15.07M
Похожие презентации:
Национальная платежная система. Защита информации в НПС
Национальная платежная система. Защита информации в НПС
Платежная система России: проблемы и перспективы развития
Платежная система России: проблемы и перспективы развития
Банковские технологии. Развитие банковской деятельности в условиях цифровой экономики. Лекция 17
Банковские технологии. Развитие банковской деятельности в условиях цифровой экономики. Лекция 17
Отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования. (Лекция 2)
Отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования. (Лекция 2)
Интернет-банкинг в Российской Федерации: проблемы и перспективы развития
Интернет-банкинг в Российской Федерации: проблемы и перспективы развития
Политика информационной безопасности
Политика информационной безопасности
Экономические аспекты функционирования блокчейна
Экономические аспекты функционирования блокчейна
Эволюция и основные тренды развития рынка цифровых финансовых технологий и цифровых финансовых активов
Эволюция и основные тренды развития рынка цифровых финансовых технологий и цифровых финансовых активов
Роль и обзор стандартов и спецификаций информационной безопасности
Роль и обзор стандартов и спецификаций информационной безопасности
Программно-аппаратные средства обеспечения информационной безопасности
Программно-аппаратные средства обеспечения информационной безопасности

Задание5_Санджиев

1.

Другие стандарты Банка
России в области банковской
безопасности
Доклад подготовил:
Санджиев М.Д.
Студент группы УИБ25-3м

2.

Новые вызовы – новые стандарты
Контекст: Цифровая трансформация финансового сектора
• Open Banking и экосистемы
• Рост мобильных платежей и удаленных сервисов
• Усложнение киберугроз (социальная инженерия)
Роль регулятора и цели
Банк России выступает как драйвер безопасных инноваций,
формируя нормативную базу для защиты финансовой системы.
Цель презентации: Систематизировать и
объяснить набор ключевых стандартов Банка
России 2023-2024 гг., подчеркивая их значимость
для устойчивости и безопасности финансового рынка.

3.

Система стандартов Банка России: как они связаны
Что такое СТО БР?
Стандарты Банка России (СТО БР) — это
обязательные к исполнению документы,
устанавливающие требования к
обеспечению информационной
безопасности и операционной
надежности в финансовом секторе.
Общая задача
Создание целостного регуляторного
каркаса, обеспечивающего надежное и
безопасное цифровое взаимодействие в
условиях развивающегося финансового
рынка.
БФБО: Безопасность финансовых
операций
Сквозные требования, регулирующие
безопасность финансовых сервисов и
процессов, таких как дистанционное
банковское обслуживание, платежи и
идентификация (СТО БР БФБО-1.7, 1.8, 1.9, 1.5).
ФАПИ: Прикладные
программные интерфейсы
Технические стандарты для обеспечения
безопасного взаимодействия через API и
развития открытых банковских систем
(СТО БР ФАПИ.СЕК-1.6, ФАПИ.ПАОК-1.0).

4.

Фундамент для Open Banking:
стандарты ФАПИ
СТО БР ФАПИ.СЕК-1.6-2024
Назначение: Обеспечение безопасного обмена данными и
управления правами доступа между финансовыми организациями
и сторонними сервисами.
Технология: Основан на протоколе OpenID Connect (OIDC),
действующем как "цифровой паспорт" для безопасной
аутентификации.
СТО БР ФАПИ.ПАОК-1.0-2024
Проблема: Уязвимость при перенаправлении пользователя из
приложения торгово-сервисного предприятия (ТСП) в
приложение банка для подтверждения платежа.
Решение: Обеспечение защищенного канала инициации
аутентификации, исключающего подмену параметров платежа
(например, при оплате в интернет-магазине через мобильный
банк).

5.

