Требования по ИБ и сервисы IBS DataFort
| Требование | Услуги, предоставляемые IBS DataFort для выполнения требований |
|---|---|
| 1. Распределение ролей и ответственность | |
| Определяет требования к регистрации лиц, обладающих различными правами доступа к защищаемой информации и объектам среды обработки защищаемой информации, требования к контролю и регистрации действий таких лиц | • Резервное копирование виртуальных машин и данных • Шифрование информации при хранении и передаче • Гарантированное уничтожение информации, в том числе физических носителей • Мониторинг инфраструктуры • Мониторинга и регистрации событий ИБ, в том числе сертифицированными средствами • Контроль и предотвращение утечки конфиденциальной информации (DLP) |
| 2. Обеспечение информационной безопасности на жизненном цикле автоматизированных систем | |
| Определяет требования к обеспечению защиты информации на стадиях жизненного цикла автоматизированных систем и обеспечению реализации требований по защите информации (разработка ТЗ, разработка ПО, тестирование, эксплуатация, внесение изменений, защита резервных копий, восстановление средств ЗИ в случае сбоев и отказов, снятие с эксплуатации, уничтожение информации). | • Резервное копирование виртуальных машин и данных • Шифрование информации при хранении и передаче • Гарантированное уничтожение информации, в том числе физических носителей • Мониторинг инфраструктуры • Мониторинга и регистрации событий ИБ, в том числе сертифицированными средствами • Контроль и предотвращение утечки конфиденциальной информации (DLP) |
| 3. Управление и контроль доступа | |
| Определяет требования к управлению и контролю доступа к защищаемой информации и объектам среды обработки защищаемой информации путем применения комплекса организационных и технологических мероприятий (идентификация, аутентификация, регистрация событий и т.д.). | • Внедренные в платформу предоставления вычислительных мощностей сертифицированные средства защиты виртуализации • Защита информации от несанкционированного доступа (в том числе сертифицированными средствами) с использованием многофакторной авторизации |
| 4. Антивирусная защита | |
| Определяет требования к защите от вредоносного ПО (в том числе использование технических средств ЗИ от воздействия вредоносного кода различных производителей), а также необходимость принятия мер, направленных на предотвращение распространения вредоносного кода и на устранение последствий воздействия вредоносного кода. | Антивирусная защита (в том числе сертифицированными средствами) |
| 5. Контроль использования сети интернет | |
| Устанавливает организационно технические требования к защите информации при взаимодействии с сетью Интернет (Межсетевое экранирование защита от несанкционированного доступа и т.д.) | • Внедренные в платформу предоставления вычислительных мощностей сертифицированные средства защиты виртуализации, в том числе сертифицированный межсетевой экран • Защита информации от несанкционированного доступа (в том числе сертифицированными средствами) • Обнаружение и предотвращение вторжений (IPS/IDS) • Защита от DDoS атак • Сканирование виртуальных машин, операционных систем и сетевых устройств на уязвимости |
| 6. Использование средств криптографической защиты информации | |
| Определяет требования к использованию СКЗИ (в том числе в случае использования СКЗИ Российского производства, указанные СКЗИ должны иметь сертификаты ФСБ России) | • Выделенные каналы передачи данных • VPN шифрование трафика в случае передачи информации посредством сети интернет (в том числе с использованием сертифицированных средств, использующих российские алгоритмы шифрования) |
| 7. Обеспечение информационной безопасности при осуществлении переводов денежных средств | |
| Определяет требования к обеспечению защиты информации при реализации банковского платежного технологического процесса (в основном реализуется в рамках используемых АБС и наложенных механизмов обеспечения ИБ при передачи платежной информации между участниками обмена) | • Контроль установленного и запускаемого на виртуальных машинах программного обеспечения • Шифрование информации, установка и проверка электронной подписи |
| 8. Организация и функционирования подразделения (работников), ответственного за обеспечение информационной безопасности | |
| Определяет требования к формированию службы информационной безопасности, возлагаемые задачи и зоны ответственности | • Наличие Дирекции по информационной безопасности • Внедренная система управления информационной безопасности, подтвержденная сертификатом ISO 27001 |
| 9. Повышение осведомленности работников и клиентов по вопросам обеспечения информационной безопасности | |
| Определяет требования к необходимости проведения обучения по вопросам обеспечения ИБ и защиты информации при осуществлении переводов денежных средств как для работников, так и для клиентов. | Поддержка мероприятий по информированию в области информационной безопасности |
| 10. Управление инцидентами информационной безопасности | |
| Определяет требования к форме, составу и порядку уведомления об инцидентах ИБ, порядку реагирования и анализа инцидентов ИБ. Устанавливается необходимость определения порядка регистрации и хранения информации об инцидентах. | • Мониторинг и регистрация событий ИБ (в том числе сертифицированными средствами, SIEM) • Внедренная система управлением предоставления услуг, в том числе инцидент менеджмент, подтвержденная сертификатом ISO 20000 |
| 11. Определение и реализация порядка и правил обеспечения информационной безопасности | |
| Определяется необходимость выполнения контроля определенного порядка и правил обеспечения ИБ при осуществлении переводов денежных средств как организационными мерами, так и с применением технических средств защиты информации. | Мониторинг и регистрация событий ИБ (в том числе сертифицированными средствами, SIEM) |
| 12. Оценка выполнения требований по защите информации | |
| Определена необходимость проведения периодической (не реже 1 раза в 2 года) оценки соответствия и формирования документальных подтверждений выполнения таких оценок. | Проведение сканирования и оценки выполнения требований нормативных документов |
| 13. Доведение до заинтересованных сторон информации об обеспечении информационной безопасности | |
| Определяет необходимость доведения информации о состоянии обеспечения защиты информации до оператора платежной системы в форме и способом, определенных в Правилах соответствующей платежной системы | • Поддержка мероприятий по информированию в области информационной безопасности • Предоставление регулярных отчетов в рамках оказываемых услуг |
| 14. Совершенствование оператором платежной системы, оператором по переводу денежных средств | |
| Определяет необходимость совершенствования системы защиты по результатам анализа инцидентов и мониторинга/контроля состояния ИБ, при выявлении уязвимостей (организационных, эксплуатационных, технологических), при изменении требований оператора платежной системы, а также по результатам оценки соответствия (аудитов). | Консультации по корректирующим действиям по результатам анализа инцидентов ИБ |
