Active audit agency: Фінтех та ISO 27001

2025-04-24 15:23
bga68comp: (Default)
Фінтех та ISO 27001: стандарти безпеки для захисту даних і репутації


Volodymyr Tkachenko
https://youtu.be/9bAWTnkpW2U?t=18511

Director/CEO at Active audit agency, LLCDirector/CEO at Active audit agency, LLC
• 8 квітня 2025 • CEO Audit3A

CEO Audit3A Volodymyr Tkachenko:
🔐 Кібербезпека — це не про страх, а про довіру.
8 квітня 2025 року я мав честь виступити на Digital Banking & Fintech Forum 2025, де ми говорили про найважливіше: як захистити дані, зберегти репутацію та не загубитися в морі регуляторних вимог.
📣 Моя тема — «Фінтех та ISO 27001: стандарти безпеки для захисту даних і репутації».
Ми занурилися у практику:
— Як впровадження ISO 27001 допомагає компаніям системно керувати ризиками.
— Чому кібербезпека стала конкурентною перевагою №1 у фінансовій сфері.
— Які виклики постають перед фінтех-компаніями у 2025 році — і як їх подолати.
💬 Вдячний організаторам за можливість бути частиною цієї події, а колегам — за діалог, питання і щире зацікавлення.
✅ Якщо ви — fintech, банк або регульований бізнес і хочете дізнатися, з чого почати свій шлях до ISO 27001 або покращити чинну систему інформаційної безпеки — запрошую на консультацію:
 🌐 audit3a.com
 🌐 pecb.com — міжнародний сертифікаційний орган, з яким ми активно співпрацюємо.
Кібербезпека — це не розкіш, а відповідальність.
Радо допоможемо зробити її зрозумілою, ефективною та результативною.


Tags:
  • Add Memory
  • Share This Entry

DNS MasterCard error

2025-01-26 00:21
bga68comp: (Default)


Philippe Caturegli
• Chief Hacking Officer at Seralys

Впродовж останніх 4,5+ років MasterCard мала помилку в записах DNS, коли в одному з її піддоменів був запис NS, що вказує на a22-65.akam.ne, а не на a22-65.akam.net (Akamai Technologies).
На щастя, ми виявили цю проблему під час нашого нещодавнього дослідження безпеки DNS та управління доменами та «оборонно» зареєстрували домен, щоб запобігти зловживанням. Але цікаво, що, як зазначив Brian Krebs, «хтось у Росії зареєстрував цей домен з друкарською помилкою ще в 2016 році і протягом декількох років час від часу дозволяв його IP-адресу в Німеччині (185.53.177.31)». 😱

Будь ласка, перевірте ще раз свої записи DNS...
Одна помилка може відкрити двері для атак типу «людина посередині», фішингу, перехоплення даних і багато іншого. Якщо ви не контролюєте домен, на який вказують ваші сервери імен, зловмисники можуть це зробити.



Джерело:
https://www.linkedin.com/posts/caturegli_for-the-past-45-years-mastercard-had-a-activity...


Tags:
  • Add Memory
  • Share This Entry

Впровадження електронного документообігу в фін.установах України

2024-08-27 19:23
bga68comp: (Default)


Вимоги, що стосуються впровадження електронного документообігу та інформаційної безпеки, відповідно до нормативних актів і стандартів.

ВимогаДе міститься
1Забезпечення захисту електронних банківських документівПостанова НБУ №95 "Про затвердження Правил організації захисту електронних банківських документів у банках України"
2Вимоги до зберігання, обробки та передачі електронних документівПостанова НБУ №95 "Про затвердження Правил організації захисту електронних банківських документів у банках України"
3Вимоги до електронної взаємодії банківПостанова НБУ №75 "Про затвердження Правил електронної взаємодії банків у банківській системі України"
4Впровадження системи управління інформаційною безпекою (ISMS)ISO/IEC 27001
5Застосування конкретних заходів інформаційної безпекиISO/IEC 27002
6Використання електронних підписів та електронних печатокЗакон України "Про електронні довірчі послуги"
7Забезпечення комплексного підходу до захисту інформаціїISO/IEC 27001
8Управління ІТ-процесами для забезпечення інформаційної безпекиCOBIT
9Вимоги до інформаційної безпеки банківської системиПостанова НБУ №43 "Про затвердження Положення про інформаційну безпеку в банківській системі України"
10Методичні рекомендації щодо управління інформаційною безпекоюМетодичні рекомендації НБУ щодо управління інформаційною безпекою
11Дотримання вимог щодо легітимності електронного документообігуЗакон України "Про електронні довірчі послуги"

Ця таблиця надає узагальнений огляд вимог, що стосуються інформаційної безпеки та впровадження електронного документообігу у фінансових установах України.

