Участие в конференции "Развитие современных платежных инструментов и банковских приложений как элемент устойчивого и эффективного функционирования НПС России"

 20 ноября 2013 года наша компания приняла участие в конференции «Развитие современных платежных инструментов и банковских приложений как элемент устойчивого и эффективного функционирования НПС России».

На этой конференции мы решили продемонстрировать новый модуль системы RVision - Incident Manager, предназначенный для автоматизации процесса учета инцидентов информационной безопасности, анализа информации, относящейся к инциденту, а также подготовки необходимой отчетности для ЦБ РФ.

По нашему мнению быстрое реагирование на инциденты информационной безопасности, их учет и анализ является неотъемлемым элементом эффективной системы обеспечения информационной безопасности любой организации.

Сами участники НПС признаются, что процесс управления инцидентами в организациях зачастую отсутствует или плохо организован. В таких случаях, не всегда понятно, как реагировать на возникший инцидент, где аккумулировать информацию, кого назначить ответственным за реагирование и обработку инцидента и какая информация может в дальнейшем потребоваться при обращении в правоохранительные органы, а также для отчетности в Центральный Банк.

Функциональность модуля Incident Manager сочетает в себе как лучшие мировые практики по классификации, обработке и управлению инцидентами информационной безопасности, так и отраслевые требования и рекомендации документов Банка России (СТО БР ИББС-1.0, Положение Банка России № 382-П, Указание Банка России № 2831-У).

Несмотря на то, что мы пытались сделать упор именно на Incident Manager, и рассказать подробнее о нем, не меньший интерес вызвали и другие наши продукты: NPS Auditor, позволяющий быстро и просто провести оценку соответствия требованиям Положения 382-П, Audit Manager, предназначенный для оценки информационной безопасности по требованиям стандарта СТО БР ИББС, и Risk Manager, позволяющий автоматизировать процесс управления рисками информационной безопасности.

Со своей стороны, хотим поблагодарить организаторов за возможность представить наши продукты в рамках конференции.

Запись вебинара "Новые возможности по управлению рисками ИБ с помощью RVision "

Из этого вебинара вы узнаете о новых возможностях программного модуля RVision:Risk Manager:

• расширенная работа с пользователями (сбор данных от владельцев активов, администраторов информационных систем) 

• оценка рисков группой экспертов (сбор и консолидация оценок от разных экспертов) 

• создание моделей угроз с учетом требований 21-го приказа ФСТЭК 

• составление плана обработки рисков и контроль его исполнения

Запись вебинара "Управление инцидентами информационной безопасности с помощью RVision"

В этом сообщении мы публикуем запись вебинара "Управление инцидентами информационной безопасности с помощью RVision", который мы провели 26 сентября 2013 года. 

Программа вебинара:

• обзор текущих требований по регистрации инцидентов информационной безопасности, включая требования указания Банка России № 3024-У 

• основные подходы к организации процесса управления инцидентами ИБ 

• ключевые возможности RVision: Incident Manager по регистрации инцидентов и подготовке отчетности по форме 0403203

Вебинар по теме проведения оценки соответствия по требованиям 382-П

В минувший четверг мы провели вебинар на тему проведения оценки соответствия по требованиям 382-П и в т.ч. провели демонстрацию возможностей обновленного RVision: NPS Auditor.

Из вебинара вы узнаете:

• последние изменения в составе требований согласно указанию 3007-У 
• особенности использования режима оценки с использованием мастера в RVision: NPS Auditor
• некоторые особенности оценки требований, определенных Положением № 382-П 
• подготовка отчетности для Центрального Банка

Обновление модуля NPS Auditor с учетом требований 3007-У

Как мы уже писали ранее в начале июня Центральный Банк выпустил указание 3007-У, в соответствии с которым всем участникам национальной платежной системы надлежит провести оценку соответствия требованиям по информационной безопасности, установленным в Положении 382-П.

