Что выбрать: специалиста в штате или аутсорсинг?

Почему вообще возникает такой вопрос? Штатные специалисты есть у всех, а аутсорсинг – нет.

Потому, что в деятельности коммерческой компании часто возникают нетипичные задачи, которые за разумный срок штатному специалисту попросту не решить.
Для решения задач, требующих специальных знаний, зачастую проще привлечь внешнего специалиста под конкретный проект, чем заставлять штатных сотрудников компании погружаться в новую предметную область.

Обзор закона об Антифроде 167-ФЗ (изменения в 161-ФЗ «О национальной платежной системе» и связанные федеральные законы)

30 мая 2017 года депутатами Аксаковым А.Г. и Емельяновым М.В. внесен на рассмотрение в Государственную Думу в качестве законодательной инициативы проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)».

05.06.2018 законопроект принят в третьем чтении. Ниже приведен его обзор.

С коррсчета банка из-за вредоносного ПО списано более 152 млн. руб. Банки получателей были уведомлены, но не стали останавливать платежи. Пострадавший банк подал в суд.

Суть спора: с помощью вредоносного ПО, внедренного в информационную систему Акционерное общество «Кемеровский социально инновационный банк» (АО «Кемсоцинбанк»), злоумышленниками 10.12.2015 было несанкционированно списано с коррсчета банка более 152 млн. руб.

Средства были выведены на счета более 200 физических лиц, открытых в крупных банках - ОАО «Райффайзенбанк», АО «Тинькофф банк», ПАО «Ханты-Мансийский банк «Открытие», ПАО «Росбанк», АО «Юникредит банк», АО «Альфа - банк», ПАО «Сбербанк», ПАО «Банк Уралсиб» (Банки).

Обзор мер защиты информации из ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций...»

С 1 января 2018 года вступил в силу ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

Ссылки на требования Стандарта ЦБ включил в Положение 672-П (защита инфомации на участке ПС БР) и в Положение 683-П, 684-П (Меры по защите клиентов от хищений для банков и НФО)

РусКрипто 2018

РусКрипто 2018

Интересные темы: перевод российского сегмента Интернет на российские криптоалгоритмы, развитие российских криптографических стандартов, перевод НСПК на российскую криптографию, эшелонированная защита от вредоносных программ, мастер-класс Алексей Лукацкого.

Итоги проведения пилотного аудита по 382-П в банке

Компания «БИФИТ» завершила пилотный проект по аудиту выполнения требований Положения 382-П в одном из московских банков.

Делимся опытом по итогам проведения проекта.

Для тех, кто не боится больших текстов по ссылке отдельная статья с описанием "боевого" аудита по 382-П в региональном банке и рекомендациям по повышению оценки. 

1. Порядок проведения аудита

1.1. Проект занял по времени около 85 часов, было проведено 5 выездных проверок.

1.2. В ходе проведения аудита было изучено:

• 39 актов и приказов;
• 27 организационно-распорядительных документов (политики, положения, порядки);
• 14 журналов;
• 7 документов иного типа (планы, должностные инструкции, методики, модели угроз и нарушителя);
• 5 регламентов;
• 4 типовых договора.

Краткий обзор Уральского форума 2018 #ibbank

Основным направлением работы Уральского форума в 2018 году были требования ЦБ в сфере информационной безопасности.

Ниже перечислены основные тезисы по теме.

Изменения в 382-П

По результатам докладов и комментариев сотрудников ЦБ (ГУБиЗИ):

• Анализ уязвимостей нужно проводить в первую очередь для платежного ПО, которое используется для переводов через Интернет (мобильные и web-приложения).
• Для проведения анализа уязвимостей платежного ПО планируется разработать профиль защиты на базе РС БР ИББС-2.6-2014 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и с учетом ГОСТ Р ИСО/МЭК 15408-1-2012. По информации от ЦБ, требование по сертификации или анализу уязвимостей ППО вступит в силу с 2020 года.