Впровадження електронного документообігу в фінансових установах України, включаючи банки, регулюється кількома нормативними актами та стандартами, зокрема тими, що стосуються інформаційної безпеки.
Ось деякі основні нормативні документи та стандарти, які варто враховувати:

1. Накази та рішення НБУ

  • Постанова НБУ №95 "Про затвердження Правил організації захисту електронних банківських документів у банках України" (затверджена 18 березня 2019 р.): Ця постанова визначає основні вимоги до захисту електронних банківських документів, включаючи вимоги до зберігання, обробки та передачі таких документів.
  • Постанова НБУ №75 "Про затвердження Правил електронної взаємодії банків у банківській системі України" (затверджена 12 квітня 2021 р.): Ця постанова встановлює вимоги до електронної взаємодії банків, включаючи питання захисту інформації та електронних документів.
  • Постанова НБУ №43 "Про затвердження Положення про інформаційну безпеку в банківській системі України": Документ містить вимоги до забезпечення інформаційної безпеки в банківській системі, які необхідно враховувати під час впровадження електронного документообігу.

2. Стандарти інформаційної безпеки

  • ISO/IEC 27001: Стандарт, що встановлює вимоги до системи управління інформаційною безпекою (ISMS). Впровадження цього стандарту допомагає забезпечити комплексний підхід до захисту інформації, що є критично важливим при впровадженні електронного документообігу.
  • ISO/IEC 27002: Кодекс практик з управління інформаційною безпекою, який є доповненням до ISO/IEC 27001 і містить конкретні заходи безпеки, що можуть бути застосовані в процесі захисту електронних документів.
  • COBIT (Control Objectives for Information and Related Technologies): Це фреймворк для управління IT і інформаційною безпекою, який надає кращі практики для управління та контролю над ІТ-процесами, включаючи електронний документообіг.

3. Інші нормативні акти та рекомендації

  • Закон України "Про електронні довірчі послуги": Регулює питання використання електронних підписів, електронних печаток та інших електронних довірчих послуг, що є основою для легітимності електронного документообігу.
  • Методичні рекомендації НБУ щодо управління інформаційною безпекою: Ці рекомендації надають конкретні вказівки щодо впровадження системи інформаційної безпеки в банківській системі України.

Дотримання вищезазначених нормативних актів та стандартів є важливим для забезпечення надійного та безпечного електронного документообігу в банківських установах.

Детальні вимоги за кожною із загальних категорій:

ВимогаДе міститьсяДеталі вимоги
1Забезпечення захисту електронних банківських документівПостанова НБУ №95 "Про затвердження Правил організації захисту електронних банківських документів у банках України"Встановлення вимог до конфіденційності, цілісності та доступності даних; використання криптографічного захисту.
2Вимоги до зберігання, обробки та передачі електронних документівПостанова НБУ №95Визначення процедур шифрування даних, резервного копіювання, обмеження доступу, журналювання дій з документами.
3Вимоги до електронної взаємодії банківПостанова НБУ №75Використання захищених каналів зв’язку; автентифікація сторін; захист від несанкціонованого доступу та модифікації даних.
4Впровадження системи управління інформаційною безпекою (ISMS)ISO/IEC 27001Визначення політики інформаційної безпеки; оцінка ризиків; управління інцидентами; аудит та моніторинг системи безпеки.
5Застосування конкретних заходів інформаційної безпекиISO/IEC 27002Використання заходів контролю доступу; управління активами; шифрування; безпека людських ресурсів; фізична безпека.
6Використання електронних підписів та електронних печатокЗакон України "Про електронні довірчі послуги"Використання кваліфікованих електронних підписів та печаток; забезпечення їх юридичної сили та достовірності.
7Забезпечення комплексного підходу до захисту інформаціїISO/IEC 27001Включення всіх аспектів управління інформацією: фізична, логічна, організаційна та технічна безпека.
8Управління ІТ-процесами для забезпечення інформаційної безпекиCOBITВизначення ключових показників ефективності (KPI) для ІТ-безпеки; інтеграція управління ризиками в ІТ-процеси.
9Вимоги до інформаційної безпеки банківської системиПостанова НБУ №43Визначення обов’язкових процедур і політик для захисту банківської інформації; регулярний перегляд і оновлення безпекових заходів.
10Методичні рекомендації щодо управління інформаційною безпекоюМетодичні рекомендації НБУ щодо управління інформаційною безпекоюРекомендації щодо оцінки ризиків, управління інцидентами, організації безперервного моніторингу та аудиту інформаційної безпеки.
11Дотримання вимог щодо легітимності електронного документообігуЗакон України "Про електронні довірчі послуги"Вимоги до надання юридичної сили електронним документам; відповідність технічним і правовим стандартам електронних підписів і печаток.

