• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Рубрика: Новости

image_pdfimage_print

Вступление в силу Положения Банка России № 719-П О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств

C 01 января 2022 года вступило в силу Положение Банка России № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Данное положение отменяет действовавшее ранее Положения Банка России № 382-П. Теперь ключевым моментом для всех участников платежной инфраструктуры является обеспечение соответствия требованиям по защите информации, устанавливаемым национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

Согласно Положению Банка России № 719-П операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны осуществлять:

  • реализацию установленных настоящим Положением уровней защиты информации, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
  • проведение оценки соответствия уровням защиты информации, установленным настоящим Положением, в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» 1 раз в два года.

Компания ГлобалТраст предоставляет полный комплекс консалтинговых услуг по обеспечению соответствия финансовой организации требованиям указанных стандартов и положений.

Подробнее: Защита информации в финансовых организациях

Новый комплект типовых документов по защите информации для финансовых организаций

Разработанный компанией ГлобалТраст Комплект типовых документов для финансовых организаций GTS 57580, включает в себя 10 типовых политик защиты информации, адаптированных для обеспечения соответствия требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовой организации. Базовый состав организационных и технических мер» с учетом рекомендаций Банка России в области стандартизации процессов обеспечения ИБ (PC БР ИББС).

Комплект типовых политик защиты информации финансовой организации GTS 57580 потребуется всем видам кредитных и некредитных финансовых организаций, для которых соответствующими положениями Банка России №683-П, 757-П (ранее 684-П) и национальным стандартом РФ ГОСТ Р 57580.1-2017 устанавливаются требования по защите информации. К таким организациям, помимо банков, относятся репозитарии, пенсионные фонды, брокеры, дилеры, управляющие, депозитарии, регистраторы, операторы финансовых платформ и систем, клиринговые организации, организаторы торговли, страховые организации и т.д.

В состав комплекта GTS 57580 включено 10 типовых политик защиты информации финансовой организации. Названия и содержание политик соответствует названию и содержанию процессов защиты информации, определяемых  в стандарте ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовой организации. Базовый состав организационных и технических мер»:

  1. GTS 57580.1 Политика защиты информации
  2. GTS 57580.2 Политика обеспечения защиты информации при управлении доступом
  3. GTS 57580.3 Политика обеспечения защиты вычислительных сетей
  4. GTS 57580.4 Политика контроля целостности и защищенности информационной инфраструктуры
  5. GTS 57580.5 Политика защиты от вредоносного кода
  6. GTS 57580.6 Политика предотвращения утечек информации
  7. GTS 57580.7 Политика управления инцидентами защиты информации
  8. GTS 57580.8 Политика защиты среды виртуализации
  9. GTS 57580.9 Политика защиты информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
  10. GTS 57580.10 Политика обеспечения защиты информации на стадиях жизненного цикла автоматизированных систем и приложений

Подробнее ….

GlobalTrust присвоен статус Золотого партнера компании RSA

GlobalTrust присвоен статус Золотого партнера компании RSA. Сотрудничество с RSA, в частности, позволяет GlobalTrust реализовать современную централизованную систему автоматизации процессов менеджмента информационной безопасности в организациях любого размера и сферы деятельности на базе решения RSA Archer IT & Security Risk Management.

Американская компания RSA Security LLC изначально фокусировалась на средствах криптографической защиты информации и была названа в честь своих основателей (Ron RivestAdi Shamir и Leonard Adleman) и одноименного криптографического алгоритма RSA, ставшего фактическим стандартом криптографии с открытыми ключами. Среди криптографических продуктов RSA широко известны криптобиблиотека RSA BSAFE и токены аутентификации SecurID. Ежегодно проводится международная конференция по информационной безопасности RSA Conference.

Первоначально RSA была основана как частная независимая компания в 1982 году. В 2006 году она была приобретена EMC Corporation за 2.1 миллиарда долларов, а в 2016 году Dell Technologies приобрела EMC и RSA вошла в состав Dell Technologies. Штаб квартира RSA находится в Бедфорде, штат Массачусетс, США, также имеются многочисленные региональные офисы и представительства по всему миру.

Современная линейка продуктов RSA охватывает следующие направления:

  • Детектирование и реагирование на угрозы (Threat Detection & Response)
  • Предотвращение мошенничества (Fraud Prevention)
  • Управление идентификацией и доступом (Identity & Access Management)
  • Управление, риски и соответствие (Governance, Risk & Compliance)

GRC платформа RSA Archer Suite уже несколько лет подряд является лидером рынка по данным Gartner.

Сотрудничество с RSA позволяет GlobalTrust реализовать современную централизованную систему автоматизации процессов менеджмента информационной безопасности в организациях любого размера и сферы деятельности на базе решения RSA Archer IT & Security Risk Management, включающего в себя модули для автоматизации:

  • управление активами
  • управление инцидентами
  • управление рисками
  • управление уязвимостями
  • управление соответствием
  • управление политиками
  • и прочее

Обеспечивается интеграция централизованной системы менеджмента ИБ со многими средствами защиты информации через соответствующие коннекторы.

