Служба безопасности банка: принцип работы, условия, требования к сотрудникам

Введение

Анализ выявленных в Российской Федерации за последнее время попыток хищения денежных средств с расчетных счетов корпоративных клиентов, путем совершения платежей с использованием систем электронного банкинга показал, что хищения денежных средств с расчетных счетов осуществляются, как правило:

  • ответственными сотрудниками предприятия, имевшими доступ к секретным (закрытым) ключам ЭП, в том числе работающими или уволенными (директорами, бухгалтерами и их заместителями);
  • штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными (закрытыми) ключами ЭП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе «Интернет-банк»;
  • нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе «Интернет-банк»;
  • злоумышленниками путем заражения компьютеров клиентов или взятия под контроль с использованием уязвимостей системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных (закрытых) ключей ЭП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным (закрытым) ключам ЭП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.

В связи с этим Банк настоящим документом еще раз информирует Вас о необходимости строгого соблюдения приведенных в данном документе правил информационной безопасности.

Основные разделы концепции

Изучение задач, вытекающих из действующего законодательства и иных нормативных правовых актов, разработок в области криминалистики и результатов практической деятельности по обеспечению безопасности банков приводит к выводу о том, что создатели концепции должны включить в нее, как минимум, пять основных разделов. В их числе основы формирования и функционирования системы безопасности банка (понятия и определения в системе банковской безопасности, принципы обеспечения, силы и средства, основы организации системы безопасности); система правового обеспечения банковской безопасности; концептуальное проектирование системы безопасности банка (объекты защиты, основные виды посягательств, субъекты правоотношений в области обеспечения банковской безопасности); рабочее проектирование системы безопасности банка (организационно-правовые вопросы создания системы безопасности, организация службы безопасности); управление деятельностью службы безопасности банка.

Важные замечания

Важно понимать, что:

  • Банк не имеет доступа к секретным ключам ЭП и паролям Клиентов для доступа в систему дистанционного банковского обслуживания (далее ДБО).
  • Банк не может от имени Клиента сформировать корректную ЭП под электронным платежным поручением.
  • Вся ответственность за конфиденциальность секретных (закрытых) ключей ЭП полностью лежит на Клиенте, как на единственном владельце секретных (закрытых) ключей ЭП.
  • Банк не рассылает по электронной почте  и не озвучивает по телефону секретный ключ ЭП или пароль Клиента.
  • Банк не запрашивает по электронной почте  и по телефону секретный ключ ЭП или пароль, а также номер банковской карты Клиента и ПИН-коды.
  • Если  Клиент сомневается в конфиденциальности своих секретных (закрытых) ключей ЭП или есть подозрение в их компрометации (копировании), Клиент должны заблокировать свои ключи ЭП обратившись в Банк.

Content Security Policy

“Политика защиты контента” или CSP – это один из основных способов уменьшения рисков, возникающих при эксплуатации XSS-атак. Данный инструмент позволяет администратору сайта определить, какие веб-ресурсы разрешены к использованию на страницах — шрифты, стили, изображения, JS-скрипты, SWF и так далее. Узнать, какие браузеры поддерживают CSP, можно .

Благодаря CSP можно как полностью запретить браузеру подгружать, например, флэш-объекты, так и отрегулировать белый список доменов — в таком случае браузер отобразит лишь те SWF, которые размещены на разрешенном домене. Еще одно преимущество, которое предоставляет политика CSP – возможность оперативно узнавать о появлении новых XSS на просторах контролируемого ресурса. За счет применения опции “report-uri”, браузер злоумышленника или пользователя-жертвы отправляет отчет на указанный URL, как только срабатывает CSP.

Среди основных ошибок, связанных с CSP-политикой, можно выделить следующие категории:

  1. Некорректная конфигурация
    • Пропущенные директивы (script-src|object-src|default-src|base-uri)
    • Избыточные опции (unsafe-inline|unsafe-eval|https: | data: | * )
  2. Слабости хостов и «белого списка»
    • Возможность загрузки произвольных JS-файлов
    • Функции обратного вызова (“callbacks”)
    • Скрипт-гаджеты в Angular и подобных шаблонизаторах
  3. Атаки без применения JS (“scriptless”)
    • Утечка информации через незакрытые теги
    • Внедрение фишинговых форм

Более подробную информацию, конкретные примеры ошибок и способы их избежать можно найти в полном тексте исследования.

