пятница, 14 декабря 2012 г.

RISSPA и АИС приглашают на вебинар Евгения Царева по НПС

   Ассоциация RISSPA и Академия Информационных Систем 21 декабря приглашают на вебинар по защите информации в рамках Национальной платежной системы - www.risspa.ru. Вебинар проведет Евгений Царев, независимый эксперт по информационной безопасности, тренер и один из разработчиков курса Академии Информационных Систем по НПС.
   По мнению Евгения, за неполные 1,5 года своего существования в России тема обеспечения информационной безопасности в рамках Национальной платежной системы прошла путь от нескольких строчек закона до полноценного направления деятельности. Также за это время появился целый ряд мифов вокруг НПС, например, миф об уникальности нашей НПС. Во время вебинара расскажет о структуре, схеме и перспективах развития НПС, а также о российской нормативной базы по защите информации.

Программа вебинара:
1. «Глобальная система расчетов»
   a. Банк международных расчетов
   b. Понятие, структура и схема НПС
   c. Международные платежные системы. SWIFT
   d. Международные карточные платежные системы. Visa и MasterCard
2. Развитие «платежного» законодательства в РФ
3. № 161-ФЗ"О национальной платежной системе"
   a. Основные термины и определения
   b. Участники НПС
   c. «Национальная платежная система» и «Платежная система»
   d. Субъекты НПС и участники ПС
4. 10 требований по защите информации (584-ПП)
5. Основные ведомственные требования Банка России
   a. Требования к обеспечению защиты информации (382-П)
   b. Отчетность по обеспечению защиты информации (2831-У)
6. Поправки в законодательство, 382-П и 2831-У
7. Ключевые регуляторы и участники отрасли. Банк России, ФСБ, ФСТЭК, АРБ, НП «НПС», ABISS
8. Перспективы развития НПС

   Программа онлайн-выступления Евгения составлена «по мотивам» курса «Вопросы обеспечения безопасности при переводе денежных средств в рамках Национальной платежной системы». Первое обучение по данному курсу прошло в начале декабря в Академии Информационных Систем. Евгений Царев принимал активное участие в его разработке, а также проводил некоторые занятия.
   На сегодняшний день АИС является основным центром дополнительного образования, обладающим необходимой компетенцией для проведения курсов по НПС. Более подробную информацию по курсу, вы можете найти на сайте Академии Информационных Систем.

среда, 28 ноября 2012 г.

Вопросы обеспечения безопасности при переводе денежных средств в рамках Национальной платежной системы

   Как разобраться в большом объеме информации и нормативных документов регуляторов, включая документы Банка России, в области обеспечения безопасности при переводе денежных средств в рамках Национальной платежной системы?
   В последнее время помимо уже действующих документов Банка России подготовлены следующие указания:
  1. Указание о внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
  2. Указание о внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».
   С целью разъяснения положений законодательства и нормативных документов органов исполнительной власти РФ по указанным вопросам в Академии Информационных Систем с 03 декабря 2013 года стартует новый трек курсов:
   1. Курс НПС010 «Введение в основные нормы национальной платежной системы и защиту информации при осуществлении переводов денежных средств организаций участников национальной платежной системы Российской Федерации».
  Даты проведения: 3-4 декабря 2012 года.
   2. Курс НПС020 «Реализация национального законодательства и требований Банка России по защите информации при осуществлении переводов денежных средств в рамках национальной платежной системы».
  Даты проведения: 5-7 декабря 2012 года.
   3. Курс НПС 031 «Контроль, оценка соответствия и самооценка соблюдения требований к защите информации при осуществлении переводов денежных средств».
  Даты проведения: 10 декабря 2012 года.
   Подробная информация по курсамhttp://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/national_payment_system.html

   Курсы разработаны экспертами Академии Информационных Систем с большим практическим опытом внедрения Стандарта Банка России по вопросам информационной безопасности на базе передового Российского и международного опыта в кредитных и не кредитных организациях. Общий объем учебных материалов достигает 1000 листов (это без учета презентационного материала).
   В материалах курсов, помимо необходимых документов Банка России, рассматривается официальный перевод стандарта PCI DSS, выполненный по заказу Банка России.
   Эксперты Академии Информационных Систем активно участвуют в рабочей группе по безопасности при Некоммерческом Партнерстве «Национальный платежный совет» по разработке проектов рекомендаций к документам Банка России и имеют непосредственное отношение к разрабатываемым рекомендациям.
   Несмотря на то, что с момента выхода в свет нормативных документов Банка России прошло менее года, специалисты АИС уже приобрели значительный практический опыт в реализации их требований и смогут ответить на все основные вопросы.

   По всем вопросам обучения просьба обращаться по следующим контактам:
  Филимоненкова Ольга,
  Тел. 8(495)231-3049,

вторник, 20 ноября 2012 г.

НП «АБИСС» формирует реестр экспертов по контролю качества


   В настоящее время Некоммерческое партнерство «Сообществопользователей стандартов по информационной безопасности АБИСС» проводит формирование реестра экспертов по контролю качества. Экспертная деятельность необходима для работы комитета по контролю качества, который будет осуществлять плановые и внеплановые проверки качества деятельности членов НП «АБИСС».
   Основной целью системы контроля качества является создание условий для обеспечения и постоянного повышения качества аудиторской деятельности членов НП «АБИСС» на рынке аудиторских услуг, выполнение правил независимости аудиторов и аудиторских организаций, в том числе:
   - установление степени соответствия работы членов НП «АБИСС» требованиям Комплекса БР ИББС в области аудита и требованиям внутренних регламентирующих документов НП «АБИСС»; 
   - оказание содействия членам НП «АБИСС» во внедрении и поддержании надлежащей системы контроля качества услуг, в том числе правил внутреннего контроля качества работы аудиторских организаций, индивидуальных аудиторов; 
   - анализ степени профессиональной компетенции членов НП «АБИСС»; 
   - анализ соблюдения членами НП «АБИСС» кодекса профессиональной этики аудиторов и правил независимости аудиторов и аудиторских организаций; 
   - формирование общественного мнения о НП «АБИСС», как об организации, объединяющей профессионалов высокого уровня в сфере аудита.
   Участие в проверках по контролю качества засчитывается экспертам как практический опыт работ в области СТО БР ИББС. Длительность проверок – не более 5 рабочих дней.

