Информационная безопасность банков и финансовых организаций

В банковской сфере критичными являются цифровые сервисы и данные, от стабильной и защищенной работы которых зависит непрерывность бизнеса. Именно здесь сосредоточены основные риски и требования регуляторов. В первую очередь речь идет о следующих объектах:

• дистанционное банковское обслуживание (ДБО) — ключевой канал взаимодействия с клиентами, часто становящийся целью атак и мошенничества;
• платежные и процессинговые системы — основа финансовых операций, сбои или компрометация которых напрямую отражаются на доходах;
• персональные и финансовые данные клиентов — актив, утечки которого приводят к штрафам и потере доверия;
• центры обработки данных (ЦОД) — ядро банковской инфраструктуры, требующее высокой отказоустойчивости и защиты;
• API и интеграционные интерфейсы — точки взаимодействия с внешними системами и сервисами, расширяющие поверхность атаки.

Именно эти зоны формируют основную поверхность атаки и требуют приоритетного внимания при построении системы ИБ.

Базовые законы

• Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»

Обязывает банки и финансовые организации как операторов ПДн принимать комплексные меры защиты персональных данных клиентов от несанкционированного доступа, утечек и иных угроз.

• Федеральный закон от 26.07.2017 № 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Требует от банков (как субъектов КИИ) категоризировать системы, внедрять меры защиты и уведомлять ФСТЭК/ФСБ о киберинцидентах в течение 24 часов.


Ключевые положения Банка России

• Положение Банка России от 17.04.2019 № 683‑П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности»

Обязывает кредитные организации обеспечивать защиту на технологических участках (идентификация, операции, электронные сообщения) с ежегодным тестированием на проникновение, оценкой уязвимостей и реагированием на инциденты по уровням значимости.

• Положение Банка России от 20.04.2021 № 757‑П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков»

Распространяет на финансовые организации (НФО) требования к защите информации аналогично банкам, с обязательным анализом рисков, использованием ГОСТ Р 57580 и ежегодной оценкой соответствия.

• Положение Банка России от 09.06.2012 № 382‑П (заменено 683‑П, но принципы сохранены)

Устанавливало базовые требования к защите информации в банковской деятельности, включая контроль доступа, антивирусную защиту и мониторинг, которые эволюционировали в более строгие нормы 683‑П.

Стандарты и ГОСТы

• ГОСТ Р 57580.1‑2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций»

Определяет уровни защиты (от 1 до 4) и базовый состав более 200 организационных/технических мер (шифрование, DLP, SIEM, аудит), обязательный для банков и НФО через положения ЦБ.

• СТО БР ИББС‑1.0‑2014 «Обеспечение информационной безопасности организаций банковской системы РФ»

Рекомендует банкам модель зрелости ИБ с оценкой угроз, защитой от кибератак и минимизацией ущерба, повышая уровень доверия и стабильности операций.

Требования к инцидентам и соблюдению общих требований соответствия

• Указание Банка России от 30.12.2020 № 5898‑У «О порядке сообщения о нарушениях требований к обеспечению защиты информации»

Обязывает банки и НФО уведомлять ЦБ о инцидентах ИБ в установленные сроки, вести реестр и устранять нарушения, что стимулирует внедрение систем мониторинга и реагирования.

В банковской среде первоочередное внимание необходимо уделять защите ключевых бизнес-процессов, обеспечивающих работу с клиентами и финансовыми операциями:

• дистанционных каналов обслуживания клиентов;
• платежных и транзакционных операций;
• интеграционных интерфейсов и API;

Эффективная архитектура ИБ строится на сегментации инфраструктуры, строгом управлении доступами, централизованном мониторинге событий безопасности и готовности к оперативному реагированию на инциденты.

В рамках банковских проектов, как правило, используются следующие классы средств защиты:

• SIEM и системы корреляции событий для централизованного мониторинга и выявления инцидентов;
• межсетевые экраны и IDS/IPS для защиты периметра и внутренних сегментов сети;
• VPN и защищенные каналы связи для безопасного взаимодействия между системами и филиалами;
• WAF и DBFW - межсетевые экраны для защиты веб-сервисов и баз данных - специализированные системы, которые обеспечивают безопасность ядра архитектуры и внешних сервисов, включая API;
• DLP и средства защиты персональных данных;
• решения для контроля привилегированных пользователей;
• EDR/XDR для серверов и рабочих станций.

Конкретный набор решений подбирается с учетом требований регуляторов, архитектуры банка и стратегии импортозамещения заказчика.

В результате внедрения системы информационной безопасности заказчик получает не набор разрозненных решений, а целостную и управляемую модель защиты:

• соответствие требованиям регуляторов и готовность к проверкам;
• снижение рисков мошенничества и утечек данных;
• устойчивую работу ключевых банковских сервисов и процессов;

прозрачную и управляемую систему ИБ с понятной дорожной картой развития.

Наш подход основан на последовательной и понятной модели реализации проектов:

• обследование инфраструктуры и бизнес-процессов;
• оценка рисков и моделирование угроз;
• проектирование целевой архитектуры защиты;
• внедрение и интеграция средств ИБ;
• подготовка документации и обучение персонала;
• сопровождение и реагирование на инциденты.

Готовы обсудить защиту вашей банковской инфраструктуры?
Оставьте заявку — мы проведем экспресс-оценку рисков, покажем уязвимые зоны и предложим целевую архитектуру информационной безопасности, которая обеспечит устойчивость вашего бизнеса и соответствие требованиям регуляторов.