Основная цель CSP — снизить вероятность эксплуатации XSS-атак, но, как показало исследование, немногие справляются с корректной настройкой этой политики: всего 3% использующих CSP.
На графике представлены наиболее частые ошибки в CSP рассмотренных сайтов.

Роль банка

Требования о принятии банками мер защиты своего имущества и инфраструктуры содержатся в ряде федеральных законов и нормативных актов Банка России. Именно банк должен обеспечивать своими силами и средствами безопасность банковских операций, охрану имущества, защиту информации (банковской тайны, иных сведений конфиденциального характера, компьютерной информации) и информационной инфраструктуры, защиту системы кадрового обеспечения, личную безопасность руководства и персонала банка. Понятно, что организация столь обширной и разноплановой работы требует соответствующего научного и методического обеспечения. По этой причине банковское сообщество России весьма заинтересовано в теоретических разработках и практических рекомендациях в сфере банковской безопасности.

В последние годы отечественные ученые провели ряд исследований, касающихся преступлений в сфере банковской деятельности. Однако большинство этих исследований по-прежнему адресовано правоохранительным органам и не затрагивает вопросов участия самих банков в борьбе с преступлениями и создания ими систем безопасности.

Требования к охранникам финансовых учреждений

Современные банки и другие финансовые структуры, дорожащие своей репутацией, заботящиеся о максимальной безопасности имущества, персонала, клиентов, предпочитают заказывать услуги физической охраны в профильных структурах. ЧОП готов предоставить клиенту высококвалифицированных, лицензированных специалистов, прошедших соответствующую подготовку.

Профильные структуры предъявляют высокие требования к персоналу, который будет обеспечивать охрану финансовых учреждений. В топ-3 обязательных личных данных для хорошего охранника банка входят:

  1. Достойный уровень физического развития (выносливость, ловкость, общее здоровье), наличие определенных навыков, в частности, умения обращаться с оружием.
  2. Высокая скорость реакции. Охраннику в нештатной ситуации приходится действовать быстро и при этом строго по инструкции. Такой подход обеспечивает адекватный ответ на происходящее и безопасность самого сотрудника.
  3. Ответственность. Профессиональный охранник мгновенно принимает решения, отвечает за их последствия.

Также обязательным объективным качеством охранника банка или другой финансовой структуры является благонадежность. ЧОП проводит комплексную проверку биографии каждого сотрудника, используя доступные технические методы и средства, в том числе полиграф.

Set-cookie

Получив HTTP-запрос, сервер может отправить вместе с ответом заголовок Set-Cookie.
Cookie с флагом Secure отсылаются на сервер, только если запрос выполняется по протоколам SSL и HTTPS. Тем не менее, важные данные никогда не следует передавать или хранить в cookie, поскольку их механизм весьма уязвим, а флаг Secure не обеспечивает дополнительного шифрования или средств защиты. Cookie с флагом HTTPonly недоступны из JavaScript через свойства Document.cookie API, что помогает избежать кражи cookie у клиента в случае XSS-атаки. Следует устанавливать этот флаг для тех cookie, к которым не нужно обращаться через JavaScript. В частности, если cookie используются только для поддержки сеанса, то в JavaScript они не нужны и можно использовать флаг HTTPOnly. Без флагов HTTPOnly и Secure в заголовке HTTP-ответа можно украсть или обработать сеанс веб-приложения и файлы cookie.

Флаги Secure и HTTPonly в данном заголовке встречаются не чаще, чем на каждом втором официальном сайте банка в Боснии и Герцеговине, Японии, Китае, Бразилии, Болгарии, Люксембурге, Финляндии, Израиле, Франции, Великобритании и Испании.
Среди ДБО для физ. лиц – Китай, Ирландия, Израиль и Япония.
Среди ДБО для юр. лиц – Босния и Герцеговина, Бразилия и Китай.

Мошенничество через SMS-сообщения

Подключите «SMS-сервис», чтобы мгновенно получать информацию об операциях по карте на мобильный телефон. Если вы получили sms об операции, которую не совершали, сразу же сообщите в банк.