Требования к кандидатам в эксперты:
   1. Наличие сертификата ABISS, свидетельствующего о прохождении курсов СБР010-040 с литерой «А»;
   2. Опыт проведения работ по аудиту по СТО БР ИББС 1.0 не мене, чем на 3 (трех) проектах за последние 2 (два) года;
   3. Письмо от организации-работодателя, о согласии с привлечением сотрудника в качестве эксперта по контролю качества НП «АБИСС».
   Заявки на присоединение к реестру экспертов по контролю качества НП «АБИСС» просьба высылать на abiss@abiss.ru до 25 ноября 2012 г.

АкадемияИнформационных Систем проводит подготовку специалистов по внедрению положений Стандарта Банка России СТО БР ИББС-1.0-2010, а также аудиторов СТО БР ИББС-1.0-2010:
   1. Внедрение Стандарта Банка России СТО БР ИББС-1.0-2010 (продолжительность 9 очных дней);
   2. Аудит информационной безопасности организаций банковской системы Российской Федерации (продолжительность 5 очных дней).
   Особое внимание в курсах уделяется практическим аспектам внедрения положений Комплекса Стандартов Банка России, вопросам оценки соответствия применяемых мер, оценке рисков нарушения информационной безопасности.
   Многие курсы в АИС проводятся с использованием перспективных дистанционных технологий без отрыва от производства.
   По окончании обучения выдаются Сертификаты ABISS и Государственные удостоверения о краткосрочном повышении квалификации.
   Качество и эффективность обучения в АИС гарантируется более чем 5-летним опытом подготовки специалистов по Стандарту Банка России, а также наличием в штате АИС семи аттестованных аудиторов по СТО БР ИББС-1.0-2010. Эти специалисты имеют большой практический опыт работы, как в банковской системе РФ, так и в крупных интеграторах международного уровня и являются сертифицированными специалистами CISA, CIMS, CISSP, LAC27001, LAC25999, а также QSA-аудиторами.

   Всю необходимую информацию можно получить на сайте АИС www.infosystems.ru, а также запросить у менеджеров АИС по электронной почте security@infosystem.ru или по телефону +7(495)231-3049.

четверг, 8 ноября 2012 г.

Профессиональная переподготовка в области информационной безопасности. Как спланировать длительное обучение в объеме более 500 часов?

   В соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденным Постановлением Правительства РФ №313 от 16 апреля 2012 года, при осуществлении лицензионной деятельности выдвигаются достаточно жесткие квалификационные требования к персоналу лицензиата (соискателя лицензии).
   Жесткость требований никто не оспаривает, т.к. речь идет о защите конфиденциальной информации. Вопрос в том, что эти требования должны быть физически реализуемыми.
   Если мы внимательно посмотрим на лицензионные требования, то можем увидеть следующие противоречия и не соответствия. Требования к образованию руководителей и инженерно-технических работников лицензируемого вида деятельности на оказание услуг шифрования информации, технического обслуживания СКЗИ, а также распространения СКЗИ являются не выполнимыми. Указанным требованиям отвечают выпускники вузов только 2009 года, т.к. действующая редакция общероссийского классификатора специальностей принята в 2004 году. Срок базового обучения по направлению «Информационная безопасность» − 5(6) лет. В настоящее время отсутствует какой-либо нормативный документ, относящийся к специальностям, полученным при обучении до 2009 года.
   Требования к инженерно-техническому работнику при осуществлении лицензируемого вида деятельности распространение СКЗИ выше, чем к его руководителю, что не соответствует требованиям Трудового кодекса РФ.
   Требования к инженерно-техническому работнику по распространению СКЗИ противоречат требованиям к техническому персоналу, непосредственно осуществляющему деятельность по созданию и выдаче сертификатов в соответствии с пп. 4 п. 3 с. 16 федерального закона 63-ФЗ от 06.04.2011 «Об электронной подписи» (иметь высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи).

   Если сравнивать с требованиями к квалификации персонала, выдвигаемыми предыдущим Постановлением Правительства РФ № 957, то там мы не наблюдали никаких противоречий. Например, для инженерно-технических работников требовалось высшее профессиональное образование или переподготовка (повышение квалификации) в области информационной безопасности.

   Также, согласно п.п. г) п. 7 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденного Постановлением Правительства РФ №313 от 16 апреля 2012 года для получения (продления) лицензии ФСБ России соискатель лицензии (лицензиат) представляет (направляет) в лицензирующий орган копии документов государственного образца (дипломы, аттестаты, свидетельства) об образовании, о переподготовке, повышении квалификации по направлению "Информационная безопасность"…
   Требований наличия государственных документов о повышении квалификации в ПП РФ №957 не было.

   С целью обратить внимание на указанные выше проблемы банковское сообщество в лице НП «Национальный платежный совет» подготовило и направило на имя Председателя Правительства Д.А. Медведева письмо (http://platsovetrf.ru/ru/news/index.php?id=75), в котором было отмечено:
   - Отмечается наличие проблемных вопросов у кредитных организаций в процессе выполнения требований ПП №313,
   - Требования ПП №313 более жесткие, чем были в ПП №957. Некоторые нормы нового Положения требуют уточнения,
   - Отмечается, что ранее действующий Общероссийский классификатор специальностей по образованию ОК 009-93, утвержденный в 1993 году, не содержал такого направления ВПО, как информационная безопасность,
   - Общероссийский классификатор ОК 009-2003, утвержденный в 2003 году, введен в действие 1.1.2004г. Срок обучение по направлению «Информационная безопасность» 5 и более лет. При этом порядок соотношения специальностей, полученных до 2009 года, со специальностями по данному направлению не установлен.
   Также в письме приводятся рекомендации по новым формулировкам требований к квалификации персонала.

   Для реализации требований в части профессиональной переподготовки по направлению «Информационная безопасность» Академия Информационных Систем разработала и проводит обучение по соответствующей программе в объеме 530 часов.

   Краткая информация по курсам профессиональной переподготовки Академии Информационных Систем:
   Формы обучения: очная аудиторная (вечерние занятия) без отрыва от производства и смешанная (с использованием современных дистанционных технологий и двусторонней аудио и видео конференцсвязи) без отрыва от производства.
   Продолжительность обучения – 1 месяц (106 часов) и 4 месяца (530 часов).
   При очной форме обучения занятия проводятся в вечернее время ежедневно и по субботам. При смешанной форме обучения занятия проводятся с использованием современных дистанционных технологий и двусторонней аудио и видео конференцсвязи с очными вечерними сессиями и вебинарами (согласно утвержденного расписания).

Программы профессиональной переподготовки согласованы с ФСТЭК России и ФСБ России.