Ця таблиця містить більш детальний огляд вимог, що висуваються до інформаційної безпеки та електронного документообігу, а також посилання на конкретні нормативні акти та стандарти.


Tags:
  • Add Memory
  • Share This Entry

COBIT про антивірусний захист

2024-08-19 12:34
bga68comp: (Default)

Якщо розглядати Політику антивірусного захисту з урахуванням COBIT, то маємо на увазі наступне:

COBIT (Control Objectives for Information and Related Technology) — це фреймворк управління ІТ, розроблений для забезпечення зв’язку між ІТ-цілями та бізнес-цілями. COBIT охоплює безліч аспектів ІТ-управління, включаючи управління ризиками, безпеку, контроль і відповідність вимогам.
Антивірусний захист у контексті COBIT може розглядатися в рамках доменів, пов’язаних з управлінням ризиками та забезпеченням інформаційної безпеки. Ось ключові розділи та процеси COBIT, які стосуються антивірусного захисту:
  1. APO12 - Управління ризиками (Risk Management)
    • У цьому процесі COBIT описується необхідність ідентифікації, оцінки та управління ІТ-ризиками, що включає загрози безпеки, такі як віруси та шкідливе ПЗ. Антивірусний захист розглядається як одна з заходів для зменшення ризиків.
  2. DSS05 - Управління безпекою (Manage Security Services)
    • Цей процес включає забезпечення інформаційної безпеки шляхом реалізації та підтримання заходів захисту, таких як антивірусні рішення, брандмауери та інші механізми захисту.
  3. DSS01 - Управління операційними ІТ-послугами (Manage Operations)
    • Операційні процеси управління ІТ можуть включати моніторинг і управління антивірусним захистом як частину загальних ІТ-послуг.
  4. BAI09 - Управління конфігурацією (Manage Configuration)
    • Антивірусні програми повинні бути правильно сконфігуровані та оновлені, що також стосується управління конфігурацією ІТ-інфраструктури.

Ці розділи COBIT допомагають організаціям розробляти, впроваджувати та підтримувати ефективні заходи антивірусного захисту, а також управляти відповідними ризиками, пов’язаними з шкідливим програмним забезпеченням.


Tags:
  • Add Memory
  • Share This Entry

Як ошукати клієнта з карткою Fishka

2024-08-18 18:53
bga68comp: (Default)
Хтось вигадав, що життя - це білі і чорні полоси. А з приводу цієї статті можна сказати, що в житті настав час спілкування з видатними представниками технічної підтримки. Після спілкування з деякими ти залишаєшься дуже задоволеним (це правда - позитивне вирішення питання додає частку щастя 😊), а з іншими... як би це мовити?.. Дуже здивованим та засмученим.

Сучасний світ вчить скріншотити все, що бачиш. Бо через 5-10 хвилин те, що ти бачив і воно здавалося вічним, пропаде. Наза́вжди. І так, що не буде і згадки про нього.
Там буде сторінка з помилкою. У кращому разі. У гіршому або домен відсутній, або просто перенаправлять на якусь іншу сторінку з абсолютно незв'язаних питань. Наприклад, ви шукаєте інформацію про програмний продукт, а вас перекидають за посиланням на магазин, який продає жіночі труси.
І нова звичка - все скріншотити - надає можливість спілкуватися з доказами з технічною підтримкою хоч якого непривітного сервісу.
Read more... )

P.s. Хотілося б залишити оригінальний текст від підтримки, але він настільки безграмотний... Трошки довелося його для статті підправити. Може, це зараз модно бути безграмотним і я тут не в своїй тарілці?


 

Tags:
  • Add Memory
  • Share This Entry

НБУ про дотримання вимог для фін.установ. Варіант 2

2024-08-16 18:46
bga68comp: (Default)

Які накази і рішення НБУ стосуються дотримання вимог в контексті захисту платіжних систем та фінансових даних?