Но будьте бдительны: иногда злоумышленники рассылают смс-сообщения с извещением о снятии/оплаты по карте N-ной суммы денег. Следом указывается номер телефона, на который нужно позвонить, если операцию совершили не вы. Указанный номер телефона может быть обычным невзрачным номером рядового абонента или номером на 8-800.

Попавшись на удочку и перезвонив, вы рискуете следующим. Вы можете выдать мошенникам данные вашей карты и/или код подтверждения операции в sms-сообщении. Этот код вам будет предложено сообщить для отмены операции о списании средств с вашей карты. И как только вы его сообщите, деньги с нее спишутся уже на самом деле.

Вирусный разводВирусный развод

Не будь овощем — не попадись на уловку мошенника

Сообщения могут быть как с обычных телефонных номеров, так и с номера 900 Сбербанка. Увы, сейчас существуют технологии подмены номера. Если у вас возникли подозрения о мошенническом характере sms, найдите в интернете на сайте банка номер службы поддержки и свяжитесь с ними.

Чаще лжесписания в sms происходят с карты Сбербанка. Клиентами Сбербанка являются практически все бюджетники и пенсионеры. Поэтому, отправив смс наугад, очень легко попасть на доверчивого клиента Сбера

Важно обучить своих пожилых родственников азам финансовой грамотности. И объяснить им, что такое безопасность использования банковских карт

Но я получал неоднократно смс о лжесписании с карты менее крупного банка. Клиентом которого я действительно был. Правда, я не являлся держателем их карты. Это наводит на мысль о мошенниках среди сотрудников банков. Увы, они тоже не безгрешны.

Краткое описание процесса моделирования угроз

модель угроз

  • информационные системы;
  • автоматизированные системы;
  • объекты информатизации;
  • бизнес-процессы.

майндкартатиповая (базовая) модель угрозчастная модель угроз

  • отчетов исследователей об обнаруженных уязвимостях, которые могут быть использованы для реализации угроз;
  • отчетов компьютерных криминалистов о расследованиях реальных компьютерных атак;
  • отчетов компаний, специализирующихся в области защиты информации, посвященных анализу текущей ситуации в области компьютерной безопасности;
  • публикаций в СМИ, посвященных компьютерным преступлениям;
  • , в которых перечислены угрозы, сгруппированные по тому или иному принципу.

идентификация угрозпризнака наличия возможностеймодель нарушителяпризнак незначительности риска

Методики и публикации Microsoft по моделированию угроз

Security Development Lifecycleкаскадной модели разработки ПО («waterfall»)

  • методология STRIDE;
  • использование классификаторов угроз;
  • использование деревьев угроз и шаблонов атак.

Методология STRIDE

  • Spoofing Identity – «подмена личности». Нарушитель выдает себя за легитимного пользователя (например, украл логин/пароль) и выполняет от его имени вредоносные действия.
  • Tampering with Data – «подделка данных». Нарушитель подделывает данные, которые ему доступны при работе Web-приложения. Это могут быть cookie, элементы HTTP-запросов и т.д.
  • Repudiation – «отказ от транзакций». Нарушитель может отказаться от транзакций, когда на стороне Web-приложения не ведется достаточный аудит действий пользователей.
  • Information Disclosure – «раскрытие чувствительной информации». Нарушитель старается раскрыть персональные данные других пользователей, аутентификационную информацию и т.д.
  • Denial of Service – «отказ в обслуживании».
  • Elevation of Privilege – «повышение привилегий».
  • Damage Potential – какой ущерб будет нанесен, если угроза реализуется?
  • Reproducibility – насколько просто реализовать угрозу?
  • Exploitability – что требуется для того, чтобы выполнить атаку?
  • Affected Users – сколько пользователей может пострадать от атаки?
  • Discoverability – насколько просто злоумышленник может обнаружить угрозу?

Risk_DREAD = (DAMAGE + REPRODUCIBILITY + EXPLOITABILITY + AFFECTED USERS + DISCOVERABILITY) / 5

  • 0 = ущерба не будет;
  • 5 = ущерб будет лишь некоторой части системы или ограниченному объему данных;
  • 10 = пострадает вся система или будут уничтожены все данные.