   При разработке учебной программы профессиональной переподготовки соблюдена преемственность по отношению к Федеральным Государственным образовательным стандартам высшего образования (ФГОС ВПО) по направлению подготовки "Информационная безопасность" (в том числе к ФГОС ВПО по направлению подготовки 090900 «Информационная безопасность»), а также квалификационные требования, указанные в квалификационных справочниках, утверждаемых в порядке, устанавливаемом Правительством Российской Федерации, по соответствующим должностям, профессиям, специальностям (в соответствии с Общероссийским классификатором специальностей).
   Также соблюдены требования профессиональных стандартов (включая международные) в области информационной безопасности и обеспечения непрерывности бизнеса, действующие на момент формирования учебной программы.
   По окончании обучения по программе профессиональной переподготовки и успешном прохождении аттестационных испытаний (написание и защита выпускной аттестационной работы) слушателям выдается Государственный Диплом.
   Данный Диплом удостоверяет право (соответствие квалификации) специалиста на ведение профессиональной деятельности (включая ведение нового вида деятельности) в сфере «Информационная безопасность», согласно п.п. г) п. 7 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденного Постановлением Правительства РФ №313 от 16 апреля 2012 года.

   Основные темы, рассматриваемые в программах профессиональной переподготовки:
Модуль 1: «Вводные замечания. Законодательное и нормативно-правовое регулирование вопросов защиты информации в Российской Федерации»;
Модуль 2: «Построение комплексной системы обеспечения информационной безопасности в организации»;
Модуль 3: «Системы управления защитой информации и обеспечение бесперебойности и непрерывности бизнеса»;
Модуль 4: «Техническая защита конфиденциальной информации»;
Модуль 5: «Криптографическая (с помощью шифровальных средств) защита конфиденциальной информации»;
Модуль 6: «Особенности обеспечения информационной безопасности ПДн в ИСПДн организации»;
Модуль 7: «Особенности обеспечения информационной безопасности в кредитно-финансовой сфере».

По всем вопросам относительно обучения просьба обращаться:
Менеджер отдела информационной безопасности
Филимоненкова Ольга Николаевна,
+7(495) 231 3049,

вторник, 30 октября 2012 г.

Информационная безопасность в кредитных и финансовых организациях Республики Казахстан

Осталось чуть больше месяца до начала работы II межбанковского форума «Информационная безопасность в кредитных и финансовых организациях Республики Казахстан». Форум состоится в Казахстане, г. Алматы в отеле Рахат Палас 6 декабря 2012 г. Организаторами форума выступают Национальный Банк Республики Казахстан и Казахстанский Центр Межбанковских Расчетов Национального Банка Республики Казахстан, при организационной поддержке ТОО «ПАЦИФИКА» и Академии Информационных Систем.

В работе форума примут участие представители Центрального Банка Российской Федерации, а также приглашены к участию представители Национальных банков стран Центральной Азии.

На пленарном заседании выступят: Заместитель Председателя Национального Банка Республики Казахстан Бектасов Абен Агыбаевич, Генеральный директор Казахстанского центра межбанковских расчетов Абдулкаримов Саит Хайбарович и Заместитель директора департамента регулирования расчетов Банка России Курило Андрей Петрович.

Перед участниками форума выступят представители крупнейших банков Республики Казахстан, компаний-интеграторов, выполняющих работы по информационной безопасности, компаний-разработчиков программного обеспечения, компаний, предоставляющих аудиторские и консалтинговые услуги в области информационной безопасности, общественных организаций и отраслевых ассоциаций – всего более 20 экспертов. В рамках работы конференции, традиционно, будут выбраны наиболее интересные вопросы, ответы на которые будут даны в конце мероприятия.

Среди ключевых тем предстоящего форума: обеспечение информационной безопасности дистанционного банковского обслуживания, а также выполнение требований по информационной безопасности при построении центров обработки данных.

Другие тематические выступления форума «Информационная безопасность в кредитных и финансовых организациях Республики Казахстан» – Подход Национального Банка Республики Казахстан к построению системы управления информационной безопасностью; вопросы регулирования и контроля защиты информации при осуществлении переводов денежных средств в НПС РФ; Общие вопросы и проблемы обеспечения ИБ в кредитных и финансовых организациях РК, а также другие – на которых эксперты, заказчики и разработчики решений обменяются мнениями, практическим опытом и расскажут об актуальных угрозах и эффективных методах их минимизации.

Официальными партнерами форума выступили компания McAfee и ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия компания Аванпост. Информационные партнеры – Интернет-портал BANKER.KZ, ИТ-портал PROFIT.kz и Казахстанская газета по информационным и компьютерным технологиям «Computerworld Казахстан».

К участию в работе форума приглашаются руководители и специалисты банков и кредитных организаций, специалисты в области информационной безопасности, риск-менеджеры, специалисты службы внутреннего контроля, внутренних и внешних аудиторов информационных технологий и информационной безопасности, руководители процессинговых центров и другие специалисты по информационной безопасности.

Прием заявок на регистрацию для участия в форуме завершается 4 декабря, для выступления с докладом/презентацией – до 25 ноября. Внимание! Участие представителей кредитных организаций Республики Казахстан БЕСПЛАТНОЕ.

Подробная информация на сайте http://it-safety.kz/

понедельник, 22 октября 2012 г.

«Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud-2012»


Третья международная конференция
«Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud-2012»
Дата проведения: 29 ноября 2012 г.
Место проведения: Россия, Москва, ул. Ильинка, д.6, Конгресс-центр ТПП РФ
При поддержке и участии: БСТМ МВД России
Организаторы:
·        Академия Информационных Систем http://infosystems.ru/
·        Торгово-промышленная палата РФ
Конференция адресована:
§        Руководителям и специалистам служб информационной и экономической безопасности, внутреннего контроля и аудита, управления рисками;
§        Руководителям департаментов развития электронного бизнеса;
§        Представителям правоохранительных органов и отраслевых регуляторов;
§        Поставщикам решений и услуг по противодействию мошенничеству.
Основная тематика конференции:
§        Совершенствование УК РФ и УПК РФ с целью более эффективного противодействия компьютерным преступлениям
§        Международное сотрудничество в области борьбы с кибермошенниками
§        Национальная платежная система и риски мошенничества
§        Защита систем ДБО и Интернет-банкинга
§        Борьба с фродом и гарантирование доходов в телекоммуникациях
§        Противодействие внутренним злоумышленникам и инсайдерам
§        Сбор цифровых доказательств, компьютерная криминалистика
§        Анализ уязвимостей в программном обеспечении
К участию с докладами приглашаются:
 Представители российских и зарубежных правоохранительных органов, занимающихся расследованием компьютерных преступлений
·        Представители отраслевых регуляторов, отвечающих за обеспечение информационной безопасности в различных сферах
·        Руководители ассоциаций и общественных объединений, формирующих стандарты и подходы по противодействию киберпреступности
·        Известные аналитики и консультанты в области управления рисками ИБ и фрода
·        Руководители подразделений, ответственные за расследование инцидентов и взаимодействие с правоохранительными органами
·        Разработчики антифрод-решений для различных отраслей и областей применения
В программе запланированы пленарное заседание, 5 тематических секций и Круглый стол «Национальная платежная система: как снизить риски мошенничества?»

