SlideShare una empresa de Scribd logo

Уральский форум по банковской ИБ за 15 минут

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация, описывающая 4 дня Уральского форума по банковской ИБ.

Tecnología
1 de 59
Descargar para leer sin conexión
Бизнес-консультант по безопасности Уральский форум за 15 минут …ну не за 15 J Алексей Лукацкий 22 февраля 2019
Почему описывать 11-ю Магнитку тяжело и легко одновременно?
ИБ от/для/в ЦБ
Уровни ИБ Методологическая составляющая Надзорная составляющая Инфраструктурный уровень Защита инфраструктурыпо комплексуГОСТ Надзор подразделений ИБ Банка России Система внешнего аудита Уровень приложений ►ГОСТ Р ИСО/МЭК 15408-3-2013 – критерии оценки безопасности информационных технологий, компоненты доверия к безопасности ►Профиль защиты для оценки уязвимости в банковских приложениях ► Анализ уязвимостей приложений, критичных с точки зрения наличия уязвимостей (сертификация): - приложения клиентов - фронт-приложения ► Сертификация ФСТЭК России Уровеньтехнологии обработкиданных ►Обеспечение целостности информации на технологических участках ее обработки ►Протоколирование действий на технологических участках ►Взаимодействие с клиентами финансовых организаций ►Ведение баз данных об инцидентах ИБ, в том числе на основе претензионной работы ► Анализ показателей уровня риска по операциям на технологических участках ► Анализ показателей, формируемых на основе претензионной работы 8| домен УР – «управление киберриском» домен ЗИ – «защита информации» домен СО – «мониторинг киберрисков и ситуационная осведомленность» домен ОНД – «обеспечение непрерывности выполнения бизнес- и технологических процессов финансовых организаций в случае реализации информационных угроз» домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» домен УИ – «управление инцидентами ИБ» - идентификация клиентов - получение подтверждения финансовых (банковских) операций - направление уведомлений о совершенных операциях Крупными мазками
Финтех
Планы ЦБ на финтех 2019-го года • Расширение на другие сектора, запуск мобильного приложения на iOS • I этап — переводы с неограниченным количеством клиентов P2P и Me2Me • II этап — переводы С2B и C2G • Утверждение концепции • Подготовка законопроекта • Запуск пилотного проекта • Подготовка технологических и правовых условий, запуск платформ Опытно-промышленная эксплуатация сервисов: • электронные закладные • цифровые банковские гарантии • цифровые аккредитивы Цифровой профиль Финансовый маркетплейс и регистратор финансовых транзакций Биометрическая идентификация Система быстрых платежей Технологии распределенных реестров — Мастерчейн
Сравним с прошлым годом Система передачи финансовых сообщений Единая система идентификации и аутентификации Перспективная платежная система Сквозной идентификатор клиента Платформа быстрых платежей Платформа на основе технологии распределенных реестров Платформа для регистрации финансовых сделок Финансовый маркетплейс Национальная система платежных карт Биометрическая платформа Платформа для облачных сервисов Новые платформы Развивающиеся платформы Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема ? ? ? ?
Цифровой профиль в том числе Единая биометрическая система Организации – потребители данных Пользователь ЦИФРОВОЙ ПРОФИЛЬ – ЕСИА 2.0 КС1Мобильное приложение ГИС ОКЭП Подпись из облака привязана к мобильному телефону Поставщики данных СМЭВ Цифровые ID и реестр ссылокСистема идентификации Цифровые согласияЦифровые документы КС3 (физические и юридические лица) Подготовлены изменения в 63-ФЗ, устанавливающие возможность использования ОКЭП, а также ее получения посредством удаленной идентификации
КС3 на каналах связи грядет везде • Код безопасности (Континент) • Инфотекс (VipNet) • Амикон (ФПСУ-IP) • Элвис+ (Застава) • С-Терра • Крипто-Про • Фактор-ТС (Dionis) • РКСС (Н-160) • ТСС (DCrypt) • ИВК (Крипто) • Голлард (М-543) • Системпром (Бартизан) На 22.02.2019
Мастерчейн 1. Доказательство аутентичности цепочки. Однозначный алгоритм для единственно верной версии РР. 2. Отсутствие влияния данных внутри цепочки на логику алгоритма консенсуса. 3. Возможность расчета цены компрометации системы с высокой точностью. 4. Управляемый доступ узлов к сети. 5. Использование российских сертифицированных алгоритмов криптографической защиты информации. 1. Децентрализованная депозитарная система для учета закладных 2. Know Your Customer 3. Распределенный реестр цифровых банковских гарантий 4. Цифровой аккредитив
Как финансовые продукты продаются сегодня?! Клиент Подбор вклада на сайтах-агрегаторах Заявка на открытие вклада на сайте банка Оформление в офисе
Как финансовые продукты будут продаваться завтра?! Клиент Подбор вклада Оформление вклада Отображение активов клиента + Маркетплейс
Безопасность облачной платформы Безопасность маркетплейса Безопасность мобильных устройств и приложений Безопасность Big Data Безопасность аутсорсинга + а также персональные данные, идентификация, ЭП
ЕБС