Обязательные требования к системе ИБ безналичных платежей

  • внедрение передовых практик по управлению IT и инфраструктурой;
  • создание комплексной системы защиты информации.
Защита персональных данных.
Основание – в платежных документах есть персональные данные (Ф.И.О. плательщика / получателя, его адрес, реквизиты документа, удостоверяющего личность)
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ КоАП РФ Статья 13.11, КоАП РФ Статья 13.12 – до 75 тыс. руб. штраф.,УК РФ Статья 137 – до 2 лет лишения свободы
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375)
Указание Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”
Обеспечение защиты информации в национальной платежной системе.
Основание – кредитная организация, выполняющая переводы денежных средств, является частью национальной платежной системы.
Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ
Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе»
Положение Банка России от 9 июня 2012 г. N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
Положение Банка России от 24 августа 2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России»
Эксплуатационная документация на СКЗИ СКАД Сигнатура
Обеспечение безопасности критической информационной инфраструктуры Российской Федерации.
Основание – банк в силу п.8 ст. 2 ФЗ от 26.07.2017 № 187-ФЗ является субъектом критической информационной инфраструктуры
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» УК РФ Статья 274.1 – до 8 лет лишения свободы
Постановление Правительства РФ от 08.02.2018 N 127
»Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
Приказ ФСТЭК России от 21.12.2017 N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (Зарегистрировано в Минюсте России 22.02.2018 N 50118)
Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» (Зарегистрировано в Минюсте России 08.02.2018 N 49966)
Указ Президента РФ от 22.12.2017 N 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Требования по защите информации, установленные договором об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России.
Основание – данный договор заключают все кредитные организации для электронного обмена платежными документами с Банком России.
Типовой договор обмена ЭС с приложениями. Документация на АРМ КБР, УТА (требования их использовании отражены в п.1. Приложения 3 к Договору) п. 9.5.4 Договора – одностороннее расторжение договора по инициативе Банка России.
  1. СТО БР ИББС. Стандарт и комплекс сопутствующих документов имеет силу только в случае его добровольного принятия кредитной организацией.
  2. PCI DSS. Стандарт будет действовать, только если в платежных документах передаются полные не маскированные номера платежных карт (PAN).
  3. Корпоративная политика информационной безопасности. Требования актуальны для больших банковских групп, где единая политика ИБ устанавливается в отношении всех банков группы и где каждый банк должен разрабатывать на ее базе внутренние документы.

АВЗ.1АВЗ.2Письмо Банка России от 24.03.2014 N 49-ТЗИС.17

Расчеты наличными vs. безналичные расчеты

Рис.1

Анализ наличных расчетов с точки зрения продавца и покупателя
Плюсы Минусы
Предоставляет покупателю и продавцу максимальную свободу и независимость от третьих лиц. Главное, чтобы денежные знаки были хорошо защищены от подделки, и их было достаточное количество Значительное неудобство, а и иногда и невозможность совершения покупок без личного контакта участников расчетов. Обеспечение безопасности хранения наличных денежных средств.
Анализ наличных расчетов с точки зрения государства
Плюсы Минусы
Исторически сложившаяся форма расчетов, к которой привыкло население. При наличных расчетах деньги «оседают» у продавцов и перестают «работать», до тех пор пока продавец не сделает на них какую-либо покупку.
Государство несет инфраструктурные затраты на производство денежных знаков, их логистику и утилизацию.
Наличные расчеты практически не подконтрольны для фискальных органов (налоговой инспекции) и создают условия для развития теневой экономики и ухода от уплаты налогов.

ГК РФ ст. 861Указание Банка России 3073-У от 07.10.2013

Действия службы безопасности для устранения проблемной задолженности

При появлении проблем с погашением кредита, сотрудники отдела анализируют и информацию и ищут источники выплаты долга. Ведутся переговоры с заемщиком, проводится разъяснительная работа. При этом в банках используются разные методы решения проблемы, и это зависит от политики банка.

При необходимости производится поиск возможного имущества должника через базу ГИБДД и Единый государственный реестр сделок с недвижимым имуществом. При фактах мошенничества, например, предоставление поддельных документов или недостоверных сведений, сотрудник службы безопасности, как представитель банка, инициирует возбуждение уголовного дела по отношению к заемщику и готовит необходимую информацию для подготовки в юридический отдел.