Подробная информация – на сайте www.antifraudrussia.ru
Регистрация участников, участие с докладами, аккредитация прессы, вопросы спонсорства: тел./факс: +7 (495) 231-30-49, e-mail: conf@infosystem.ru

НП «НПС» направило Председателю Правительства Российской Федерации Медведеву Д.А. письмо


   НП «НПС» направило Председателю Правительства Российской Федерации Медведеву Д.А. письмо (http://www.platsovetrf.ru/ru/news/index.php?id=75) с предложениями о внесении изменений в порядок лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, установленный Постановлением Правительства Российской Федерации от 16.04.2012 № 313.
   В письме обращается внимание на проблемы, возникающие в практической деятельности кредитных организаций - участников национальной платежной системы, при применении требований «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», утвержденного Постановлением Правительства Российской Федерации от 16.04.2012 № 313.
   В целях решения проблем, означенных в обращении, НП «НПС» предлагает рассмотреть возможность внесения в Постановление Правительства Российской Федерации от 16.04.2012 № 313 ряда изменений, в частности, предлагается обеспечить возможность продолжать осуществлять свою деятельность в области информационной безопасности по определенным видам лицензируемой деятельности без прохождения дополнительного обучения специалистам, соответствовавшим требованиям Постановления Правительства Российской Федерации от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» и получившим образование по соответствующим специальностям, указанным в Общероссийском классификаторе специальностей по образованию ОК 009-93, а также специалистам, имеющим достаточный опыт практической деятельности.

понедельник, 10 сентября 2012 г.

Дипломы АИС о проф.переподготовке по направлению "Информационная безопасность" удовлетворяют требованиям ФСБ России к квалификации персонала (руководителей и инженерно-технических работников)

Дипломы АИС о проф.переподготовке по направлению "Информационная безопасность" удовлетворяют требованиям ФСБ России к квалификации персонала (руководителей и инженерно-технических работников).

Разъясняющая информационная справка ниже:
1. НОУ ДПО ЦПК «АИС» (далее «Академия») ведет свою деятельность с 1996 года в соответствии с требования Закона «Об образовании» РФ [5], что подтверждается Лицензией на образовательную деятельность (серия 77 № 001199 рег. номер 028959 от 19.05.2011 г.). Согласно Лицензии Академия имеет право проводить профессиональную переподготовку по дополнительной образовательной программе "Информационные системы и компьютерные сети" объемом свыше 500 часов (см. п. 2 лицензии) и самостоятельно разрабатывать учебные программы в рамках своей лицензионной деятельности (Согласно п.п.1.5 "Требований к содержанию дополнительных профессиональных образовательных программ", утвержденных приказом Министерства общего и профессионального образования Российской Федерации от 18.06.1997 №1221) [1].

Учебная программа профессиональной переподготовки "Информационные системы и компьютерные сети" (объемом 960 часов) разработана в соответствии с требованиями [1] и состоит из трех модулей:
Модуль 1. общеобразовательный модуль (возможен вариант частичного «перезачета» дисциплин комиссией НОУ ДПО ЦПК «АИС», при наличии документального подтверждения соответствия сданной дисциплине в дипломе о высшем образовании слушателя);
Модуль 2. модуль по направлению "Информационные системы и компьютерные сети";
Модуль 3. модуль по направлению "Информационная безопасность". Нормативный срок освоения направления "Информационная безопасность" составляет 530 часов. Модуль разработан в полном соответствии со специальностью 090108 "Информационная безопасность" Общероссийского классификатора специальностей по образованию [2]. Разделы и темы, изучаемые в рамках направления "Информационная безопасность", имеют преемственность (разработаны в соответствии с государственными образовательными стандартами высшего профессионального образования по направлению подготовки «Информационная безопасность» [3, 6]) по отношению к государственным образовательным программам, в частности по отношению к специальности 090108 "Информационная безопасность" Общероссийского классификатора специальностей по образованию [2]. Преемственность допускается согласно [1, п.п.2.4].

2. НОУ ДПО ЦПК «АИС» имеет Государственную аккредитацию (Свидетельство о государственной аккредитации 77 ОП 000852 от 11 ноября 2010 года) и имеет право выдавать Дипломы государственного образца об образовании, включая Дипломы о профессиональной переподготовке согласно Общероссийскому классификатору специальностей по образованию, утвержденному Постановлением Госстандарта РФ от 30.09.2003 N 276-ст.

По окончании обучения в случае успешной сдачи контрольных рубежей и защиты выпускной квалификационной работы слушателям выдается два документа:
- Свидетельство НОУ ДПО ЦПК «АИС» по программе "Информационные системы и компьютерные сети",
- Диплом НОУ ДПО ЦПК «АИС» о профессиональной переподготовке по программе "Информационные системы и компьютерные сети" по направлению "Информационная безопасность".

3. Программа "Информационные системы и компьютерные сети" по направлению "Информационная безопасность" согласована с ФСТЭК России, Центром по лицензированию, сертификации и защите государственной тайны ФСБ России, Центром защиты информации и специальной связи ФСБ России. Условие согласования программ профессиональной переподготовки по информационной безопасности является обязательным требованием Рособрнадзора [3].

4. В соответствии с вышеизложенным Дипломы о профессиональной переподготовке в объеме 530 часов, выдаваемые НОУ ДПО ЦПК «АИС» соответствуют требованиям Постановления Правительства Российской Федерации от 16.04.2012 №313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" [4, п.п.г п.7].

Ссылки на законодательство:
1. Приказ Минобразования РФ от 18.06.1997 N 1221 "Об утверждении Требований к содержанию дополнительных профессиональных образовательных программ".
2. Общероссийский классификатор специальностей по образованию, утвержденный Постановлением Госстандарта РФ от 30.09.2003 N 276-ст.
3. Официальный сайт Федеральной Службы по надзору в сфере образования и науки РФ http://obrnadzor.gov.ru/
4. Постановление Правительства Российской Федерации от 16.04.2012 №313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".
5. Федеральный Закон РФ "Об образовании".
6. Официальный сайт Министерства образования и науки РФ http://минобрнауки.рф/

четверг, 30 августа 2012 г.

