Банк России фиксирует постоянный рост числа мошеннических действий – только за первое полугодие 2023 объём средств, похищенных с банковских карт и счетов россиян, вырос на 30% по сравнению со средними значениями прошлого года. Финансовый сектор сегодня – под особенным прицелом злоумышленников.
Эксперты «Центра исследований безопасности информационных технологий» (ЦИБИТ) уверены: только строгое соответствие требованиям регулятора и постоянный анализ уровня защищённости ИТ-инфраструктуры помогут обеспечить кибербезопасность в финансовой организации на должном уровне.
По мнению руководителя департамента финансового комплаенса «ЦИБИТ» Тамары Деменковой, основными угрозами остаются уязвимости в ПО, уязвимости, связанные с воздействием вредоносного кода, а также угрозы утечек информации, несанкционированного доступа и угрозы нарушения доступности внешних сервисов финансовых организаций. Выявить слабые места поможет ИБ-аудит:
«В рамках аудита мы проводим анализ системы безопасности по нескольким направлениям: оценка нормативной документации; проверка выполнения заявленных требований; оценка осведомлённости работников и отношения руководства компании к вопросам информационной безопасности. Комплексный подход позволяет формировать детальное представление о текущем состоянии ИБ-системы».
Помимо приведения системы информационной безопасности банка в соответствие требованиям, важно понимать, как принятые меры работают в условиях реальной кибератаки. В соответствии с Положениями Банка России № 719-П и № 757-П, в банках ежегодно должны проводиться пентесты. Эксперт в области защиты информации, коммерческий директор «ЦИБИТ» Лев Якубович отмечает необходимость проведения комплексных тестирований на проникновение:
«Пентест – это моделирование действий потенциального злоумышленника, позволяющее оценить реальный уровень защищённости ИТ-системы.
Как правило, банки заказывают внешнее тестирование для повышения оценки по 719-П, но такой подход является ошибочным. Тестировать нужно объекты информационной инфраструктуры – сайт, АБС, систему ДБО, рабочие места для обмена с платёжными системами. Только полноценный внутренний пентест позволяет выявить максимальное количество уязвимостей».
Группа компаний «ЦИБИТ» оказывает весь спектр услуг в области информационной безопасности для финансово-кредитных организаций: финансовый комплаенс, обучение на курсах профпереподготовки и повышения квалификации, комплексные ИБ-аудиты и пентесты, подбор кадров и аттестация объектов информатизации.
Мы помогаем соответствовать требованиям!