Сложность создания системы защиты банка

Структурирование понятия безопасности банка позволяет представить в общем виде сложность задач построения системы банковской защиты. Функционирование многоуровневой системы защиты обеспечивается применением мер правового, организационного, сыскного, криминалистического характера.

Создание такой системы защиты на практике связано с решением широкого и разнопланового набора проблем. В их числе задачи разработки стратегии и тактики обеспечения безопасности банка; структурирование и уточнение целей и задач обеспечения безопасности; разработка комплекса основных мер, направленных на достижение указанных целей; подготовка предложений по совершенствованию правового, нормативно-методического, научно-технического и организационного обеспечения безопасности; разработка целевых криминалистических программ защиты имущества и инфраструктуры банка.

Общие понятия

Информационная Безопасность – совокупность организационных и технических мер, направленная на повышение безопасности использования ИТ технологий. Далее по тексту ИБ.

Система Дистанционного Банковского Обслуживания – совокупность сервисов дистанционного обслуживания клиентов таких как: «Интернет-Банк», «Банк-Клиент», «Выписка OnLine» и т.п. Далее по тексту используется сокращение ДБО.

ПО – программное обеспечение.

Вредоносное ПО — это разного рода программы (в том числе троянские). Такие программы могут регистрировать последовательность нажимаемых на клавиатуре клавиш, другие делают снимки экрана при посещении пользователем сайтов, предлагающих банковские услуги, третьи загружают на компьютер дополнительный вредоносный код, предоставляют хакеру удаленный доступ к компьютеру и т.д. Все эти программы объединяет то, что они позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее в том числе для кражи денег у пользователей.

ЭП – электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) и которая используется для определения лица, подписывающего информацию.

Меры по обеспечению защиты информации в банке

Банковские информационные системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и проведении различных финансовых операций.

Необходимость сохранять информационную безопасность этих данных очевидна, но без быстрого и своевременного обмена и обработки информации банковская система даст сбой. Поэтому необходима целая структура, которая сможет обеспечить защиту банковской информации и конфиденциальность клиентской базы.

Последовательность мер по защите этих данных можно представить таким образом:

  • оценка и разработка конфиденциальной информации;
  • оборудование объекта для осуществления защиты;
  • контроль эффективности принятых мер.

Банк может полноценно осуществлять свою деятельность лишь в случае налаженного обмена внутренними данными и надежной системой защиты. Оборудование информационной защиты банковских объектов может иметь различные формы.

Специалисты в области обеспечения информационной безопасности банка могут создавать как локальные системы, так и централизованные программы защиты.

Выбирая конкретную форму защиты, необходимо учитывать все возможные способы взлома и утечки данных. Грамотный и профессиональный подход к обеспечению безопасности подразумевает слаженную работу всех отделений банка и беспрерывное функционирование финансовых систем.

  • Разработка комплекса защитных мер по предотвращению нарушения конфиденциальности данных включает в себя ряд определенных действий.
  • контроль обмена данных и строгая их регламентация;
  • подготовка сотрудников банка и соблюдение ими требований безопасности;
  • строгий учет каналов и серверов;
  • анализ эффективности.

Каждое направление включает в себя несколько этапов работы. К примеру, контроль обмена данных подразумевает не только обработку скорости передачи информации, но и своевременное уничтожение остаточных сведений. Эта мера также предполагает строгий контроль обработки данных и их криптографическую защиту.

Доступ к данным банка защищается с помощью системы идентификации, то есть паролями или электронными ключам. Работа с персоналом, использующим банковскую систему, включает в себя проведение инструктажей и контроль выполнения необходимых требований.

Строгий учет каналов и серверов, а также меры, обеспечивающие техническую защиту информации и безопасность банка подразумевают защиту резервных копий, обеспечение бесперебойного питания оборудования, содержащего ценную информацию, ограниченный доступ к сейфам и защиту от утечки информации акустическим способом.

Для анализа эффективности принятых мер необходимо вести учет или запись, которые будут отмечать работоспособность и действенность примененных средств защиты информации в банке.

Основные задачи и функции СББ

Основными проблемами, с которыми ежедневно приходится работать сотрудникам структуры, являются попытки совершения мошеннических действий, предоставление клиентами подложных сведений и документов, недостоверных платежных документов, а также попытки завладеть секретной информацией.

