Финансовая отрасль – одна из наиболее «зарегулированных» с точки зрения информационной безопасности. Банки и другие финансовые организации имеют развитые IT-инфраструктуры, в которых происходит обработка различной критической информации. Именно с этим связано повышенное внимание к безопасности данных как со стороны бизнеса, так и со стороны регуляторов, устанавливающих стандарты в области защиты информации.
Несоответствие требованиям увеличивает риск санкций со стороны регуляторов и государственных органов в виде штрафов, отзыва лицензий и ряда других мер, негативно влияющих на бизнес и репутацию.
«О персональных данных» от 27.07.2006 г.
Статья 19. п 2. пп. 6
Обеспечение безопасности персональных данных достигается, в частности: обнаружением фактов несанкционированного доступа к персональным данным и принятием мер.
Решение:
DLP-система «Гарда Предприятие» в реальном времени обнаруживает в сетевом трафике факты пересылки любой информации, содержащей персональные данные, и уведомляет службу безопасности о нарушениях.
Система защиты баз данных «Гарда БД» проверяет на легитимность все попытки доступа к информации. Решение способно пресечь попытки выгрузок из баз данных.
"Обеспечение информационной безопасности организаций банковской системы Российской Федерации/ Общие положения"
Статья 2.6.3
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении доступа своих работников к защищаемой информации.
Решение:
Доступ к критической информации осуществляется через сетевые каналы и при обращении к базам данных. Мониторинг передачи и доступа к информации на всех каналах коммуникаций при помощи DLP-системы «Гарда Предприятие» поможет защитить различные виды данных.
Информацию в базах данных поможет защитить система «Гарда БД», которая автоматически выявляет базы, содержащие критическую информацию, и проводит полный мониторинг обращений к этим базам данных.
Стандарт безопасности данных платежных систем VISA, MasterCard, American Express, JCB и Discover. Стандарт описывает необходимые процедуры для обеспечения безопасности данных платежных карт.
Требование 10. «Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт».
Пункт 10.2.3.10.2 «Для каждого системного компонента должен быть включен механизм протоколирования следующих событий: любой доступ к записям о событиях в системе».
Решение:
DLP-система «Гарда Предприятие» фиксирует все коммуникации пользователей при сетевом обмене информацией и сохраняет в архив хронологию событий. Это дает возможность в любое время восстановить полную картину коммуникаций и составить удобную визуальную схему движения документов.
Обезопасить доступ к данным в базах данных поможет решение «Гарда БД». Система фиксирует все попытки доступа к данным, блокирует нелегитимные действия или оповещает сотрудников службы безопасности в случае выявления нарушений. Интеллектуальные технологии, заложенные в систему, позволят выявить попытки SQL-инъекций и внешнего вторжения в базы данных.
"Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (утв. Банком России 09.06.2012 N 382-П)
Статья 7.6.9
Электронная почта должна архивироваться.
Целями создания архивов электронной почты являются:
Решение:
DLP-система «Гарда Предприятие» может сохранять весь архив бизнес-коммуникаций, в том числе почтовый трафик. Прямой доступ к архиву легко осуществляется из интерфейса системы.
Хранение электронной корреспонденции при помощи штатных средств не защищает архив от действий администраторов и осложняет проведение расследований, так как возможности автоматического поиска и анализа информации при таком подходе отсутствуют.
Решения компании «Гарда Технологии» позволят выполнить многие требования основных стандартов информационной безопасности финансовой отрасли:
ФЗ РФ N152 от 27.07.2006 года - закон "О персональных данных";
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных», содержащее требования к защите персональных данных при их обработке в информационных системах персональных данных;
PCI DSS - стандарт безопасности данных платежных систем VISA, MasterCard, American Express, JCB и Discover;
СТО БР ИББС «Стандарт Банка России» - комплекс требований к обеспечению информационной безопасности в финансовых организациях;
Положение ЦБ РФ №382-П - требование к защите данных при осуществлении переводов денежных средств;
Федеральный закон от 27.06.2011 №161-ФЗ - закон, устанавливающий организационные и правовые основы Национальной Платежной Системы, в том числе обеспечение защиты информации;
ISO/IEC 27001 - международный стандарт по информационной безопасности, регламентирует Систему Менеджмента Информационной Безопасности на предприятиях;
ФЗ РФ N149 от 27.07.2006 г. Закон "Об информации, информационных технологиях и о защите информации".