Чем регулируется безопасность ЕБС? А где ФСТЭК?
3 сценария защиты ЕБС Собственное решение Типовое решение от Ростелекома Облачное решение НЕТ СОГЛАСОВАННЫХ ФСБ ПРОДУКТОВ Подтверждение ФСБ Не нужно разрабатывать Не нужны тематические исследования Риски Стоимость от 25 млн. руб. от 5 млн. руб. от 1 млн. руб./год Срок внедрения от 6 месяцев 2-3 месяца 3-4 кв. 2019 запуск + 2-3 месяца Зачем? Доверие Торопимся
Криптография не закрывает всю модель угроз Сбор данных Обработка сигнала Сравнение Принятие решения Верификация (приложение) Хранение Доказательство идентичности Регистрация биометрии 1 2 3 4 5 6 7 8 9 10 11 12 13
«Валентинка» МР-4 Рекомендации, но фактически обязательны к исполнению Даже покупка типового решения от Ростелекома не снимает необходимости выполнения процессов ИБ
382-П
Ключевые сроки последней редакции 382-П Требование Сроки Сертификация прикладного ПО или оценка уязвимостей по ОУД4 01.01.2020 Пентесты и анализ уязвимостей объектов информационной инфраструктуры 01.07.2018 Разделение контуров 01.01.2020 Применение в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ, и вообще иностранных СКЗИ 01.01.2024 Применение в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ 01.01.2031 Применение в значимых платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ 01.01.2031 Применение в национально значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых платежных системах 01.01.2031
Некоторые вопросы • Методика проведения анализа уязвимостей и пентестов • Методика оценки уязвимостей банковских приложений в условии ДСПшности ФСТЭК • Отсутствие сертификации HSM по требованиям МПС • Квантовые компьютеры и 2031-й год
НКЦКИ
Как информировать ГосСОПКУ?
ФинЦЕРТ
АСОИ ФинЦЕРТ До 01.07.2018 Настоящее время Создана 1-я очередь АСОИ ФинЦЕРТ 2019 2-я очередь АСОИ ФинЦЕРТ § Обмен с участниками по e-mail (получение информации в формате XLSX) § Локальная автоматизация работы экспертов § Функционирование базовых процессов § Обмен с Участниками через защищенный портал, ЛКУ, e-mail § Автоматизация ключевых процессов ФинЦЕРТ § Автоматизированное взаимодействие с ГосСОПКА; § Реализация функционала «Фид-антифрода» для Участников (прототип) § Обмен с участниками через защищенный портал, e-mail и по API § Предоставление Участникам возможности передачи через ЛК дампов и логов для последующего анализа в ФинЦЕРТ § Автоматическое взаимодействие с ГосСОПКА § Поддержка функционала для реализации 167-ФЗ в полном объеме
Новые сервисы АСОИ ФинЦЕРТ 2-й очереди • Предоставление Участникам сервиса ЛКУ по проверке ВПО (включая специализированную песочницу) • Предоставление Участникам сервиса передачи через ЛК «дампов» сетевого трафика и лог-файлов web-серверов для последующего анализа в ФинЦЕРТ • Сервис автоматического взаимодействия Участников с ГосСОПКА • Сервис уведомлений о критических инцидентах по SMS • Автоматизация взаимодействия с АСОИ ФинЦЕРТ посредством API • Сервис предоставления Участникам машиночитаемых IOC и агрегированных баз данных • Сервис обмена электронными сообщениями между ФинЦЕРТ и Участниками с использованием электронной подписи
Справится ли АСОИ с СТО 1.5? Показатель Значение Количество принятых ЭСУ не менее 10000 шт. в сутки Пиковое значение принятых ЭСУ не более 2500 шт. в час Количество созданных, автоматизированно классифицированных и агрегированных тикетов не более 40 шт. в минуту Объем принимаемых файлов через личный кабинет до 2 Гб Планируемое количество одновременно работающих пользователей не менее 4000
Антифрод
Возможности «Фид-Антифрод» Доступная маршрутизация операций без согласия Перевод с карты на карту через сервисы банка-отправителя Перевод со счета на счет Без маршрутизации (только репортинг) Перевод с карты на карту через иные сервисы Переводы, связанные с оплатой товаров и услуг с использованием POS терминалов Перевод на электронный кошелек Пополнение остатка средств абонента радиотелефонной связи Иные реквизиты получателя Получение фидов Специальный код номера паспорта Специальный код СНИЛС ИНН Номер карты Номер телефона Номер счета + БИК Номер кошелька Получение сведений о повышенном риске для отдельной операции в рамках осуществления переводов денежных средств Возможность для ОПДС принятия мер, направленных на выполнение мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента Выявление операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента, до принятия распоряжения к исполнению
Планы развития «Фид-Антифрод» • Оптимизация маршрутизации • Оптимизация внутреннего перечня критериев • Гармонизация СТО БР 1.5 с текущими форматами системы • Развитие API для автоматического направления сведений об ОБС в ФинЦЕРТ • Оптимизация перечная анализируемых параметров • Оптимизация подходов к обработке статусов ОБС (автоматизация изменения статуса при возврате, при отказе от заявления) • Развитие API для автоматического получения фидов • Оптимизация перечня фидов и формирование условий для получения обратной связи по их эффективности
