Стандарты финансовой отрасли

Стандарты финансовой отрасли

Финансовая отрасль – одна из наиболее «зарегулированных» с точки зрения информационной безопасности. Банки и другие финансовые организации имеют развитые IT-инфраструктуры, в которых происходит обработка различной критической информации. Именно с этим связано повышенное внимание к безопасности данных как со стороны бизнеса, так и со стороны регуляторов, устанавливающих стандарты в области защиты информации.

Стандарты финансовой отрасли, фото 1Обеспечение соответствия требованиям регуляторов - одна из важных задач службы информационной безопасности банка.

Несоответствие требованиям увеличивает риск санкций со стороны регуляторов и государственных органов в виде штрафов, отзыва лицензий и ряда других мер, негативно влияющих на бизнес и репутацию.

Примеры выполнения требований отраслевых стандартов с помощью DLP-системы «Гарда Предприятие» и системы защиты баз данных «Гарда БД».


Федеральный закон РФ N 152-ФЗ

«О персональных данных» от 27.07.2006 г.

Стандарты финансовой отрасли, фото 2Статья 19. п 2. пп. 6

Обеспечение безопасности персональных данных достигается, в частности: обнаружением фактов несанкционированного доступа к персональным данным и принятием мер.


Стандарты финансовой отрасли, фото 3Решение:

DLP-система «Гарда Предприятие» в реальном времени обнаруживает в сетевом трафике факты пересылки любой информации, содержащей персональные данные, и уведомляет службу безопасности о нарушениях.

Система защиты баз данных «Гарда БД» проверяет на легитимность все попытки доступа к информации. Решение способно пресечь попытки выгрузок из баз данных.


Стандарт Банка России СТО БР ИББС

"Обеспечение информационной безопасности организаций банковской системы Российской Федерации/ Общие положения"

Стандарты финансовой отрасли, фото 4Статья 2.6.3

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, оператор по переводу денежных  средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении  доступа своих работников к защищаемой информации.


Стандарты финансовой отрасли, фото 5Решение:

Доступ к критической информации осуществляется через сетевые каналы и при обращении к базам данных. Мониторинг передачи и доступа к информации на всех каналах коммуникаций при помощи DLP-системы «Гарда Предприятие» поможет защитить различные виды данных.

Информацию в базах данных поможет защитить система «Гарда БД», которая автоматически выявляет базы, содержащие критическую информацию, и проводит полный мониторинг обращений к этим базам данных.


PCI DSS

Стандарт безопасности данных платежных систем VISA, MasterCard, American Express, JCB и Discover. Стандарт описывает необходимые процедуры для обеспечения безопасности данных платежных карт.

Стандарты финансовой отрасли, фото 4Требование 10. «Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт».

Пункт 10.2.3.10.2 «Для каждого системного компонента должен быть включен механизм протоколирования следующих событий: любой доступ к записям о событиях в системе».


Стандарты финансовой отрасли, фото 5Решение:

DLP-система «Гарда Предприятие» фиксирует все коммуникации пользователей при сетевом обмене информацией и сохраняет в архив хронологию событий. Это дает возможность в любое время восстановить полную картину коммуникаций и составить удобную визуальную схему движения документов.

Обезопасить доступ к данным в базах данных поможет решение «Гарда БД».  Система фиксирует все попытки доступа к данным, блокирует нелегитимные действия или оповещает сотрудников службы безопасности в случае выявления нарушений. Интеллектуальные технологии, заложенные в систему, позволят выявить попытки SQL-инъекций и внешнего вторжения в базы данных.


Положение ЦБ РФ №382-П

"Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (утв. Банком России 09.06.2012 N 382-П) 

Стандарты финансовой отрасли, фото 4Статья 7.6.9

Электронная почта должна архивироваться. 

Целями создания архивов электронной почты являются:

  • контроль информационных потоков, в том числе с целью предотвращение утечек информации;
  • использование архивов при проведении разбирательств по фактам утечек информации.

Стандарты финансовой отрасли, фото 5Решение:

DLP-система «Гарда Предприятие» может сохранять весь архив бизнес-коммуникаций, в том числе почтовый трафик. Прямой доступ к архиву легко осуществляется из интерфейса системы.


Хранение электронной корреспонденции при помощи штатных средств не защищает архив от действий администраторов и осложняет проведение расследований, так как возможности автоматического поиска и анализа информации при таком подходе отсутствуют.


Системы «Гарда Предприятие» и «Гарда БД» создаются с учётом особенностей бизнеса тех отраслей, в которых необходимо применение специализированных средств информационной безопасности.

Решения компании «Гарда Технологии» позволят выполнить многие требования основных стандартов информационной безопасности финансовой отрасли:

  • ФЗ РФ N152 от 27.07.2006 года - закон "О персональных данных";

  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных», содержащее требования к защите персональных данных при их обработке в информационных системах персональных данных;

  • PCI DSS - стандарт безопасности данных платежных систем VISA, MasterCard, American Express, JCB и Discover;

  • СТО БР ИББС «Стандарт Банка России» - комплекс требований к обеспечению информационной безопасности в финансовых организациях;

  • Положение ЦБ РФ №382-П - требование к защите данных при осуществлении переводов денежных средств;

  • Федеральный закон от 27.06.2011 №161-ФЗ - закон, устанавливающий организационные и правовые основы Национальной Платежной Системы, в том числе обеспечение защиты информации;

  • ISO/IEC 27001 - международный стандарт по информационной безопасности, регламентирует Систему Менеджмента Информационной Безопасности на предприятиях;

  • ФЗ РФ N149 от 27.07.2006 г. Закон "Об информации, информационных технологиях и о защите информации".

Популярные в разделе
[Исследование] Почти 50% ИБ-систем в российских компаниях – отечественные
Кибербезопасность удалённой работы в 2021 году
Анализ теневого рынка баз данных банков за 2020 год