Защита клиента: дистанционная идентификация (СТО БР
БФБО-1.8-2024)
Стандарт СТО БР БФБО-1.8-2024 регулирует применение мер защиты при любом дистанционном
банковском обслуживании — от открытия счета до перевода средств и получения кредита.
Оценка рисков
Ключевое требование: система
мер защиты, основанная на
постоянной оценке рисков.
Многофакторная аутентификация
(МФА)
Комбинация методов
подтверждения личности,
например, пароль + одноразовый
код + биометрия.
Контроль целостности канала
Обеспечение защищенности и неизменности данных в
процессе передачи между клиентом и банком.
Анализ поведенческой биометрии
Мониторинг уникальных
паттернов поведения
пользователя (скорость набора
текста, движения мышью) для
выявления аномалий.
Мониторинг аномалий сессии
Непрерывный анализ действий пользователя на
предмет отклонений от обычных сценариев для
предотвращения мошенничества.
Итог: Это не просто "ввести пароль и СМС", а многоуровневая адаптивная защита, которая подстраивается под меняющиеся угрозы.

6.

Современные технологии защиты: цифровые отпечатки и QR-коды
СТО БР БФБО-1.7-2023: Цифровые отпечатки
• Что это? Уникальный "слепок" устройства и поведения:
операционная система, браузер, настройки, паттерны
ввода.
• Для чего? Выявление мошенничества (например, вход с
нового, неизвестного устройства под вашим логином) без
лишних действий со стороны клиента. Позволяет
незаметно для пользователя повысить безопасность.
СТО БР БФБО-1.9-2024: Безопасность QR-кодов
• Угроза: Подмена вредоносными QR-кодами,
ведущими на мошеннические сайты или кошельки.
• Требования:
• Верификация: Проверка легитимности получателя
и самого кода.
• Контроль целостности: Защита от изменения данных
в QR-коде.
• Информирование клиента: Четкое отображение
суммы и получателя ПЕРЕД подтверждением платежа.

7.

Реакция на угрозы: управление
инцидентами (СТО БР БФБО-1.5-2023)
Парадигма стандарта "Не если, а когда" подчеркивает неизбежность
инцидентов информационной безопасности и операционной надежности,
делая акцент на скорости и эффективности реакции.
ИБ-инциденты
События, связанные с нарушением конфиденциальности,
целостности или доступности информации: утечки данных, DDoSатаки, фишинг, вредоносное ПО.
Инциденты операционной надежности
Сбои систем, отказ сервисов, потеря доступа к инфраструктуре,
которые нарушают непрерывность предоставления финансовых
услуг.
Что стандартизует документ?
Что сообщать? Установленные формы уведомлений.
Кому и как? Каналы связи с Банком России.
В какие сроки? Жесткие временные рамки для оповещения.
Цель: Создание единого, централизованного контура оперативного
реагирования для всей финансовой отрасли России, минимизируя
потенциальный ущерб от инцидентов.

8.

Эволюция стандартов: что нового в версиях
2024 года?
2020: Первая версия
ФАПИ.СЕК
Заложила основы безопасного
взаимодействия в Open Banking.
2021: Первая версия
ФАПИ.ПАОК
Ввела требования к защите
начального этапа платежных
операций.
СТО БР ФАПИ.СЕК-1.6-2024
Обновления: Ужесточение требований к
криптографической защите, правилам
управления сессиями и механизмам
аудита безопасности. Учет развития
криптографических алгоритмов и
методов атак.
СТО БР ФАПИ.ПАОК-1.0-2024
Обновления: Детализация и
усиление механизмов защиты от
атак типа "человек посередине"
(MITM) на критически важном этапе
инициации платежей и
аутентификации.
Общий тренд: Постоянное совершенствование стандартов
основывается на накопленном опыте реагирования на инциденты,
отражении новых тактик злоумышленников и большей конкретике в
технических требованиях.

9.

Выводы и практическая значимость
Для банков и финтех-компаний
Единые "правила игры" для безопасной интеграции и разработки
сервисов. Обязательный чек-лист при проектировании, внедрении
и аудите систем.
Для рынка
Формирование безопасной и доверенной цифровой среды,
создание основы для здоровой конкуренции и инноваций в
финансовом секторе.
Для клиентов
Повышенный уровень защиты средств и персональных данных при
использовании современных, удобных и высокотехнологичных
финансовых сервисов.
Ключевой итог: Стандарты Банка России превращаются
из набора разрозненных требований в целостную
экосистему кибербезопасности для финансового сектора,
гарантируя устойчивость и доверие в цифровую эпоху.
English     Русский Правила