В августе мы завершили доработку модуля NPS Auditor с учетом изменений, введенных указанием 3007-У, а также добавили возможность экспорта результатов оценки в формате Kliko, что позволит перенести результат оценки в программу для подготовки отчетности для Центрального Банка. Краткий видео-ролик с представлением обновленного модуля далее:

Требования по информационной безопасности в рамках Национальной платежной системы

В рамках данной публикации мы представляем список нормативных документов, регламентирующих вопросы информационной безопасности в рамках законодательства о Национальной платежной системе. По мере появления новых документов данный список будет расширяться.

Законодательство:

• Федеральный закон № 161-ФЗ от 27.06.2011 "О национальной платежной системе" 

• Постановление Правительства РФ № 584 от 13.06.2012 "О защите информации в платежной системе"

Документы Банка России:

• Положение Банка России № 382-П от 09.06.2012 "О требованиях к обеспечению защиты информации при переводе денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (в документ внесены изменения указанием Банка России № 3007-У)

• Указание Банка России № 3007-У от 05.06.2013 "О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П "О требованиях к обеспечению защиты информации при переводе денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"

• Указание Банка России № 2831-У от 09.06.2012 "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (в документ внесены изменения указанием Банка России № 3024-У)

• Указание Банка России № 3024-У от 21.06.2013 "О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (вступает в силу с 5 января 2014 г.)

• Письмо Банка России от 01.03.2013 № 34-Т "О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов"

• Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"

ЦБ РФ выпустил указание 3007-У о внесении изменений в Положение 382-П

1 июля 2013 г. в Минюсте зарегистрировано Указание ЦБ РФ № 3007-У "О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П"

Ссылка на документ на сайте системы "Консультант"

Предложенные изменения в основном направлены на уточнение ряда формулировок и требований по обеспечению информационной безопасности,  определенных Положением № 382-П.

Самым важным изменением является корректировка сроков подачи отчетности по форме 0403202 !

В частности, согласно 3007-У:

1) Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.

2) Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания.

Таким образом,  все организации, относящиеся к национальной платежной системе, должны провести оценку соответствия до конца текущего 2013 г !

Напоминаем, что согласно требованиям 2831-У отчетность по форме 0403202 подается не позднее тридцати рабочих дней со дня проведения оценки соответствия.

В связи с этим в ближайшее время будут внесены соответствующие изменения в программный модуль NPS Auditor, а также включена возможность выгрузки отчетности в форматах Kliko и ПТК ПСД.  

Компания ISM SYSTEMS принята в члены ТК-122

На прошедшем 14 июня 2013 г. совещании участников технического комитета компания Ай-Эс-Эм Системс была принята в члены подкомитета №1  ТК-122 «Безопасность финансовых (банковских) операций».

Мы убеждены, что наша экспертиза и наработки, полученные в ходе разработки ISM Revision, окажутся полезны в рамках работы по разработке стандартов и рекомендаций для банковской отрасли, проводимой в рамках подкомитета.

Компания ISM SYSTEMS примет участие в Межбанковской конференции

Компания ISM SYSTEMS примет участие в Межбанковской конференции ​«Информационная безопасность банков», которая состоится 29 мая 2013 года в ВЦ "Инфопространство". 

http://www.29may.ib-bank.ru/

На конференции мы представим наши новинки, расскажем о последних возможностях, которые появились в нашем решении по автоматизации процессов управления информационной безопасностью - ISM Revision. 

Ждем вас на нашем стенде !

Интернет-ресурс для оценки выполнения требований 382-П

В рамках сотрудничества с сообществом НП "АБИСС" в ноябре 2012 г. на базе модуля ISM Revision: NPS Auditor мы разработали интернет-ресурс, который позволит всем участникам (кредитным организациям) данного сообщества провести оценку и подготовить необходимую отчетность по требованиям Положения Центрального Банка № 382-П.

Интернет-ресурс расположен по адресу: http://portal.abiss.ru/

Доступ к порталу осуществляется на бесплатной основе для кредитных и некредитных организаций — участников НПС, зарегистрированных на сайте НП "АБИСС". По вопросам получения доступа, обращайтесь по телефону +7 (495) 745-77-88 или по е-мейл abiss@abiss.ru.