Со счета Севергазбанка похищены средства ООО "Технология"

В адрес редакции ИА Bankir.Ru поступило официальное письмо за подписью директора ООО «Технология» Андрея Конторичева.

Ниже опубликован полный текст документа:

   08 августа 2012 года ОАО ФКБ «СЕВЕРГАЗБАНК» Череповецкий филиал (ИНН 3525023780), далее Банк, осуществил несанкционированный перевод денежных средств по п/п №607 от 08.08.12. с расчетного счета ООО «Технология», далее Клиент, ИНН 3528173208 в размере 3 220 800 руб. (три миллиона двести двадцать тысяч восемьсот рублей) корреспонденту (получатель) ООО «Инвест», ИНН 7814532920, счет 40702810232030000508. в филиал «Санкт-Петербургский» ОАО «Альфа-Банк» г. Санкт-Петербург БИК 044030786).

   Со своей стороны можем пояснить следующее:

работники ООО «Технология» данный перевод не осуществляли, прямая кража реквизитов доступа (учетной записи, пароля и секретных ключей, цифровой подписи) маловероятна : электронное устройство, с которого осуществляется постоянное санкционированное подключение к системе ДБО, располагается по адресу: Вологодская обл., г. Череповец, ул. Батюшкова д.7 (провайдер ОАО «Ростелеком», договор №121000375303 от 04.10.11. со статическим IP адресом 783617355), доступ к электронному устройству ограничен (убирается в закрываемый сейф после осуществления платежей), помещение бухгалтерии обособленно и находится под внутренним круглосуточным видеонаблюдением, в ночные часы сдается на пульт охранного агентства «Торнадо», никаких договорных отношениях с этой организацией не имеем, договоров поставок и подрядов с ней не заключали, места нахождения, телефонов для связи не знаем, в контакте с лицами имеющими отношение к ООО «Инвест» не состоим. Причиной этого несанкционированного перевода послужил вход в систему ДБО с иного IP адреса, создано платежное поручение, платеж успешно проведен и денежные средства списаны с нашего расчетного счета, о чем операционист ОАО ФКБ «СЕВЕРГАЗБАНК» Череповецкий филиал Ефремова М.С. уведомила нас по телефону.

   Платежей 08 августа 2012 года нами не совершалось и не могло быть осуществлено по причине выхода из строя системы «Банк-Клиент», о чем Банк был уведомлен нами по телефону; операционист Ефремова М.С. признала временные проблемы с сервером Банка.
   На основании нашего заявления о хищении средств работники службы безопасности ОАО ФКБ «СЕВЕРГАЗБАНК» Череповецкий филиал провели первичное разбирательство и связавшись со службой безопасности филиала «Санкт-Петербургский» ОАО «Альфа-Банк» г.Санкт-Петербург заблокировали счет ООО «Инвест» ИНН 7814532920 (р/с №40702810232030000508).
   Как нам стало известно с р/с вышеуказанной организации, в этот же день, был осуществлен перевод денежных средств на четыре карточные счета, открытых на физических лиц и было произведено одномоментное снятие наличности в банкоматах г. Сочи с данных карточных счетов. Возможно, за этим могут стоять ОПГ готовящие тер. акты на олимпийских объектах.
   На данный момент руководство ОАО ФКБ «СЕВЕРГАЗБАНК» Череповецкий филиал разъяснений и комментариев по данному происшествию не дает (направлена претензия от 14.08.2012 с предложением восстановить исходящий остаток на 9ч.00 мин. на 09.08.12., а п/п №607 от 08.08.12.- считать недействительным,); отправлены письменные обращения в Центральный банк России (Курьерская служба ИНФОРМ КУРЬЕР №3540372 от 16.08.12), ФСБ России (Курьерская служба ИНФОРМ КУРЬЕР №3540458 от 22.08.12); подано заявление в 1-ый отдел полиции УМВД РФ г. Череповца по Вологодской Области (КУСП 30497 от 09.08.12). Сотрудниками отдела «К» по протоколу от 13.08.12 были изъяты для экспертизы средства криптозащиты и аппаратная часть (ноутбук). Ведется расследование.

   Источник: http://bankir.ru/

среда, 29 августа 2012 г.

Сертифицированное ФСТЭК и ФСБ России решение StoneGate SSL VPN


   У компании StoneSoft имеется полностью сертифицированное решение StoneGate SSL VPN как со стороны ФСТЭК так и ФСБ.
   Решение как класс (SSL доступ) пока не так уж и известное в России.
   По словам Романова Михаила, главы Российского представительства StoneSoft, теперь, когда получен сертификат на Это изделие, а также в связи с популяризацией концепции BYOD (использование доступа с любого устройства которое имеет или купил пользователь к данным компании), данное решение становится одним из самых интересных предложений на нашем рынке.
   Михаил Романов приводит следующие преимущества решения:
   1. это ЕДИНСТВЕННОЕ в своем классе сертифицированное решение на Российском рынке обоими организациями. Что дает возможность ВАМ как партнерам использовать его как повод "войти" в клиента с которым вы еще не общались предложив ему эксклюзивное решение (новое и без по сути конкурентов на рынке).
   2. Решение позволяет в отличие от традиционно используемых технологий подключать не только компьютеры без больших проблем. Вы предлагаете новую технологию, которая ДОПОЛНЯЕТ уже используемую (расширяя возможности доступа) и не требует принятия трудных решений по обоснованию инвестиций ввиду необходимости замены уже купленного оборудования. Вы просто предлагаете дополнительные технологии, которые очень хорошо воспринимают начальники - они начинают получать доступ с мобильных устройств, самым простым образом.
   3. Если говорить о сертифицированности : это первое решение на Российском рынке не привязанное к СЕРТИФИКАТАМ. Вы можете их использовать а можете не использовать и режим, в котором на клиентской стороне сертификат не используется является СЕРТИФИЦИРОВАННЫМ. Многие используют на работе, например, так называемые системы одноразовых паролей. Теперь возможно использовать это и с решением StoneGate SSL VPN!
   4. Решение полностью соответствует всем требованиям сформулированным в документах по защите персональных данных и может использоваться для всех классов без исключений. А это сильно упрощает работы по аттестации и вообще выполнению этих требований особенно если это касается удаленного доступа.
   5. В конце концов , это реально работающая технология, которая имеет в своем составе очень много приятных и БЕСПЛАТНЫХ бонусов ( OTP , NAC, FEDERATED ID и др) , что реально может сэкономить средства заказчика.