Многогранность деятельности проявляется также в выполнении разнообразных функций (контрольных, охранных), осуществлении определенных задач:

  1. Служба безопасности работает с клиентами, которые обратились в банковскую организацию. Причем клиенты, как правило, не знают, что все процедуры и предписания выполняются под полным контролем сотрудников структуры. Прямой контакт с клиентом возможен, если последний нарушает правила использования кредита, не осуществляет выплаты по нему, отказывается от сотрудничества с банком после получения займа.

  2. Служба безопасности также проверяет документы заемщика, которые он предоставляет в момент оформления кредитного договора, источники сведений о клиенте с применением разнообразных ресурсов, к примеру, интернета.

  3. Если имеется необходимость, сотрудники службы непосредственно контактируют с банковскими клиентами. Они имеют право совершать звонки в места трудовой деятельности заемщика, по месту его проживания. Чтобы подтвердить и проверить сведения, которые заемщик передал на хранение.

  4. Служба безопасности банка, ВТБ к примеру, сотрудничает с правоохранительными службами. Интересен тот факт, что многие сотрудники СББ являются бывшими работниками правоохранительных органов. Это, обычно, является одним из основных требований, предъявляемых банком к потенциальным сотрудникам, при их трудоустройстве в указанную структуру.

  5. Служба безопасности также проверяет кредитные истории клиента, причем не только в своем банке, но и в других (если она имеется). С этой целью формируются запросы в бюро кредитных историй, используются сведения собственных баз, в которых отражены данные о всех недобросовестных плательщиках.

  6. Наиболее полная картина о финансовой платежеспособности заемщика составляется посредством сотрудничества со сторонними организациями, к примеру, налоговыми и другими банками. Это значит, что служба безопасности, Альфа-Банка, к примеру, может сотрудничать с аналогичной Сбербанка или банка ВТБ.

Я должник, не хочу, чтобы мне звонили

Согласно действующему законодательству, любой кредитор, у которого гражданин оформлял займ, кредитор, выкупивший права требования по кредитному соглашению, а также представители кредитора имеет право взаимодействовать с должником любыми законными способами. Однако общаться с заемщиками могут только банки, микрофинансовые организации и профессиональные коллекторы, осуществляющие свою деятельность на основании лицензии.

Для взаимодействия с заемщиков банки и коллекторы имеют право использовать следующие способы:

  • личные встречи;
  • разговоры по телефону;
  • рассылка корреспонденции по почте;
  • отправка СМС, ММС и других сообщений по телефону;
  • общение через интернет;
  • отправка телеграмм.

Если банк выбирает другой способ взаимодействия с должником, этот момент должен быть прописан в договоре. Однако отказаться от соглашения гражданин имеет в любое время. Для этого кредитору следует подать соответствующее заявление. Бумагу отдают сотруднику под расписку или отправляют по почте заказным письмом с уведомлением. Если же кредитор выбрал стандартные способы общения с заемщиком, то в этом случае прекратить взаимодействие будет сложнее.

Безопасность банковских карт в интернете

Если вы пользуетесь интернет-банком, рекомендую установить на компьютер лицензионный антивирус. Это не так дорого, как может казаться, и может помочь сберечь немалые средства. Вообще, будьте осторожны с переходами на всякие полулегальные сайты типа онлайн-казино, порносайтов и сайтов, реализующих наркотическую продукцию

Осторожно скачивайте игры с торрентов. В таких местах велик риск подцепить программу шпиона

С помощью такой программы мошенники смогут умыкнуть ваши деньги.

Для безопасности основной банковской карты, лучше всего завести для покупок в интернете отдельную карту (или виртуальную). Её можно пополнять переводом на нужную сумму непосредственно перед покупкой. Либо старайтесь вводить данные своей карты только на проверенных сайтах.

Проверяйте адрес сайта, на котором собираетесь совершить покупку. Ищите зеленый замочек перед адресом. Это означает, что данные будут передаваться сайту в зашифрованном виде. Правда, надежности самого сайта это не гарантирует.