Операционные риски
Операционные риски
Трансформация системы управления операционным риском 34 Положение о СУОР Новые требования к отчетности по ОР Порядок расчета величины ОР с учетом статистики потерь и качества СУОР 2019 2020 Ø Компонента потерь (ILM) для расчёта капитала на ОР Ø Детальные требования к организации СУОР Ø Детальные требования к данным о потерях от ОР и ИБ Ø Стресс-тестирование ОР и ИБ 2021 Начало применения подхода Basel III к расчету капитала под ОР
Новое положение о СУОР
Сколько вешать в граммах?
Рискориентированный подход - регулярная отчетность об инцидентах - результаты проверок подразделениями ИБ Банка России - протоколирование действий на технологических участках - информация, содержащаяся в базах данных Показатели защищенности инфраструктуры Показатели защищенности приложений Показатели риска по операциям - результаты проверок подразделениями ИБ Банка России Источники Состав операционных рисков финансовых организаций показатели, характеризующие уровень несанкционированных финансовых операций показатели , характеризующие непрерывность предоставления финансовых услуг показатели, характеризующие финансовые потери клиентов финансовых организаций ПоказателиоперационнойстабильностиПоказателифинансовойстабильности
Надзор
Жизненный цикл ИБ с точки зрения надзора Необходимость включения нового вида организации в контур надзора Комплекс подготовительных мероприятий к включению в контур надзора Включение в контур надзора Формирование профиля риска реализации информационных угроз Надзор за реализацией системы управления риском и капиталом с учетом профиля риска • Кредитная организация • Некредитная финансовая организация • ФинТех-проект • субъект национальной платежной системы • Определение типового состава показателей профиля риска поднадзорной организации • Разработка методик применения надзорных мер реагирования • Формирование нормативно- методологической базы знаний Нормативное закрепление (часть 1): • состава и содержания технологических мер обеспечения защиты информации; • мер анализа уязвимостей программного обеспечения; • уровня защиты по ГОСТ; • правил протоколирования. Нормативное закрепление (часть 2): • требований проведения оценки соответствия по ГОСТ; • правил претензионной работы; • правил информирования ФинЦЕРТ о несанкционированных финансовых операциях. Осуществление дистанционного надзора (мониторинга) показателей: ПНО – показатель уровня несанкционированных операций; ПОН – показатель операционной надежности; ПОС – показатель оценки соответствия требованиям ГОСТ; ИФ – показатель уровня информационного фона. Этап 1 Этап 2 Этап 3 Этап 4 Этап 5
Дистанционный надзор Показатель уровня несанкционированных операций Показатель операционной надежности Показатель уровня информационного фона Инспекционные проверки Показатель качества корпоративного управления ПНО ПОН ИФ ККУ R (ПНО, ПОН, ПОС, ИФ, ККУ) формирование зон Источники Формы отчетности Показатель оценки соответствия требованиям ГОСТ ПОС Внешний аудит Сейчас Информационный обмен с ФинЦЕРТ (для субъектов НПС) Участие всех субъектов надзора в информационном обмене с ФинЦЕРТ Сбор исходных данных Применение технологий BigData Целеваямодель Профиль риска поднадзорной организации
Отчетность
Развитие форм отчетности о рисках и инцидентах ИБ 203-я отчетность 203-я и 258- я отчетность Отчетность по 552-П Отчетность по 382-П 203-я и 258- я отчетность Отчетность по 552-П Отчетность по антифроду t Отчетность в ГосСОПКУ 2012+ 2016+ 2018+ Отчетность по рискам
Стандартизация и направления регулирования ИБ
Дорожная карта стандартизации по ИБ Банка России • Домен УКР – «управление киберриском» • Домен ЗИ – «защита информации» • Домен СО – «мониторинг киберрисков и ситуационная осведомленность» • Домен ОНД – «обеспечение непрерывности выполнения бизнес и технологических процессов финансовых организаций в случае реализации информационных угроз» • Домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» • Домен УИ – «управление инцидентами ИБ»
Стандарты по защите информации ГОСТ 57580.1 ГОСТ 57580.2 Стандарты по ОИБ и управлению рисками Общие положения Оценка соответствия Аудит ИБ Аутсорсинг и использование информационных сервисов Аутсорсинг Использование информационных сервисов Оценка соответствия Стандарты по управлению инцидентами Требования и меры организации Сбор и анализ технических данных Взаимодействие с ФинЦЕРТ (СТО 1.5) Стандарт по непрерывности Требования и меры реализации Оценка соответствия Мониторинг киберрисков и ситуационная осведомленность Требования и меры реализации Оценка соответствия Направления стандартизации Банка России Источник: план работы ПК1 ТК122
Повышение квалификации