Національний банк України (НБУ) видав ряд нормативних актів, які регулюють питання захисту платіжних систем і фінансових даних. Ці акти встановлюють вимоги до інформаційної безпеки, включаючи дотримання міжнародних стандартів, таких як PCI DSS. Нижче наведено основні накази і рішення НБУ, що стосуються цього питання:

1. Постанова НБУ №95 "Про затвердження Положення про здійснення захисту інформації та кібербезпеки в банківській системі України"

  • Дата прийняття: 28 вересня 2022 року
  • Опис: Ця постанова встановлює вимоги до забезпечення інформаційної безпеки та кібербезпеки в банківській системі України. Вона регулює порядок захисту інформації, яка обробляється в банках і фінансових установах, включаючи захист платіжних даних. Постанова зобов'язує банки впроваджувати системи управління інформаційною безпекою, відповідати міжнародним стандартам (включаючи PCI DSS), а також забезпечувати кіберзахист своїх інформаційних систем.

2. Постанова НБУ №75 "Про затвердження Положення про захист інформації та кібербезпеки в платіжних системах"

  • Дата прийняття: 21 червня 2019 року
  • Опис: Ця постанова регламентує вимоги до захисту інформації в платіжних системах, а також визначає правила захисту фінансових даних, які обробляються в цих системах. Положення зобов’язує операторів платіжних систем, платіжних інфраструктурних сервісів, а також їхніх учасників дотримуватися вимог до безпеки даних, включаючи стандарти PCI DSS.

3. Постанова НБУ №56 "Про організацію захисту інформації в банках України"

  • Дата прийняття: 14 липня 2006 року (з подальшими змінами)
  • Опис: Постанова регулює загальні питання організації захисту інформації в банках України. Вона включає вимоги до створення систем захисту інформації, управління ризиками, моніторингу та аудиту безпеки, а також захисту фінансових даних, що обробляються банками.

4. Постанова НБУ №391 "Про затвердження Положення про здійснення нагляду (оверсайта) за платіжними системами"

  • Дата прийняття: 30 жовтня 2018 року
  • Опис: Цей документ регламентує порядок нагляду за платіжними системами та їхніми учасниками з боку НБУ. Постанова встановлює вимоги до дотримання стандартів безпеки, зокрема щодо захисту інформації та забезпечення кібербезпеки в платіжних системах.

5. Рішення НБУ щодо підвищення стандартів кібербезпеки в банківській системі України

  • Опис: НБУ регулярно приймає рішення, спрямовані на підвищення рівня кібербезпеки в банківському секторі. В рамках цих рішень банки зобов'язані впроваджувати новітні технології захисту інформації, посилювати контроль за доступом до платіжних систем, а також регулярно проводити аудит безпеки.

6. Листи та роз'яснення НБУ щодо дотримання стандартів інформаційної безпеки

  • Опис: НБУ періодично надсилає листи та роз'яснення щодо необхідності дотримання стандартів інформаційної безпеки, включаючи PCI DSS. Ці документи можуть містити рекомендації щодо кращих практик у сфері захисту платіжних даних та кібербезпеки.

Ці нормативні акти та рішення регламентують захист платіжних систем і фінансових даних, забезпечуючи безпеку та надійність банківської системи України. Банки та фінансові установи зобов'язані дотримуватися цих вимог і забезпечувати відповідність міжнародним стандартам, включаючи PCI DSS.


Також дивись:
Про PCI DSS 4.0
Tags:
  • Add Memory
  • Share This Entry

НБУ про дотримання вимог для фін.установ

2024-08-16 18:43
bga68comp: (Default)


Які накази і рішення НБУ стосуються дотримання вимог в контексті захисту платіжних систем та фінансових даних?

НБУ видає низку нормативно-правових актів, які регулюють питання захисту платіжних систем та фінансових даних. Основні документи, що стосуються дотримання вимог інформаційної безпеки в контексті захисту платіжних систем, включають:

1. Постанова Правління НБУ № 243 від 4 липня 2007 року (зі змінами та доповненнями)

  • Назва: "Про затвердження Правил захисту інформації та кіберзахисту в платіжних системах України".
  • Опис: Ця постанова встановлює вимоги до захисту інформації в платіжних системах, зокрема до забезпечення конфіденційності, цілісності та доступності даних, що обробляються в рамках платіжних операцій.

2. Постанова Правління НБУ № 351 від 28 вересня 2021 року

  • Назва: "Про затвердження Положення про порядок організації захисту інформації та кіберзахисту в банківській системі України".
  • Опис: Ця постанова регулює питання організації інформаційної безпеки та кіберзахисту в банках України, включаючи вимоги до систем захисту платіжних даних, управління ризиками та дотримання міжнародних стандартів, таких як PCI DSS.