пятница, 17 августа 2012 г.

Банк нарушил закон о противодействии коррупции


   Прокуратурой Красногвардейского района Санкт-Петербурга проведена проверка поступившей из внутригородских муниципальных образований муниципальных округов Красногвардейского района Санкт-Петербурга информации об увольнении муниципальных служащих, замещавших должности, включенные в перечень должностей муниципальной службы, при заключении трудовых договоров с которыми организации обязаны уведомить представителя нанимателя (работодателя) муниципального служащего по последнему месту его службы.
   В ходе проверки установлено, что юридическим лицом - ОАО "Банк "Открытие" допущены нарушения требований, предусмотренных ст. 12 Федерального закона от 25.12.2008 № 273-ФЭ "О противодействии коррупции", при заключении Обществом трудового договора с муниципальным служащим, уволенным с должности начальника аппарата муниципального совета внутригородского муниципального образования Санкт-Петербурга муниципальный округ Малая Охта. Порядок сообщения работодателем при заключении трудового договора с гражданином, замещавшим должности муниципальной службы, о заключении договора представителю нанимателя (работодателю) муниципального служащего по последнему месту его службы установлен постановлением правительства РФ от 08.09.2010 № 700.
   Согласно указанного постановления работодатель при заключении трудового договора с гражданином, замещавшим должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение 2 лет после его увольнения с государственной или муниципальной службы письменно сообщает представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы о заключении такого договора в письменной форме в 10-дневный срок со дня его заключения.
   Однако, в нарушение вышеуказанных требований ОАО Банк "ОТКРЫТИЕ" не уведомило в установленном законом порядке внутригородское муниципальное образование Санкт-Петербурга муниципальный округ Малая Охта о заключении трудового договора с бывшим муниципальным служащим.
   Таким образом, ОАО Банк "ОТКРЫТИЕ" не исполнена обязанность, установленная ч. 4 ст. 12 Федерального закона "О противодействии коррупции", в связи с чем, прокуратурой Красногвардейского района в отношении ОАО Банк "ОТКРЫТИЕ" возбуждено дело об административном правонарушении, предусмотренном ст. 19.29 Кодекса об административных правонарушениях РФ.
   Постановлением мирового судьи судебного участка № 365 района Хамовники города Москвы ОАО Банк "ОТКРЫТИЕ" признано виновным в совершении указанного административного правонарушения и подвергнуто административному штрафу в размере 100000 (сто тысяч) рублей.

   Источник - bankir.ru

среда, 15 августа 2012 г.

Из оперативной памяти выключенного ПК еще можно достать пароли!

Вроде ничего сверхестественного, но решил перепостить статейку.

   Исследователи из Греции обнаружили неожиданную брешь в защите компьютеров. После выключения системы с них еще можно получить содержимое оперативной памяти в течение достаточно долгого времени!
   Христос Георгиадис (Christos Georgiadis) из Университета Македонии в Салониках и его коллеги Ставрула Карайианни (Stavroula Karayianni) и Василиос Катос (Vasilios Katos) из Фракийского университета имени Демокрита в Ксанти показали (файл PDF), как их открытие может быть использовано специалистами в области информации и криминалистики для получения улик из компьютеров, а также использованы преступниками для получения персональных данных и банковских реквизитов.
   Исследователи отмечают, что большинство пользователей полагают, что после отключения их компьютера все данные, хранящиеся в оперативной памяти (RAM) пропадают. Действительно, RAM является энергозависимой памятью, и при прекращении подачи питания информация исчезает. Тем не менее, Георгиадис и его коллеги доказали, что данные, хранящиеся в оперативной памяти не утрачиваются, если компьютер выключен, но по прежнему подключен к сети электроснабжения. А так как пароли являются часто используемой информацией приложениями, то они с очень большой долей вероятности продолжают хранится в памяти в незашифрованном виде.
   Команда исследователей провела успешные снятия дампов памяти с компьютеров через 5, 15 и 60 минут после их выключения. А затем из дампа легко извлекла пароли к Gmail, Facebook, Hotmail и WinRar.
   Так что выключайте свои ПК полностью (из розетки), если храните что-то действительно ценное.

Источник - www.apploidnews.com

среда, 1 августа 2012 г.

"Пришла проверка. Что делать?" деловая игра

   Организаторы конференции «ИнфоБЕРЕГ-2012» (11-16.09.12 - Сочи) расширяют традиционные форматы деловых секций с целью более активного вовлечения аудитории слушателей в профессиональные дискуссии. Одним из наиболее ярких моментов предстоящего сочинского форума станет деловая игра под названием «Проверка регулятора. Что делать?», посвященная практическим аспектам подготовки и прохождения операторами персональных данных плановых и внеплановых проверок. В деловой игре примут участие представители регуляторов, осуществляющих проверки в области соблюдения требований законодательства о персональных данных, организаций, являющихся операторами персональных данных, а также поставщики решений и услуг по ИБ. Основные вопросы, которые планируется рассмотреть в рамках деловой игры:
   - лучшие кейсы в области соблюдения требований законодательства о ПДн и прохождения проверок;
   - распространенные недостатки, выявляемые при проверках, и как их избежать;
   - чего операторам ПДн не следует делать при подготовке и во время проверок;
   - опыт создания отраслевых стандартов и рекомендаций.
   Заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора Юлия Забудько выступит с докладом «Соотношение персональных данных и другой информации ограниченного доступа в рамках законодательства РФ». От Минкомсвязи России в конференции примут участие начальник отдела информационной безопасности Департамента создания и развития Информационного общества Александр Горовенко и начальник отдела региональных программ и проектов Департамента государственной политики в области создания и развития электронного правительства Александр Заверячев.