Планы по совершенствованию процесса повышения квалификации в 2018 году Профессиональные стандарты Образовательные стандарты Система независимой аттестации специалистов +8 ПС в области ИБ +9 ФГОС для разных уровней подготовки в области ИБ +1 new! типовая программа* профессиональной переподготовки специалистов в области ИБ для КФС Дополнительные профессиональные программы Сертификаты международных независимых организаций (CISA, CISM, CISSP, COBIT, CGEIT, CRISC и другие) + new! планируется разработка системы аттестации специалистов и руководителей подразделений ИБ +1 new! типовая программа профессиональной переподготовки руководителей в области ИБ для КФС +1 new! ПС по кибербезопасности +2 new! ФГОС для разных уровней подготовки в области ИБ для КФС
Проект профстандарта Создана рабочая группа по разработке Проекта ПС Разработана функциональная карта профессиональной деятельности Разработан проект ПС (первый релиз) Приглашение СПК ИТ о создании совместной рабочей группы Профессионально-общественные обсуждения Анализ предложений и замечаний, доработка Проекта Подготовка комплекта документов, представление на утверждение в Минтруд, НСПК Июль 2018 Сентябрь 2018 Декабрь 2018 Декабрь 2018 Февраль – апрель 2019 Май – Август 2019 Сентябрь – Ноябрь 2019 Проект профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере» Подготовлен детальный план по разработке и внедрению профессионального стандарта
Программа профподготовки Программа профессиональной переподготовки прошла экспертизу в вузах: • ФУ при Правительстве РФ • МГТУ им. Н.Э. Баумана • МИФИ • Санкт-Петербургский политехнический университет имени Петра Великого Цель: формирование компетенций, необходимых работникам службы ИБ КО и НФО для выполнения новых функций в своей профессиональной деятельности. Продолжительность обучения: 512 ч.
Повышение культуры ИБ в стране Целевая аудитория • Младшая школа (1-4 классы) • Средняя и старшая школа (5-11 классы) • Старшая школа (9-11 профильные классы), профильные колледжи • Студенты непрофильных специальностей • Студенты профильных специальностей • Экономически активное население РФ (>23-55<) • «Серебряный возраст» 55+ и люди с особыми потребностями Цели: • Обучение населения основам кибергигиены • Повышение уровня киберграмотности населения • Борьба с социальной инженерией
Новые проекты нормативных актов по ИБ от Банка России
Замена 552-П • Защита в соответствие с 382-П с учетом нового Положения ССНП и СБП – как операторы по переводу денежных средств (ОПДС) ОПКЦ – как операторы услуг платежной инфраструктуры (ОУПИ) • Сегментирование объектов инфраструктуры для ССНП и СБП уровень защиты – 2 (по ГОСТ 57580.1) для ОПКЦ уровень защиты – 1 (по ГОСТ 57580.1) • Меры защиты определяются самостоятельно по ГОСТ 57580.1 • Применение СКЗИ в соответствие с 63-ФЗ, ПКЗ- 2005 и документацией на СКЗИ !
Безопасность НФО • Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков • Уровни защиты информации (по ГОСТ 57580.1) 3-й – системно значимые инфраструктурная организация финансового рынка по 3341-У 1-й – микрофинансовые организации, ломбарды, кредитные потребкооперативы, жилищные накопительные кооперативы, сельскохозяйственные кредитные потребкооперативы 2-й – все остальные • + повтор положений 382-П !
Блокировки сайтов • Проект федерального закона «О внесении изменений в статью 151 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» блокировка по решению Банка России фишинговых сайтов блокировка по решению Бланка России сайтов, предоставляющих финансовые услуги без соответствующей лицензии Банка России блокировка сайтов, связанных с распространением вредоносного ПО !
Взаимодействие с операторами связи • Проект федерального закона «О внесении изменений в Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи» (в части защиты прав и законных интересов пользователей услуг)» подтверждение принадлежности абонентского номера конкретного клиента кредитной организаций в единой информационной системе противодействие мошенничеству в финансовой сфере через выстраивание единого канала обмена данными о мобильном устройстве, абоненте номера мобильного телефона между операторами связи и банками !
Иные планы по нормотворчеству • Регулирование требований по применению цифровых технологий на финансовом рынке с учетом требований безопасности (цифровые финансовые активы, искусственный интеллект, большие данные, киберфизические системы, системы распределенного реестра) • Совершенствование механизмов использования усиленной квалифицированной электронной подписи и законодательства, регулирующего деятельность удостоверяющих центров • «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» !
Персданные
Новинки законодательства по ПДн • Законопроект об ответственности оператора ПДн за действия и бездействие обработчика ПДн • Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности осуществления надлежащего контроля за действиями лица, осуществляющего обработку персональных данных по поручению оператора • Нарушение лицом, осуществляющим обработку персональных данных по поручению оператора, требований законодательства Российской Федерации в области персональных данных • Регулирование больших пользовательских данных • «Оборотные» штрафы (?)
В качестве заключения
Спасибо! alukatsk@cisco.com

