Разделы

Требования по ИБ и сервисы IBS DataFort
Требование Услуги, предоставляемые IBS DataFort для выполнения требований
1.     Распределение ролей и ответственность
Определяет требования к регистрации лиц, обладающих различными правами доступа к защищаемой информации и объектам среды обработки защищаемой информации, требования к контролю и регистрации действий таких лиц • Резервное копирование виртуальных машин и данных
• Шифрование информации при хранении и передаче
• Гарантированное уничтожение информации, в том числе физических носителей
• Мониторинг инфраструктуры
• Мониторинга и регистрации событий ИБ, в том числе сертифицированными средствами
• Контроль и предотвращение утечки конфиденциальной информации (DLP)
2.     Обеспечение информационной безопасности на жизненном цикле автоматизированных систем
Определяет требования к обеспечению защиты информации на стадиях жизненного цикла автоматизированных систем и обеспечению реализации требований по защите информации (разработка ТЗ, разработка ПО, тестирование, эксплуатация, внесение изменений, защита резервных копий, восстановление средств ЗИ в случае сбоев и отказов, снятие с эксплуатации, уничтожение информации). • Резервное копирование виртуальных машин и данных
• Шифрование информации при хранении и передаче
• Гарантированное уничтожение информации, в том числе физических носителей
• Мониторинг инфраструктуры
• Мониторинга и регистрации событий ИБ, в том числе сертифицированными средствами
• Контроль и предотвращение утечки конфиденциальной информации (DLP)
3.     Управление и контроль доступа
Определяет требования к управлению и контролю доступа к защищаемой информации и объектам среды обработки защищаемой информации путем применения комплекса организационных и технологических мероприятий (идентификация, аутентификация, регистрация событий и т.д.). • Внедренные в платформу предоставления вычислительных мощностей сертифицированные средства защиты виртуализации
• Защита информации от несанкционированного доступа (в том числе сертифицированными средствами) с использованием многофакторной авторизации
4.     Антивирусная защита
Определяет требования к защите от вредоносного ПО (в том числе использование технических средств ЗИ от воздействия вредоносного кода различных производителей), а также необходимость принятия мер, направленных на предотвращение распространения вредоносного кода и на устранение последствий воздействия вредоносного кода. Антивирусная защита (в том числе сертифицированными средствами)
5.     Контроль использования сети интернет
Устанавливает организационно технические требования к защите информации при взаимодействии с сетью Интернет (Межсетевое экранирование защита от несанкционированного доступа и т.д.) • Внедренные в платформу предоставления вычислительных мощностей сертифицированные средства защиты виртуализации, в том числе сертифицированный межсетевой экран
• Защита информации от несанкционированного доступа (в том числе сертифицированными средствами)
• Обнаружение и предотвращение вторжений (IPS/IDS)
• Защита от DDoS атак
• Сканирование виртуальных машин, операционных систем и сетевых устройств на уязвимости
6.     Использование средств криптографической защиты информации
Определяет требования к использованию СКЗИ (в том числе в случае использования СКЗИ Российского производства, указанные СКЗИ должны иметь сертификаты ФСБ России) • Выделенные каналы передачи данных
• VPN шифрование трафика в случае передачи информации посредством сети интернет (в том числе с использованием сертифицированных средств, использующих российские алгоритмы шифрования)
7.     Обеспечение информационной безопасности при осуществлении переводов денежных средств
Определяет требования к обеспечению защиты информации при реализации банковского платежного технологического процесса (в основном реализуется в рамках используемых АБС и наложенных механизмов обеспечения ИБ при передачи платежной информации между участниками обмена) • Контроль установленного и запускаемого на виртуальных машинах программного обеспечения
• Шифрование информации, установка и проверка электронной подписи
8.     Организация и функционирования подразделения (работников), ответственного за обеспечение информационной безопасности
Определяет требования к формированию службы информационной безопасности, возлагаемые задачи и зоны ответственности • Наличие Дирекции по информационной безопасности
• Внедренная система управления информационной безопасности, подтвержденная сертификатом ISO 27001
9.     Повышение осведомленности работников и клиентов по вопросам обеспечения информационной безопасности
Определяет требования к необходимости проведения обучения по вопросам обеспечения ИБ и защиты информации при осуществлении переводов денежных средств как для работников, так и для клиентов. Поддержка мероприятий по информированию в области информационной безопасности
10.   Управление инцидентами информационной безопасности
Определяет требования к форме, составу и порядку уведомления об инцидентах ИБ, порядку реагирования и анализа инцидентов ИБ. Устанавливается необходимость определения порядка регистрации и хранения информации об инцидентах. • Мониторинг и регистрация событий ИБ (в том числе сертифицированными средствами, SIEM)
• Внедренная система управлением предоставления услуг, в том числе инцидент менеджмент, подтвержденная сертификатом ISO 20000
11.   Определение и реализация порядка и правил обеспечения информационной безопасности
Определяется необходимость выполнения контроля определенного порядка и правил обеспечения ИБ при осуществлении переводов денежных средств как организационными мерами, так и с применением технических средств защиты информации. Мониторинг и регистрация событий ИБ (в том числе сертифицированными средствами, SIEM)
12.   Оценка выполнения требований по защите информации
Определена необходимость проведения периодической (не реже 1 раза в 2 года) оценки соответствия и формирования документальных подтверждений выполнения таких оценок. Проведение сканирования и оценки выполнения требований нормативных документов
13.   Доведение до заинтересованных сторон информации об обеспечении информационной безопасности
Определяет необходимость доведения информации о состоянии обеспечения защиты информации до оператора платежной системы в форме и способом, определенных в Правилах соответствующей платежной системы • Поддержка мероприятий по информированию в области информационной безопасности
• Предоставление регулярных отчетов в рамках оказываемых услуг
14.   Совершенствование оператором платежной системы, оператором по переводу денежных средств
Определяет необходимость совершенствования системы защиты по результатам анализа инцидентов и мониторинга/контроля состояния ИБ, при выявлении уязвимостей (организационных, эксплуатационных, технологических), при изменении требований оператора платежной системы, а также по результатам оценки соответствия (аудитов). Консультации по корректирующим действиям по результатам анализа инцидентов ИБ

Источник: IBS DataFort, 2016