Академия Информационных Систем стала участником Программы ассоциированных консультантов Британского института стандартов (BSI MS CIS Associate Consultancy Programme)

   Академия Информационных Систем (АИС) в 2012 году успешно прошла аудит Британского института стандартов на соответствие требованиям ISО 10019 и получила статус авторизованного учебного центра под номером BSI CIS-001 по предоставлению образовательных услуг.
   Представители BSI оценивали опыт и квалификацию специалистов компании, наличие успешных образовательных проектов по системам управления информационной безопасностью и системам управления непрерывностью бизнеса. АИС в очередной раз успешно подтвердил свои компетенции в данных областях.
   Международная Программа AСP (Associate Consultancy Programme) действует с 2009 года, на сегодняшний день её участниками стали более 200 компаний по всему миру. В СНГ и России Программа стартовала в марте 2012 года. Программа Ассоциированных Консультантов предназначена для организаций, которые профессионально занимаются внедрением, сопровождением и поддержкой систем менеджмента, включая разработку и предоставление образовательных программ, построенных на базе практик Британского Института Стандартов.
   АИС плодотворно сотрудничает с BSI, начиная с 2005 года, ведёт активную деятельность по продвижению передового опыта BSI как в России, так и в странах СНГ. На сегодняшний день в штате Академии работают 5 аккредитованных BSI высококвалифицированных преподавателей с большим практическим опытом по внедрению и сопровождению систем менеджмента, построенных на базе международных стандартов ISO 27001, ISO20000, ISO22301 и др.
   По словам ректора АИС Юрия Малинина примечательным является тот факт, что Академия Информационных Систем – первый в России и странах СНГ учебный центр, который стал Ассоциированным партнером BSI по обучению. Это, с одной стороны, подтверждает высочайшее качество образовательных услуг Академии, а с другой накладывает большую ответственность перед профессиональным сообществом и BSI, учитывая то, что BSI значительно ужесточила требования к партнерам и присвоила статусы только тем компаниям, которые активно и качественно работают на рынке.

понедельник, 30 июля 2012 г.

Практический мастер-класс «Практикум по анализу рисков информационной безопасности»


Академия Информационных Систем совместно с компанией ГлобалТраст Солюшинс 11 октября 2012 года проводит однодневный практический мастер-класс по теме «Практикум по анализу рисков информационной безопасности». Мастер-класс предназначен для практического освоения приемов оценки и обработки рисков информационной безопасности на примере реальной организации.
За основу в мастер-классе взята методология управления рисками информационной безопасности, выработанная в ходе выполнения проектов по аудиту, оценке рисков, а также внедрению и сертификации систем управления информационной безопасностью по требованиям международных стандартов. Источниками разработки методологии стали популярные методы оценки рисков OCTAVE, CRAMM, RA2 и vsRisk, а также международные стандарты ISO 27001 и ISO 27005.
В ходе мастер-класса теоретические сведения чередуются с практическими упражнениями, которые слушатели выполняют самостоятельно под руководством тренера. В общей сложности слушателям предстоит выполнить 9 упражнений (по одному на каждую стадию процесса оценки и обработки рисков информационной безопасности).
Программа мастер-класса:
- Вводная часть;
- Понятие риска информационной безопасности;
- Качественная и количественная оценка риска;
- Факторы (составные элементы) риска;
- Упражнение 1. Определение области и границ оценки рисков;
- Упражнение 2. Идентификация активов;
- Упражнение 3. Определение ценности активов;
- Упражнение 4. Определение профиля и жизненного цикла угрозы;
- Упражнение 5. Оценка угроз и уязвимостей;
- Упражнение 6. Вычисление риска;
- Упражнение 7. Калибровка шкалы оценки риска;
- Упражнение 8. Выбор механизмов контроля;
- Упражнение 9. Оценка возврата инвестиций в информационную безопасность.
Всем участникам мастер-класса дается возможность приобретет по льготной цене комплект типовых документов по управлению рисками информационной безопасности, который включает в себя:
1. Общее описание;
2. Инструкция по внедрению системы управления рисками информационной безопасности;
3. Политика управления рисками информационной безопасности;
4. Методология оценки рисков информационной безопасности;
5. Приложение 1: Реестр информационных ресурсов;
6. Приложение 2: Реестр требований безопасности;
7. Приложение 3: Определение ценности активов;
8. Приложение 4: Определение приоритетов аварийного восстановления;
9. Приложение 5: Модель угроз информационной безопасности;
10. Приложение 6: Оценка уровней угроз и уязвимостей;
11. Приложение 7: Критерии оценки ущерба;
12. Приложение 8: Реестр информационных рисков;
13. Приложение 9: Декларация о применимости механизмов контроля;
14. Приложение 10: План обработки рисков;
15 Приложение 11. План аудита безопасности;
16. Приложение 12. План оценки рисков;
17. Приложение 13. Отчет об оценке рисков.

Продолжительность – 1 день.
Дата мероприятия – 11 октября 2012 года.
Стоимость – 15000 руб. (НДС не облагается) на одного человека. При участии более одного слушателя от организации предоставляется скидка 10%.
Количество мест ограничено.
По окончании мастер-класса всем слушателям вручаются Свидетельства АИС.
Контактная информация – Ольга Карташова, security@infosystem.ru, 8(495)231-3049.

Бесплатный семинар "Анализ защищенности систем дистанционного банковского обслуживания" в АИС

   Академия Информационных Систем совместно с компанией SolidLab 06 сентября 2012 года проводят бесплатный семинар по актуальной теме "Анализ защищенности систем дистанционного банковского обслуживания".
   Семинар посвящен актуальной задаче оценки защищенности системы дистанционного банковского обслуживания (ДБО). Различные источники подсчета статистики свидетельствуют о возрастающем интересе со стороны злоумышленников к система ДБО. Так, за прошлые годы объем денежных средств, оборачиваемых в следствие вредоносных действий в системах ДБО вырос на порядок. Семинар, в первую очередь, призван повысить осведомленность руководителей бизнесов и ответственных лиц в вопросах актуальных угроз, действующих в области использования ДБО. Отдельной целью стоит донесения роли и места проекта по анализу защищенности системы ДБО в контексте проведения общей программы обеспечения ИБ в организации. В частности, у аудитории после проведения семинара должно сложиться четкое понимание того, как вписать такой проект в комплексный подход обеспечения безопасности.
   Основные цели семинара:
   - повысить осведомленность руководителей бизнесов и ответственных лиц в вопросах актуальных угроз, действующих в области использования ДБО;
   - обеспечить понимание аудитории роли и места проекта по анализу защищенности системы ДБО в контексте проведения общей программы обеспечения ИБ в организации; как вписать данный проект в комплексный подход обеспечения безопасности.
   В качестве докладчиков выступят ведущие эксперты по защите систем ДБО компании SolidLab и АИС.
Программа семинара:
   1. Введение. Общая информация.
    1.1 Назначение и роль систем ДБО для современных банков.
    1.2 Обзор функциональных возможностей системы ДБО с точки зрения клиента. Обзор бизнес-процессов, автоматизируемых в системах ДБО.
    1.3 Типичная архитектура и технологии, лежащие в основе систем ДБО.
    1.4 Обзор продуктов на рынке ДБО. Стандартные vs custom ДБО.
   2. Обзор типичных уязвимостей, порождаемых набором технологий, применяемых в системах ДБО, и их архитектурой.
   3. Обзор типичных угроз, реализуемых в экосистеме ДБО. Черный рынок монетизации вредоносных действий в сфере ДБО.
   4. Типичный проект по оценке защищенности системы ДБО. Его место в общей программе обеспечения ИБ в организации. Фазы проекта. Методика. Что делать с результатами проекта.
   5. Правовое регулирования в области использования систем ДБО.
Дата проведения – 06.09.2012 года.
Продолжительность – 09:30 – 14:00.
Стоимость участия – бесплатно, но при подтверждении от организаторов.
Место проведения – АИС, г.Москва, ул.Первомайская, 126.
Контактное лицо – Ольга Карташова, security@infosystem.ru, 8(495)231-3049.