Recomendados

Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 

Recomendados

Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0Aleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
презентация министр 07мар2012 финал
презентация министр 07мар2012 финалпрезентация министр 07мар2012 финал
презентация министр 07мар2012 финалGraf De Gan
 

Más contenido relacionado

La actualidad más candente

Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 

La actualidad más candente (20)

Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 

Similar a Уральский форум по банковской ИБ за 15 минут

Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
презентация министр 07мар2012 финал
презентация министр 07мар2012 финалпрезентация министр 07мар2012 финал
презентация министр 07мар2012 финалGraf De Gan
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Expolink
 
Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»Цифровые технологии
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраExpolink
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Автоматизация заочного обслуживания потребителей
Автоматизация заочного обслуживания потребителейАвтоматизация заочного обслуживания потребителей
Автоматизация заочного обслуживания потребителейДмитрий Пшиченко
 
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...Expolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомExpolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомExpolink
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
сэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложенийсэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложенийAgency for Strategic Initiatives
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
 
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Expolink
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Cisco Russia
 

Similar a Уральский форум по банковской ИБ за 15 минут (20)

Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
презентация министр 07мар2012 финал
презентация министр 07мар2012 финалпрезентация министр 07мар2012 финал
презентация министр 07мар2012 финал
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Avanpost PKI
Avanpost PKIAvanpost PKI
Avanpost PKI
 
Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»Обеспечение информационной безопасности ИС «Независимый Регистратор»
Обеспечение информационной безопасности ИС «Независимый Регистратор»
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Автоматизация заочного обслуживания потребителей
Автоматизация заочного обслуживания потребителейАвтоматизация заочного обслуживания потребителей
Автоматизация заочного обслуживания потребителей
 
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
сэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложенийсэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложений
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
Дмитрий Истомин (УЦСБ): Информационная безопасность банка на базе решений Che...
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18
 

Más de Aleksey Lukatskiy

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 

Más de Aleksey Lukatskiy (13)

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

Уральский форум по банковской ИБ за 15 минут

  • 1. Бизнес-консультант по безопасности Уральский форум за 15 минут …ну не за 15 J Алексей Лукацкий 22 февраля 2019
  • 4. Уровни ИБ Методологическая составляющая Надзорная составляющая Инфраструктурный уровень Защита инфраструктурыпо комплексуГОСТ Надзор подразделений ИБ Банка России Система внешнего аудита Уровень приложений ►ГОСТ Р ИСО/МЭК 15408-3-2013 – критерии оценки безопасности информационных технологий, компоненты доверия к безопасности ►Профиль защиты для оценки уязвимости в банковских приложениях ► Анализ уязвимостей приложений, критичных с точки зрения наличия уязвимостей (сертификация): - приложения клиентов - фронт-приложения ► Сертификация ФСТЭК России Уровеньтехнологии обработкиданных ►Обеспечение целостности информации на технологических участках ее обработки ►Протоколирование действий на технологических участках ►Взаимодействие с клиентами финансовых организаций ►Ведение баз данных об инцидентах ИБ, в том числе на основе претензионной работы ► Анализ показателей уровня риска по операциям на технологических участках ► Анализ показателей, формируемых на основе претензионной работы 8| домен УР – «управление киберриском» домен ЗИ – «защита информации» домен СО – «мониторинг киберрисков и ситуационная осведомленность» домен ОНД – «обеспечение непрерывности выполнения бизнес- и технологических процессов финансовых организаций в случае реализации информационных угроз» домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» домен УИ – «управление инцидентами ИБ» - идентификация клиентов - получение подтверждения финансовых (банковских) операций - направление уведомлений о совершенных операциях Крупными мазками
  • 6. Планы ЦБ на финтех 2019-го года • Расширение на другие сектора, запуск мобильного приложения на iOS • I этап — переводы с неограниченным количеством клиентов P2P и Me2Me • II этап — переводы С2B и C2G • Утверждение концепции • Подготовка законопроекта • Запуск пилотного проекта • Подготовка технологических и правовых условий, запуск платформ Опытно-промышленная эксплуатация сервисов: • электронные закладные • цифровые банковские гарантии • цифровые аккредитивы Цифровой профиль Финансовый маркетплейс и регистратор финансовых транзакций Биометрическая идентификация Система быстрых платежей Технологии распределенных реестров — Мастерчейн
  • 7. Сравним с прошлым годом Система передачи финансовых сообщений Единая система идентификации и аутентификации Перспективная платежная система Сквозной идентификатор клиента Платформа быстрых платежей Платформа на основе технологии распределенных реестров Платформа для регистрации финансовых сделок Финансовый маркетплейс Национальная система платежных карт Биометрическая платформа Платформа для облачных сервисов Новые платформы Развивающиеся платформы Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема ? ? ? ?
  • 8. Цифровой профиль в том числе Единая биометрическая система Организации – потребители данных Пользователь ЦИФРОВОЙ ПРОФИЛЬ – ЕСИА 2.0 КС1Мобильное приложение ГИС ОКЭП Подпись из облака привязана к мобильному телефону Поставщики данных СМЭВ Цифровые ID и реестр ссылокСистема идентификации Цифровые согласияЦифровые документы КС3 (физические и юридические лица) Подготовлены изменения в 63-ФЗ, устанавливающие возможность использования ОКЭП, а также ее получения посредством удаленной идентификации
  • 9. КС3 на каналах связи грядет везде • Код безопасности (Континент) • Инфотекс (VipNet) • Амикон (ФПСУ-IP) • Элвис+ (Застава) • С-Терра • Крипто-Про • Фактор-ТС (Dionis) • РКСС (Н-160) • ТСС (DCrypt) • ИВК (Крипто) • Голлард (М-543) • Системпром (Бартизан) На 22.02.2019
  • 10. Мастерчейн 1. Доказательство аутентичности цепочки. Однозначный алгоритм для единственно верной версии РР. 2. Отсутствие влияния данных внутри цепочки на логику алгоритма консенсуса. 3. Возможность расчета цены компрометации системы с высокой точностью. 4. Управляемый доступ узлов к сети. 5. Использование российских сертифицированных алгоритмов криптографической защиты информации. 1. Децентрализованная депозитарная система для учета закладных 2. Know Your Customer 3. Распределенный реестр цифровых банковских гарантий 4. Цифровой аккредитив
  • 11. Как финансовые продукты продаются сегодня?! Клиент Подбор вклада на сайтах-агрегаторах Заявка на открытие вклада на сайте банка Оформление в офисе
  • 12. Как финансовые продукты будут продаваться завтра?! Клиент Подбор вклада Оформление вклада Отображение активов клиента + Маркетплейс
  • 13. Безопасность облачной платформы Безопасность маркетплейса Безопасность мобильных устройств и приложений Безопасность Big Data Безопасность аутсорсинга + а также персональные данные, идентификация, ЭП
  • 16. 3 сценария защиты ЕБС Собственное решение Типовое решение от Ростелекома Облачное решение НЕТ СОГЛАСОВАННЫХ ФСБ ПРОДУКТОВ Подтверждение ФСБ Не нужно разрабатывать Не нужны тематические исследования Риски Стоимость от 25 млн. руб. от 5 млн. руб. от 1 млн. руб./год Срок внедрения от 6 месяцев 2-3 месяца 3-4 кв. 2019 запуск + 2-3 месяца Зачем? Доверие Торопимся
  • 17. Криптография не закрывает всю модель угроз Сбор данных Обработка сигнала Сравнение Принятие решения Верификация (приложение) Хранение Доказательство идентичности Регистрация биометрии 1 2 3 4 5 6 7 8 9 10 11 12 13
  • 18. «Валентинка» МР-4 Рекомендации, но фактически обязательны к исполнению Даже покупка типового решения от Ростелекома не снимает необходимости выполнения процессов ИБ
  • 20. Ключевые сроки последней редакции 382-П Требование Сроки Сертификация прикладного ПО или оценка уязвимостей по ОУД4 01.01.2020 Пентесты и анализ уязвимостей объектов информационной инфраструктуры 01.07.2018 Разделение контуров 01.01.2020 Применение в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ, и вообще иностранных СКЗИ 01.01.2024 Применение в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ 01.01.2031 Применение в значимых платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ 01.01.2031 Применение в национально значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых платежных системах 01.01.2031
  • 21. Некоторые вопросы • Методика проведения анализа уязвимостей и пентестов • Методика оценки уязвимостей банковских приложений в условии ДСПшности ФСТЭК • Отсутствие сертификации HSM по требованиям МПС • Квантовые компьютеры и 2031-й год
  • 25. АСОИ ФинЦЕРТ До 01.07.2018 Настоящее время Создана 1-я очередь АСОИ ФинЦЕРТ 2019 2-я очередь АСОИ ФинЦЕРТ § Обмен с участниками по e-mail (получение информации в формате XLSX) § Локальная автоматизация работы экспертов § Функционирование базовых процессов § Обмен с Участниками через защищенный портал, ЛКУ, e-mail § Автоматизация ключевых процессов ФинЦЕРТ § Автоматизированное взаимодействие с ГосСОПКА; § Реализация функционала «Фид-антифрода» для Участников (прототип) § Обмен с участниками через защищенный портал, e-mail и по API § Предоставление Участникам возможности передачи через ЛК дампов и логов для последующего анализа в ФинЦЕРТ § Автоматическое взаимодействие с ГосСОПКА § Поддержка функционала для реализации 167-ФЗ в полном объеме
  • 26. Новые сервисы АСОИ ФинЦЕРТ 2-й очереди • Предоставление Участникам сервиса ЛКУ по проверке ВПО (включая специализированную песочницу) • Предоставление Участникам сервиса передачи через ЛК «дампов» сетевого трафика и лог-файлов web-серверов для последующего анализа в ФинЦЕРТ • Сервис автоматического взаимодействия Участников с ГосСОПКА • Сервис уведомлений о критических инцидентах по SMS • Автоматизация взаимодействия с АСОИ ФинЦЕРТ посредством API • Сервис предоставления Участникам машиночитаемых IOC и агрегированных баз данных • Сервис обмена электронными сообщениями между ФинЦЕРТ и Участниками с использованием электронной подписи
  • 27. Справится ли АСОИ с СТО 1.5? Показатель Значение Количество принятых ЭСУ не менее 10000 шт. в сутки Пиковое значение принятых ЭСУ не более 2500 шт. в час Количество созданных, автоматизированно классифицированных и агрегированных тикетов не более 40 шт. в минуту Объем принимаемых файлов через личный кабинет до 2 Гб Планируемое количество одновременно работающих пользователей не менее 4000
  • 29. Возможности «Фид-Антифрод» Доступная маршрутизация операций без согласия Перевод с карты на карту через сервисы банка-отправителя Перевод со счета на счет Без маршрутизации (только репортинг) Перевод с карты на карту через иные сервисы Переводы, связанные с оплатой товаров и услуг с использованием POS терминалов Перевод на электронный кошелек Пополнение остатка средств абонента радиотелефонной связи Иные реквизиты получателя Получение фидов Специальный код номера паспорта Специальный код СНИЛС ИНН Номер карты Номер телефона Номер счета + БИК Номер кошелька Получение сведений о повышенном риске для отдельной операции в рамках осуществления переводов денежных средств Возможность для ОПДС принятия мер, направленных на выполнение мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента Выявление операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента, до принятия распоряжения к исполнению
  • 30. Планы развития «Фид-Антифрод» • Оптимизация маршрутизации • Оптимизация внутреннего перечня критериев • Гармонизация СТО БР 1.5 с текущими форматами системы • Развитие API для автоматического направления сведений об ОБС в ФинЦЕРТ • Оптимизация перечная анализируемых параметров • Оптимизация подходов к обработке статусов ОБС (автоматизация изменения статуса при возврате, при отказе от заявления) • Развитие API для автоматического получения фидов • Оптимизация перечня фидов и формирование условий для получения обратной связи по их эффективности
  • 33. Трансформация системы управления операционным риском 34 Положение о СУОР Новые требования к отчетности по ОР Порядок расчета величины ОР с учетом статистики потерь и качества СУОР 2019 2020 Ø Компонента потерь (ILM) для расчёта капитала на ОР Ø Детальные требования к организации СУОР Ø Детальные требования к данным о потерях от ОР и ИБ Ø Стресс-тестирование ОР и ИБ 2021 Начало применения подхода Basel III к расчету капитала под ОР
  • 36. Рискориентированный подход - регулярная отчетность об инцидентах - результаты проверок подразделениями ИБ Банка России - протоколирование действий на технологических участках - информация, содержащаяся в базах данных Показатели защищенности инфраструктуры Показатели защищенности приложений Показатели риска по операциям - результаты проверок подразделениями ИБ Банка России Источники Состав операционных рисков финансовых организаций показатели, характеризующие уровень несанкционированных финансовых операций показатели , характеризующие непрерывность предоставления финансовых услуг показатели, характеризующие финансовые потери клиентов финансовых организаций ПоказателиоперационнойстабильностиПоказателифинансовойстабильности
  • 38. Жизненный цикл ИБ с точки зрения надзора Необходимость включения нового вида организации в контур надзора Комплекс подготовительных мероприятий к включению в контур надзора Включение в контур надзора Формирование профиля риска реализации информационных угроз Надзор за реализацией системы управления риском и капиталом с учетом профиля риска • Кредитная организация • Некредитная финансовая организация • ФинТех-проект • субъект национальной платежной системы • Определение типового состава показателей профиля риска поднадзорной организации • Разработка методик применения надзорных мер реагирования • Формирование нормативно- методологической базы знаний Нормативное закрепление (часть 1): • состава и содержания технологических мер обеспечения защиты информации; • мер анализа уязвимостей программного обеспечения; • уровня защиты по ГОСТ; • правил протоколирования. Нормативное закрепление (часть 2): • требований проведения оценки соответствия по ГОСТ; • правил претензионной работы; • правил информирования ФинЦЕРТ о несанкционированных финансовых операциях. Осуществление дистанционного надзора (мониторинга) показателей: ПНО – показатель уровня несанкционированных операций; ПОН – показатель операционной надежности; ПОС – показатель оценки соответствия требованиям ГОСТ; ИФ – показатель уровня информационного фона. Этап 1 Этап 2 Этап 3 Этап 4 Этап 5
  • 39. Дистанционный надзор Показатель уровня несанкционированных операций Показатель операционной надежности Показатель уровня информационного фона Инспекционные проверки Показатель качества корпоративного управления ПНО ПОН ИФ ККУ R (ПНО, ПОН, ПОС, ИФ, ККУ) формирование зон Источники Формы отчетности Показатель оценки соответствия требованиям ГОСТ ПОС Внешний аудит Сейчас Информационный обмен с ФинЦЕРТ (для субъектов НПС) Участие всех субъектов надзора в информационном обмене с ФинЦЕРТ Сбор исходных данных Применение технологий BigData Целеваямодель Профиль риска поднадзорной организации
  • 41. Развитие форм отчетности о рисках и инцидентах ИБ 203-я отчетность 203-я и 258- я отчетность Отчетность по 552-П Отчетность по 382-П 203-я и 258- я отчетность Отчетность по 552-П Отчетность по антифроду t Отчетность в ГосСОПКУ 2012+ 2016+ 2018+ Отчетность по рискам