Перед тем, как ввести пароль от своей учетной записи на каком-либо сайте, проверьте правильность написания его адреса. Если он будет отличаться хотя бы на одну букву, это фишинговый сайт. Будьте внимательны, чтобы случайно не раскрыть свои логин и пароль мошенникам и не лишиться аккаунта и денег.

Проверяйте адрес сайта в адресной строке, особенно переходя по ссылкам, в том числе из электронной почты

Выводы

Стандарты PCI SSC не закреплены на государственном уровне как обязательные, точнее, только некоторые штаты в США ввели их на законодательном уровне. Но, благодаря требованиям платежных систем, они выполняются в большом количестве организаций. Исследование компании Cisco по выполнению стандарта в США от 2011 года выявило следующее:

Из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта.

При этом 85% опрошенных считают, что в настоящий момент их организации способны успешно пройти аудит PCI DSS, а 78% успешно прошли такой аудит с первого раза.

Наиболее высокие результаты в данной области показали государственные организации: 85% госучреждений успешно прошли аудит PCI DSS с первого раза

Хуже всего проходили такой аудит медицинские организации (72%).

67% опрошенных руководителей компаний и членов советов директоров считают PCI DSS весьма важной инициативой; кроме того, 60% опрошенных подтвердили, что стандарт PCI DSS может стимулировать другие проекты, связанные с сетями и сетевой безопасностью.. 10 лет назад компания «Verizon» начала отслеживание выполнения стандарта PCI DSS среди компаний

Отчет «Verizon PCI Report» от 2019 года показывает, что динамика поддержания соответствия ранжируется от 22% (2009 г.) до 7,5% (2011 г.) и 55,4% (2016 г.) – см. рисунок 1. И сейчас, спустя 15 лет после выхода стандарта, более 35% поддерживают системы защиты в полностью актуальном соответствии стандарту, многие компании находятся в процессе проработки подобных процедур.

10 лет назад компания «Verizon» начала отслеживание выполнения стандарта PCI DSS среди компаний. Отчет «Verizon PCI Report» от 2019 года показывает, что динамика поддержания соответствия ранжируется от 22% (2009 г.) до 7,5% (2011 г.) и 55,4% (2016 г.) – см. рисунок 1. И сейчас, спустя 15 лет после выхода стандарта, более 35% поддерживают системы защиты в полностью актуальном соответствии стандарту, многие компании находятся в процессе проработки подобных процедур.

Рис. 1 – Динамика поддержания систем защиты на соответствие стандарту PCI DSS по годам

В условиях технологического рывка финансовой сферы технология 3D Secure получила достаточно широкое распространение благодаря удобству для пользователя при высоком уровне защищенности.

В России, кроме того, с 2020 года становятся обязательными требования ЦБ РФ к финансовым организациям. А с июля 2016 года действует закон «О внесении изменений в 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт» (контрольно-кассовая техника – далее «ККТ»), обязывающий, в том числе, все онлайн платежные операции осуществлять с использованием ККТ, подключенной к системе онлайн-передачи фискальных данных в ФНС. Для этого используются операторы фискальных данных (ОФД), которые располагают специальными техническими средствами обработки фискальных данных в режиме реального времени, формирования, проверки и хранения у себя базы фискальных данных, а также передачи их в налоговый орган. Для конечного пользователя этот закон полезен тем, что при любой онлайн-покупке он получает по почте или другим методом подтверждающий чек, являющийся полноценным фискальным документом. ОФД, в свою очередь, располагает техническими средствами защиты фискальных данных и необходимыми лицензиями ФСТЭК и ФСБ.

Выводы

СТО БР ИББС является очень важной вехой эволюционного пути развития отечественной системы обеспечения информационной безопасности. Это один из первых отраслевых и адаптированных под российскую действительность стандартов

Конечно, это не панацея от всех бед, остается еще много проблем, над которыми бьются специалисты, но это первый и весьма успешный опыт, приближающий нас к эталонам лучшей зарубежной практики.

Выполняя требования стандарта, многие банки готовят себя к международной сертификации обеспечения безопасности платежных систем PCI DSS. Обеспечивают защиту персональных данных в соответствии с последними требованиями регуляторов. Проводимый ежегодный внутренний аудит позволяет объективно проверить защищенность банков от существенных рисков и угроз ИБ, а руководителям эффективнее спланировать построение и управление комплексной системой защиты.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий