуры реагирования на инцидент; 
- процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).

+ +

8.10.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения и распространения информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.

+ +

8.12.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры сбора и хранения информации о действиях работников организации БС РФ, событиях и параметрах, имеющих отношение к функционированию защитных мер. 

+ +

9.2. Основными целями мониторинга ИБ и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. 

+ +

Методика

Методика 

Гарда БД Гарда Предприятие

M1.9 Отсутствуют ли в организации БС РФ роли, совмещающие функции администратора и администратора информационной безопасности?

+ +

M1.11 Определены ли в организации БС РФ, выполняются ли и регистрируются ли процедуры контроля деятельности работников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить контроль над защищаемым информационным активом организации БС РФ?

+ +

M1.16 Определены ли, выполняются ли и регистрируются ли в организации БС РФ процедуры внеплановой проверки работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии?

+ +

M3.10 Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры регистрации действий субъектов доступа с обеспечением контроля целостности и защиты данных регистрации?

+ -

M3.18 Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры выявления и блокирования несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин?

+ +

M3.22 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции?

+ +

M3.23 Определены ли действия и операции, подлежащие регистрации?

+ +

M3.24 Определены ли состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения?

+ +

M3.25 Обеспечено ли резервирование необходимого объема памяти для записи данных?

M3.27 Обеспечена ли генерация временных меток для регистрируемых действий и операций и синхронизация системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных?

+ +

M3.29 Обеспечено ли хранение данных о действиях и операциях не менее трех лет (если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России)?

+ +

M3.31 Используются ли для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях специализированные программные и (или) технические средства?

+ +

M3.32 Зафиксированы ли критерии выявления неправомерных или подозрительных действий и операций, используемые при проведении процедур мониторинга ИБ и анализа данных о действиях и операциях?

+ +

M3.33 Применяются ли процедуры мониторинга ИБ и анализа данных о действиях и операциях, использующие зафиксированные критерии выявления неправомерных или подозрительных действий и операций, на регулярной основе, например ежедневно, ко всем выполненным операциям (транзакциям)?

+ +

M3.49 Регистрируются ли все попытки НСД к информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и сотрудников организации БС РФ?

+ +

M3.50 Предоставляется ли доступ к данным о действиях и операциях только с целью выполнения служебных обязанностей?

+ +

M5.2 Запрещается ли использование ресурсов сети Интернет в неустановленных целях?

- +

M5.3 Проведено ли в организации БС РФ выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей?

- +

M5.4 Проводится ли наделение работников организации БС РФ правами пользователя конкретного пакета, содержащего перечень сервисов и ресурсов сети Интернет, в соответствии с его должностными обязанностями, в частности в соответствии с назначенными ему ролями?

- +

M5.6 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры подключения и использования ресурсов сети Интернет?

- +

M5.10 Определены ли и выполняются ли процедуры протоколирования посещения ресурсов сети Интернет работниками организации БС РФ?

- +

M5.11 Доступны ли данные о посещенных сотрудниками организации БС РФ ресурсов сети Интернет работникам службы ИБ?

- +

M5.20 Осуществляется ли архивирование электронной почты с целью: - контроля информационных потоков, в том числе с целью предотвращение утечек информации; - использования архивов при проведении разбирательств по фактам утечек информации?

- +

M5.21 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ правила и процедуры доступа к информации архива и ее изменения, предусматривающие возможность доступа работников службы ИБ к информации архива?

+

+

M10.7 Реализуется ли в организации БС РФ для выполнения требований к защите персональных данных для второго уровня защищенности ПДн при их обработке в ИСПДн, установленного Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, в части обеспечения ИБ при управлении доступом и регистрации мониторинг сетевого трафика, выявление вторжений и сетевых атак и реагирования на них?

+ +

M10.8 Реализуется ли в организации БС РФ для выполнения требований к защите персональных данных для второго уровня защищенности ПДн при их обработке в ИСПДн, установленного Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, в части обеспечения ИБ при управлении доступом и регистрации, определение, выполнение, регистрация и контроль процедур обновления сигнатурных баз технических защитных мер, мониторинга сетевого трафика, выявления вторжений и сетевых атак?

+ +

M10.9 Реализуются ли в организации БС РФ для выполнения требований к защите персональных данных для второго уровня защищенности ПДн при их обработке в ИСПДн, установленного Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, в части обеспечения ИБ банковских информационных технологических процессов определение, выполнение, регистрация и контроль процедур использования коммуникационных портов, устройств ввода-вывода информации, съемных машинных носителей и внешних накопителей информации?

- +

M10.10 Реализуются ли в организации БС РФ для выполнения требований к защите персональных данных для второго уровня защищенности ПДн при их обработке в ИСПДн, установленного Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, в части обеспечения ИБ банковских информационных технологических процессов определение, выполнение, регистрация и контроль процедур доступа к архивам ПДн?