3. Постанова Правління НБУ № 95 від 3 грудня 2018 року

  • Назва: "Про затвердження Положення про захист інформації в платіжних системах і розрахункових операціях".
  • Опис: Ця постанова встановлює вимоги до захисту інформації в платіжних системах, включаючи вимоги щодо безпеки обробки, зберігання та передачі платіжних даних.

4. Постанова Правління НБУ № 518 від 28 вересня 2020 року

  • Назва: "Про затвердження Положення про організацію заходів з кіберзахисту в банківській системі України".
  • Опис: Документ регламентує заходи, які банки повинні впроваджувати для захисту від кіберзагроз, включаючи захист платіжних систем, моніторинг кіберінцидентів та управління ризиками інформаційної безпеки.

5. Рішення НБУ про захист даних під час дистанційного банківського обслуговування

  • Назва: "Про затвердження Положення про порядок надання банківських послуг із використанням інформаційно-телекомунікаційних систем".
  • Опис: Встановлює вимоги до захисту даних під час надання банківських послуг через дистанційні канали, включаючи інтернет-банкінг і мобільні додатки, що важливо для захисту даних клієнтів та платіжних систем.

6. Методичні рекомендації НБУ

  • Назва: "Методичні рекомендації щодо забезпечення захисту інформації в банківських установах України".
  • Опис: Ці рекомендації надають банкам керівництво щодо впровадження заходів інформаційної безпеки та дотримання вимог міжнародних стандартів, таких як PCI DSS.
Ці документи є ключовими нормативно-правовими актами, що регулюють захист платіжних систем та фінансових даних в Україні, забезпечуючи дотримання банками та іншими фінансовими установами вимог до інформаційної безпеки.


Також дивись:
Про PCI DSS 4.0
Tags:
  • Add Memory
  • Share This Entry

Як відкрити зарплатну картку у Монобанці

2024-08-14 17:22
bga68comp: (Default)

Нещодавно звернувся знайомий за допомогою у відкритті зарплатного рахунку у Монобанці😂 1
Виявилося, що це не так і просто, як на перший погляд. Бо, як звичайно, всі інструкції і в Інтернеті і в документації самого банку застарілі.
Це буває, якщо процес оновлення документації інколи - не будемо казати, що завжди - не працює. Чи працює з похибками.

Алгоритм здається простим:
 1. Відкрити рахунок;
 2. Відкрити картку;
 3. Зробити можливим отримання на відкриту картку зарплатні.

До того як

Номер один. Відкриваємо рахунок

Перед відкриттям картки не треба встановлювати "Дію". І це перевага. Насправді.

Але треба розуміти, що всі процедури відкриття проходять тільки у застосунку Монобанку. Тобто треба буде його встановити.
І треба мати на поготові два документи: паспорт і ідентифікаційний код.



"Дія" не потрібна, бо під час реєстрації/відкриття рахунку/картки можна просто додати фото паспорту! І які сторінки потрібні для цього, застосунок Вам підкаже сам.
Якщо ці документи вже є отскановані, то це чудово. Якщо - ні, то в процесі реєстрації їх попросять сфотографувати.
Крім того треба бути готовим до того, що Вас попросять сфотографувати і себе з паспортом (!).



А тому - мийте голову, надівайте вихідні окуляри і вдягайте гарну сорочку. Бо співробітник банку, який в подальшому "миттєво" буде перевіряти документи - погодьтесь, що 15 хвилин очікування перевірки документів, це не час, навіть каву не встигаєш випити - повинен Вас впізнати на цих фотографіях. Для дівчин є можливість: досхочу разів перезнімати себе доки Ви не будете вдоволені своїм виглядом.
Реєстрація більше майже не потребує якихось попередніх даних чи приготувань.
Далі... )

1 Звичайно треба казати "Монобан-КУ". Але недарма маркетологи бан-КУ вигадали послугу з банкою.
2 P.s. Чесно кажучи, представники "Монобан-КУ" опинилися на висоті і вирішили позитивно питання на превелике задоволення клієнта 😊😊😊.


 

Tags:
  • Add Memory
  • Share This Entry

ИБ: Хронология появления вредоносного ПО для банкоматов

2018-06-22 15:22
bga68comp: (Default)



Tags:
  • Add Memory
  • Share This Entry

Profile

bga68comp: (Default)
bga68comp

June 2025

S M T W T F S
123 4567
8 91011121314
15161718192021
22232425262728
2930     

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated 2025-06-20 16:23
Powered by Dreamwidth Studios