Правовые и неправовые аспекты мониторинга контента: американский опыт

В августовском номере журнала Директор по безопасности опубликована статья экспертов ГлобалТраст под заголовком «Правовые и неправовые аспекты мониторинга контента: американский опыт».

Одной из важных особенностей современных корпоративных сетей является их размер, который зачастую исчисляется тысячами, а и иногда и десятками тысяч компьютеров. При этом деятельность пользователей может быть распределена среди различных компьютеров, а одна и та же проблема часто решается группами пользователей. Важной задачей является контроль работы, как отдельных пользователей, так и групп пользователей.

Основными целями контроля являются: обеспечение информационной безопасности, выявление инцидентов, в том числе выявление случаев некорректного, непрофессионального или нецелевого использования ресурсов, оценка характеристик функционирования корпоративной сети и параметров использования ресурсов.

При этом приоритетной задачей является раннее обнаружение «внутренних вторжений», т.е. выявление действий пользователей, которые могут предшествовать внутренним вторжениям. Чем крупнее организация, тем актуальней является для нее проблема предотвращения внутренних вторжений, в частности кражи и утечки информации, так как именно кража является конечной целью большинства внутренних вторжений. Связано это с тем, что в больших организациях затрудняется контроль над обращением информации и существенно возрастает цена ее утечки. Указанные обстоятельства определяют высокий уровень озабоченности данной проблемой со стороны крупного бизнеса и правительственных структур. Решение данной проблемы заключается в использовании средств электронного мониторинга.

В настоящей статье рассматриваются риски и проблемы, связанные с электронным мониторингом действий работников корпораций в соответствии с законодательством США и сложившейся в этой стране практикой. Цель состоит в том, чтобы повысить осведомленность ИТ и ИБ менеджеров организаций в вопросах применения средств и методов электронного мониторинга и вооружить их лучшими практиками в данной области.

Журнал Директор по безопасности Выпуск 8 (Август) 2019 г.

Читать статью на портале InfoSecPortal.ru

Компания GlobalTrust на круглом столе «Защита персональных данных кандидатов и работников»

7 февраля в офисе компании АНКОР состоялся круглый стол Ассоциации Частных Агентств Занятости (АЧАЗ) посвященный защите персональных данных кандидатов и работников. В дискуссии приняли участие руководители и менеджеры департаментов по управлению персоналом, правовым вопросам, ИТ и внутренним коммуникациям провайдеров кадровых услуг, юридических и консалтинговых компаний, включая представителей GlobalTrust.

Генеральный директор Ассоциации Частных Агентств Занятости (АЧАЗ) Екатерина Горохова в своем приветственном слове отметила важность соблюдения требований законодательства в отношении обработки и защиты персональных данных кандидатов и работников.

Руководитель юридического департамента Kelly Services Владимир Копосов, в свою очередь, обратил внимание, что вопросы обработки и защиты персональных данных актуальны для многих участников рынка рекрутмента, особенно в части их практической реализации.

О тонкостях соблюдения требований законодательства при обработке и хранении персональных данных рассказал Владислав Архипов, советник российской практики в области интеллектуальной собственности, ИТ и телекоммуникаций компании Dentons.

По его словам, ключевыми  принципами обработки персональных данных, являются законность и «пропорциональность» целям, соблюдения принципов достаточности и актуальности, а также временных пределов  хранения персональных данных. В соответствии с законодательством о персональных данных участники рынка должны уделять пристальное внимание требованиям к Согласию на обработку персональных данных и его содержанию. Также важны локализация и соблюдение условий трансграничной передачи персональных данных.

Роман Сулицкий, руководитель направления ИТ сервисов компании Tieto, рассказал об аспектах защиты и особенностях обработки персональных данных при использовании автоматизированных систем рекрутинга  и подходах к выбору провайдера, соответствующего требуемому уровню защиты компании.

Практические аспекты защиты персональных данных и риски, связанные с нарушениями условий хранения и обработки ПД осветил генеральный директор компании ГлобалТраст Александр Астахов. Среди нарушений, выявленных Роскомнадзором в 2016 году, наиболее частые: неполные или недостоверные сведения в уведомлениях, несоответствие содержания письменных согласий субъектов персональных данных требованиям федерального законодательства, а также отсутствие в поручении лицу, которому оператор поручает обработку ПД, обязанности обеспечения конфиденциальности и безопасности ПД, а также требований по защите ПД.

Андрей Юдкин, ИТ директор ManpowerGroup, поделился опытом реализации проекта по защите персональных данных и типовыми проблемами, связанными с обработкой ПД и выполнением требований регуляторов, с которыми сталкиваются частные агентства занятости.

Наиболее оживленную дискуссию и неподдельный интерес участников вызвали вопросы по практической реализации требований законодательства в части сбора, использования и хранения персональных данных кандидатов и работников, вопросы получения письменного согласия и идентификации при сборе и обработке персональных данных посредством работных сайтов и специальных сервисов в социальных сетях.

Источник: achaz.ru