  • 43. Дорожная карта стандартизации по ИБ Банка России • Домен УКР – «управление киберриском» • Домен ЗИ – «защита информации» • Домен СО – «мониторинг киберрисков и ситуационная осведомленность» • Домен ОНД – «обеспечение непрерывности выполнения бизнес и технологических процессов финансовых организаций в случае реализации информационных угроз» • Домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» • Домен УИ – «управление инцидентами ИБ»
  • 44. Стандарты по защите информации ГОСТ 57580.1 ГОСТ 57580.2 Стандарты по ОИБ и управлению рисками Общие положения Оценка соответствия Аудит ИБ Аутсорсинг и использование информационных сервисов Аутсорсинг Использование информационных сервисов Оценка соответствия Стандарты по управлению инцидентами Требования и меры организации Сбор и анализ технических данных Взаимодействие с ФинЦЕРТ (СТО 1.5) Стандарт по непрерывности Требования и меры реализации Оценка соответствия Мониторинг киберрисков и ситуационная осведомленность Требования и меры реализации Оценка соответствия Направления стандартизации Банка России Источник: план работы ПК1 ТК122
  • 46. Планы по совершенствованию процесса повышения квалификации в 2018 году Профессиональные стандарты Образовательные стандарты Система независимой аттестации специалистов +8 ПС в области ИБ +9 ФГОС для разных уровней подготовки в области ИБ +1 new! типовая программа* профессиональной переподготовки специалистов в области ИБ для КФС Дополнительные профессиональные программы Сертификаты международных независимых организаций (CISA, CISM, CISSP, COBIT, CGEIT, CRISC и другие) + new! планируется разработка системы аттестации специалистов и руководителей подразделений ИБ +1 new! типовая программа профессиональной переподготовки руководителей в области ИБ для КФС +1 new! ПС по кибербезопасности +2 new! ФГОС для разных уровней подготовки в области ИБ для КФС
  • 47. Проект профстандарта Создана рабочая группа по разработке Проекта ПС Разработана функциональная карта профессиональной деятельности Разработан проект ПС (первый релиз) Приглашение СПК ИТ о создании совместной рабочей группы Профессионально-общественные обсуждения Анализ предложений и замечаний, доработка Проекта Подготовка комплекта документов, представление на утверждение в Минтруд, НСПК Июль 2018 Сентябрь 2018 Декабрь 2018 Декабрь 2018 Февраль – апрель 2019 Май – Август 2019 Сентябрь – Ноябрь 2019 Проект профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере» Подготовлен детальный план по разработке и внедрению профессионального стандарта
  • 48. Программа профподготовки Программа профессиональной переподготовки прошла экспертизу в вузах: • ФУ при Правительстве РФ • МГТУ им. Н.Э. Баумана • МИФИ • Санкт-Петербургский политехнический университет имени Петра Великого Цель: формирование компетенций, необходимых работникам службы ИБ КО и НФО для выполнения новых функций в своей профессиональной деятельности. Продолжительность обучения: 512 ч.
  • 49. Повышение культуры ИБ в стране Целевая аудитория • Младшая школа (1-4 классы) • Средняя и старшая школа (5-11 классы) • Старшая школа (9-11 профильные классы), профильные колледжи • Студенты непрофильных специальностей • Студенты профильных специальностей • Экономически активное население РФ (>23-55<) • «Серебряный возраст» 55+ и люди с особыми потребностями Цели: • Обучение населения основам кибергигиены • Повышение уровня киберграмотности населения • Борьба с социальной инженерией
  • 50. Новые проекты нормативных актов по ИБ от Банка России
  • 51. Замена 552-П • Защита в соответствие с 382-П с учетом нового Положения ССНП и СБП – как операторы по переводу денежных средств (ОПДС) ОПКЦ – как операторы услуг платежной инфраструктуры (ОУПИ) • Сегментирование объектов инфраструктуры для ССНП и СБП уровень защиты – 2 (по ГОСТ 57580.1) для ОПКЦ уровень защиты – 1 (по ГОСТ 57580.1) • Меры защиты определяются самостоятельно по ГОСТ 57580.1 • Применение СКЗИ в соответствие с 63-ФЗ, ПКЗ- 2005 и документацией на СКЗИ !
  • 52. Безопасность НФО • Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков • Уровни защиты информации (по ГОСТ 57580.1) 3-й – системно значимые инфраструктурная организация финансового рынка по 3341-У 1-й – микрофинансовые организации, ломбарды, кредитные потребкооперативы, жилищные накопительные кооперативы, сельскохозяйственные кредитные потребкооперативы 2-й – все остальные • + повтор положений 382-П !
  • 53. Блокировки сайтов • Проект федерального закона «О внесении изменений в статью 151 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» блокировка по решению Банка России фишинговых сайтов блокировка по решению Бланка России сайтов, предоставляющих финансовые услуги без соответствующей лицензии Банка России блокировка сайтов, связанных с распространением вредоносного ПО !
  • 54. Взаимодействие с операторами связи • Проект федерального закона «О внесении изменений в Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи» (в части защиты прав и законных интересов пользователей услуг)» подтверждение принадлежности абонентского номера конкретного клиента кредитной организаций в единой информационной системе противодействие мошенничеству в финансовой сфере через выстраивание единого канала обмена данными о мобильном устройстве, абоненте номера мобильного телефона между операторами связи и банками !
  • 55. Иные планы по нормотворчеству • Регулирование требований по применению цифровых технологий на финансовом рынке с учетом требований безопасности (цифровые финансовые активы, искусственный интеллект, большие данные, киберфизические системы, системы распределенного реестра) • Совершенствование механизмов использования усиленной квалифицированной электронной подписи и законодательства, регулирующего деятельность удостоверяющих центров • «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» !
  • 57. Новинки законодательства по ПДн • Законопроект об ответственности оператора ПДн за действия и бездействие обработчика ПДн • Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности осуществления надлежащего контроля за действиями лица, осуществляющего обработку персональных данных по поручению оператора • Нарушение лицом, осуществляющим обработку персональных данных по поручению оператора, требований законодательства Российской Федерации в области персональных данных • Регулирование больших пользовательских данных • «Оборотные» штрафы (?)