пятница, 27 июля 2012 г.

Дистанционные банковские услуги: под прицелом киберпреступников


   Сегодня 27 июля 2012 года состоялась пресс-конференция по теме "Дистанционные банковские услуги: под прицелом киберпреступников", которую организовал и провел Международный банковский клуб с партренами в здании ИТАР-ТАСС.
   На вопросы присутствующих отвечали Курило А.П. (Банк России), Сумманен К.Т. (Банк ВТБ), Голенищев А.А. (Альфа-Банк), Конявский В.А. (МФТИ), Лайков А.Г. (Система денежных переводов BLIZKO Связь-Банка), Черноморов С.А. (HandyBank), Шумский Л.С. (Связной Банк) и ведущий круглого стола Аитов Т.Н. (АРБ).
   Скажу честно, но чего-то нового и революционного я не услышал. Основное, что бросается в глаза, это то, что от мероприятия к мероприятию меняются акценты. Наверно лет этак 5-8 назад основной акцент на таких мероприятиях делался на технических мероприятиях и необходимости внедрения технических средств. Позже акцент перешел на орг.мероприятия, в частности, говорилось, что нужно разработать отраслевой Стандарт и будет всем счастье. Однако, даже после разработки целого комплекса Стандартов в области ИБ ситуация в корне не поменялась. Еще позже акцент перенесся на необходимость разработки адекватной нормативной базы и неотвратимости наказания. Сегодня же, одним из основных докладчиков Курило А.П., акцент был сделан на системности решения проблемы безопасности не только ДБО, но и всех дистанционных банковских услуг.
   Из наиболее интересного:
   1. Курило А.П.:
- Альтернативы ДБО сейчас нет. Соответственно речи о упразднении данного вида услуг для клиентов не идет.
- Объем операций по денежным переводам превышает десять миллионов транзакций в сутки. При этом нет статистики, сколько из этих транзакций мошеннические.
- Стандартные решения для обеспечения безопасности ДБО не применимы и нужно проблему решать системно.
- Примеры эффективных решений есть у PCI Council, в частности переход с магнита на чип позволил снизить число мошеннических транзакций на 90%.
- Банковскому сообществу нужно оперативно информировать друг друга о произошедших инцидентах и мошеннических операциях.
- Нужно применять меры по блокированию мошеннических переводов. Если все же деньги уже сняты, то нужно плотно взаимодействовать с правоохранительными органами.
- Порядка 50% атак происходит с использованием методов социальной инженерии и нужно информировать и воспитывать общество.
- Нужно создать банковский CERT.
- Банки не охотно делятся информацией о компрометации карточек, т.к. это негативно играет на их репутации. В Нидерландах провели исследование и выяснилось, что после того, как пресса публикует информацию о компрометации карточки того, либо иного банка, то сразу обороты этого банка падают на 3%.
- Создание базы инцидентов поддерживается, но есть ряд серьезных вопросов, на которые пока нет четких ответов. В частности, как обеспечить безопасность этой самой базы, нужно установить ответственность всех лиц имеющих к ней доступ за разглашение, где взять деньги на финансирование этой большой работы. Банк России не готов финансировать.
   (От себя добавлю, что данная база будет одним из инструментов конкурентной борьбы одних банков с другими).
- Что касается статистики инцидентов, то пока ее нет. Выпущено указание БР 2831-У по которому участники обязаны писать отчеты и предоставлять их в БР. Через пол года будет данная система отработана и появится статистика.
   2. Шумский Л.С.:
- Есть проблемы по взаимодействию между банками при возникновении инцидентов ДБО.
- Существует рабочая группа, которая разработала рекомендации для клиентов, как действовать при инциденте, как получить деньги назад. Рекомендации содержат более 10 форм заявлений в банк, в правоохранительные органы и т.п.
Основная цель этих рекомендаций, это остановка транзакций, пока деньги не обналичились.
- На сайте НП "НПС" будет закрытый раздел по обмену информацией по инцидентам между банками.
   3. Сумманен К.Т.:
- Должен действовать принцип неотвратимости наказания.
- Риск в ДБО может быть сведен к минимуму, если клиент будет выполнять все указания банка.
- Нужно создать базу по инцидентам и мошенникам по аналогии с кредитованием и Бюро Кредитных Историй.
- Нет системы обучения и информирования клиентов (общества). Это обучение, ликбез нужно вводить в школах.
   4. Голенищев А.А.:
- В Альфа-Банке создана система on-line-мониторинга каналов ДБО. Можно видеть и отсекать мошеннические операции во время самой операции. После введения этой системы во втором квартале потери от инцидентов составили всего порядка 100т.р.
   5. Черноморов С.А.:
- Многие инциденты банками скрываются, чтобы не терять репутацию.
- Эффективность взаимодействия службы безопасности и Управления К зависит от отношений между сотрудниками СБ банка и сотрудниками Управления К. Если они хорошие, то дело сдвинется с мертвой точки.
   6. Конявский В.А.:
- Достаточно оригинальные методы предотвращения киберпреступности предложил Конявский В.А.:
- Перед запуском Банк-клиента нужно перегрузить компьютер. После этого поработать и опять перегрузить компьютер. До этого и после этого можно лазить хоть по порно-сайтам (оставлены авторские выражения). К сожалению, на вопрос, что делать если в системе сидит троян, автор этого предложения не ответил.
- Банки должны установить лимиты для клиентов по компенсации ущерба. Т.е. если клиент у себя использует слабые средства защиты и аутентификации, то лимит установить на минимуме, а если используются средства защиты рекомендованные банком и сертифицированные, то лимит установить больше.
Участники круглого стола не поддержали эту идею, т.к. установление любого лимита, это ущемление прав клиента и внесение дополнительных неудобств клиенту.