+ +

M10.13 Осуществляется ли использование в организации БС РФ в ИСПДн сертифицированных по требованиям безопасности информации средств защиты информации в соответствии с требованиями приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”?

+ +

M11.10 Наделена ли служба ИБ полномочиями контролировать работников организации БС РФ в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым информационным активам?

+ +

M11.11 Наделена ли служба ИБ полномочиями осуществлять мониторинг событий, связанных с обеспечением ИБ?

+ +

M11.12 Наделена ли служба ИБ полномочиями участвовать в расследовании событий, связанных с инцидентами ИБ, и выходить в случае необходимости с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД (например, нарушивших требования инструкций, руководств по обеспечению ИБ организации БС РФ)?

+ +

M12.1 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры учета структурированных по классам (типам) защищаемых информационных активов?

+ +

M13.7 Зафиксирован ли в организации БС РФ перечень недопустимых рисков нарушения ИБ, сформированный на основе сравнения полученных в результате оценивания рисков нарушения ИБ величин рисков с уровнем допустимого риска, принятого в организации БС РФ? 

+ +

M15.18 Определены ли в составе документов, регламентирующих деятельность в области обеспечения ИБ, перечень свидетельств выполнения указанной деятельности  и ответственность работников организации БС РФ за выполнение этой деятельности?

+ +

M19.1 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры обработки инцидентов, включающие: 
- процедуры обнаружения инцидентов ИБ; 
- процедуры информирования об инцидентах, в том числе информирования службы ИБ; 
- процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ; 
- процедуры реагирования на инцидент; 
- процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ)?

+ +

M19.2 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры хранения и распространения информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ?

+ +

M19.3 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры действий работников организации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и порядок информирования о данных событиях?

+ +

M19.4 Осведомлены ли работники организации БС РФ о порядке действий при обнаружении нетипичных событий, связанных с ИБ, и порядке информирования о данных событиях?

+ +

M19.6 Принимаются ли, фиксируются ли и выполняются ли в организации БС РФ решения по всем выявленным инцидентам ИБ?

+ +

M19.7 Определены ли в организации БС РФ роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ?

+ +

M19.8 Назначены ли в организации БС РФ ответственные за выполнение ролей по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ?

+ +

M20.2 Установлены ли в организации БС РФ требования обеспечения ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения,  технических средств, а также каналов связи?

+ +

M21.1 Определены ли, выполняются ли и регистрируются ли в организации БС РФ процедуры мониторинга ИБ и контроля защитных мер (включая контроль параметров конфигурации и настроек средств и механизмов защиты), которые охватывают все реализованные и эксплуатируемые защитные меры, входящие в СИБ, и организовываются службой ИБ?

+ +

M21.3 Учтена ли в рамках выполнения процедур хранения информации об инцидентах ИБ информация обо всех инцидентах ИБ, выявленных в процессе мониторинга ИБ и контроля защитных мер?

+ +

M21.4 Подвергаются ли процедуры мониторинга ИБ и контроля защитных мер регулярным и регистрируемым пересмотрам в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ?

+ +

M21.5 Определены ли в организации БС РФ роли, связанные с выполнением процедур мониторинга ИБ и контроля защитных мер, а также с пересмотром указанных процедур?

+ +

M21.6 Назначены ли в организации БС РФ ответственные за выполнение ролей, связанных с выполнением процедур мониторинга ИБ и контроля защитных мер, а также с пересмотром указанных процедур?

+ +

M23.7 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры хранения, доступа и использования материалов, получаемых в процессе проведения аудитов, в частности отчетов аудитов?

M24.1 Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры анализа функционирования СОИБ, использующие в том числе: 
- результаты мониторинга ИБ и контроля защитных мер; 
- сведения об инцидентах ИБ; 
- результаты проведения аудитов ИБ, самооценок ИБ; 
- данные об угрозах, возможных нарушителях и уязвимостях ИБ; 
Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, отчеты с результатами: 
- мониторинга ИБ и контроля защитных мер; 

+ +

M25.2 

- анализа функционирования СОИБ; 
- аудитов ИБ; 
- самооценок ИБ?
Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, документы, содержащие информацию:

- о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ; 

+ +

M25.3 

- о новых, выявленных уязвимостях и угрозах ИБ; 
- о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленных руководством; 
- о выявленных инцидентах ИБ?
Наличие механизмов ведения записей о событиях, а также возможность проследить действия пользователей, важны для обнаружения, предотвращения и минимизации последствий кражи данных. Необходимо наличие журналов во всех средах, что позволяет отслеживать действия, оповещения и анализировать нештатные ситуации.

+ +

ФЗ РФ N149 от 27.07.2006 г.

Закон "Об информации, информационных технологиях и о защите информации"

Статья 16. Защита информации

Статья 16

Гарда БД Гарда Предприятие

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

+    + 

соблюдение конфиденциальности информации ограниченного доступа;

+ +

предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

+ +

своевременное обнаружение фактов несанкционированного доступа к информации.

+ +

ФЗ РФ N98 от 29.07.2004 г.

Закон "О коммерческой тайне"

Статья 10. Охрана конфиденциальности информации

Статья 10

Гарда БД Гарда Предприятие

ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

+    + 

Федеральный закон от 27.06.2011
№161-ФЗ

Закон, устанавливающий организационные и правовые основы Национальной Платежной Системы, в том числе обеспечение защиты информации.

Решения: Гарда Предприятие - защита конфиденциальности информации, управление доступом.

Гарда БД - защита финансовой информации в БД

Закон SOX

Требование, по которому все публичные компании, представленные на фондовой бирже США, должны сохранять всю корреспонденцию и финансовые отчеты в течение 7 лет. Актуально для всех компаний, планирующих или уже прошедших процедуру IPO

Решение: Гарда Предприятие - перехват и хранение всех коммуникаций с возможностью поиска

Рекомендации Basel II

Документ Базельского комитета по банковскому надзору, подразумевающий накопление и хранение корреспонденции, в рамках управления операционными рисками.

Решение: Гарда Предприятие - перехват и хранение всех коммуникаций с возможностью поиска

SEC Rule 17a-4

Требование по хранению переписки с клиентами, актуальное для всех компаний в сфере финансовых услуг, представленных на фондовой бирже США

Решение: Гарда Предприятие - перехват и хранение всех коммуникаций с возможностью поиска

ISO/IEC 27001

Международный стандарт по информационной безопасности, регламентирует Систему Менеджмента Информационной Безопасности на предприятиях

Решения: Гарда Предприятие - выявление и обработка инцидентов информационной безопасности, безопасность коммуникаций.

Гарда БД - защита информации в базах данных, выявление и обработка инцидентов безопасности в БД

Постановление Правительства РФ от 01.11.2012г. №1119 

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных», содержащее требования к защите персональных данных при их обработке в информационных системах персональных данных

Решения для обеспечения соответствия: Гарда Предприятие -  выявление и обработка инцидентов, связанных с доступом к ПД

Гарда БД - защита ПД в базах данных

Положение ЦБ РФ №382-П

Требование к защите данных при осуществлении переводов денежных средств

Решения для обеспечения соответствия: Гарда Предприятие - защита конфиденциальности информации, управление доступом.

Гарда БД - защита финансовой информации в БД

Положение

 382-П

Гарда БД Гарда Предприятие

п.2.2- требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от несанкционированного доступа; 

+    + 

требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;

+ +

2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.

+ -

2.6.3 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении доступа своих работников к защищаемой информации

+ +

2.4.3 Оператор по переводу денежных средств,  банковский платежный агент (субагент),  оператор услуг платежной инфраструктуры  обеспечивают контроль и регистрацию действий лиц, которым назначены роли,  определенные в подпункте 2.4.1 пункта 2.4 настоящего Положения

+ +

2.5.6 Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры обеспечивают реализацию запрета несанкционированного копирования защищаемой информации

+ +

2.6.3 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных  средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении  доступа своих работников к защищаемой информации

+ +

2.6.3 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных  средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации

+ -

2.6.3 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных  средств, банковский платежный агент (субагент) обеспечивают регистрацию действий клиентов, выполняемую с использованием программного обеспечения и автоматизированных систем, при наличии технической возможности

+

2.6.3 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных  средств, банковский платежный агент (субагент) обеспечивают регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах и программном обеспечении, при наличии технической возможности

+ -

2.6.3 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных  средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов

+

-

2.6.4 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных  средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета несанкционированного расширения прав доступа к защищаемой информации

+ -

2.7.1 Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности

+ -

2.8.1 При использовании сети Интернет для осуществления переводов денежных средств оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации на объектах информационной инфраструктуры с использованием сети Интернет

+ -

2.10.4 При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации

- +

2.13.1 Оператор платежной системы определяет требования к порядку, форме и срокам информирования оператора платежной системы, операторов по переводу денежных средств и операторов услуг платежной инфраструктуры о выявленных в платежной системе инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств

+ +

2.13.1 Информирование оператора платежной системы о выявленных операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры, привлекаемыми для оказания услуг платежной инфраструктуры  в платежной системе, инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, осуществляется ежемесячно

+ +

2.16.2 Информация, направляемая операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, за исключением операционных центров, находящихся за пределами Российской Федерации, оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включает информацию о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств

+ +

Узнайте, какие еще задачи решают системы информационной безопасности МФИ Софт

        

Клиенты

Подпишитесь
на дайджест «МФИ Софт»

Получите pdf с рекомендациями
по формированию политик безопасности.