24.01.2017

Новые требования по ИБ для финансовых организаций

А продолжу-ка я обзор последних изменений нормативных актов по ИБ, но в этот раз коснусь финансовой сферы. Она, наряду с госорганами, у нас наиболее заурегулирована и все равно на месте не стоит. Собственно, как и во всем мире. В конце прошлого года требования по ИБ разработала SWIFT, а "Минфин" штата Нью-Йорк разработал проект своих требований по безопасности финансовых организаций (вступят в силу с 1-го марта 2017-го года). Что же у нас появилось или появится в обозримом будущем и о чем можно будет поговорить/узнать на Магнитогорском форуме, до которого осталось меньше месяца. Вкратце (я все еще надеюсь посвятить каждому из НПА по отдельной заметке) у нас появилось вот что:
  • Положение Банка России от 24 августа 2016-го года №552-П "О требованиях к защите информации в платежной системе Банка России" (или как его еще называют требования по защите АРМ КБР). Нельзя сказать, что раньше защита АРМ КБР не осуществлялась, - ведь об угрозах для этой системы ЦБ предупреждал давно. Например, в письме ЦБ №51-Т "О форме договора об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, заключаемого между Банком России и клиентом Банка России" было целое приложение по защите информации. Но за 4 года ситуация немного поменялась, да и сила такого договора межжду банком и ЦБ не сравнима с Положением Банка России. За его нарушение наказывать легче :-) Кстати, требование хранить 3 года видео - это, на самом деле, не так уж и серьезно. Стоимость такого решения не слишком высока и измеряется несколькими тысячами долларов.
  • А вот рекомендация Банка России перенести формирование кодов аутентификации и защитных кодов в АБС может иметь более серьезные последствия. Такое встраивание СКЗИ на мой взгляд потребует от разработчиков не только соответствующей лицензии ФСБ, но и, возможно, согласования ТЗ на данную работу, что в текущих условиях 8-го Центра может быть не очень простой задачей.
  • В конце прошлого года ЦБ принял новый СТО 1.3, посвященный сбору доказательств в рамках процесса реагирования на инциденты. Это, пожалуй, один из первых документов в комплексе стандартизации по ИБ Банка России, который опускается на такой уровень детализации, влоть до указания конкретных программных продуктов, облегчающих сбор доказательств в оперативной памяти, на ПК или в сетевом трафике.
  • В декабре также был согласован проект ГОСТа "Базовый состав организационных и технических мер защиты информации", который в скором времени станет обязательным для финансовых организаций и именно на наего будут ссылаться иные документы ЦБ. Правда, по этому стандарту у меня сейчас возникают вопросы. Планировалось, что все технические меры защиты уйдут из 382-П и других Положений Банка России и они просто будут ссылаться на новый ГОСТ. Но новый стандарт содержит далеко не все (от слова "совсем") технические требования из 382-П. Поэтому я пока не могу для себя понять, что же появится в итоге. То ли положения ЦБ оставят за собой набор защитных мероприятий, то ли помимо упомянутого проекта ГОСТа будут и другие национальные стандарты.
  • Поскольку в России ЦБ запустил аналог SWIFT - систему передачи финансовых сообщений, то логично было бы узнать, какие защитные меры приняты для СПФС. ЦБ считает, что риски для СПФС и для платежной системы Банка России идентичны и поэтому для обеспечения их безопасности применяется схожая идеология. Защитные меры перечислены в договоре об оказании услуг по передаче финансовых сообщений, утвержденном письмом ЦБ от 10 декабря 2015 г. № 017-45-4/10550. Думаю, что через какое-то время можно ожидать и отдельного положения Банка России под эту тему (по аналогии с 552-П).
  • А еще ЦБ подготовил проект своего нового Указания “О требованиях к операторам услуг платежной инфраструктуры, привлекаемым Банком России, о порядке привлечения Банком России операторов услуг платежной инфраструктуры и ведения перечня операторов услуг платежной инфраструктуры, привлеченных Банком России”. В главе 4, целиком посвященной защите информации, всего 3 пункта, но они важны. Согласно им ОУПИ, являющийся резидентом РФ, должен иметь оценку соответствия 382-П на уровне "хорошая" (4-й уровень), а ОУПИ - не резидент РФ должен соответствовать уровню Level 1 стандарта PCI DSS или быть сертифицированным на соответствие ISO 27001.
Но это еще не все. Не стоит думать, что это все хаотические попытки понавыпускать какие-то документы по ИБ, имитирующую бурную деятельность, но не имеющие никакой конкретной цели. Это совершенно не так. Есть План мероприятий (дорожная карта) на 2016 год по реализации Основных направлений развития финансового рынка Российской Федерации на период 2016–2018 годов, которые описывают видение ЦБ отечественной финансовой отрасли на 3 года. Согласно этому плану по нашему направлению ЦБ должен:
  • провести анализ возможности и целесообразности использования финансовыми организациями аутсорсинга отдельных элементов деятельности и подготовить соответствующих предложений - 2-е полугодие 2017-го года
  • подготовить предложения по совершенствованию законодательства Российской Федерации в части наделения Банка России полномочиями по регулированию и контролю обеспечения информационной безопасности в финансовых организациях - 2-е полугодие 2017-го года
  • участвовать в разработке проекта федерального закона, направленного на формирование правовой основы противодействия мошенничеству на финансовом рынке - 2-е полугодие 2017-го года
  • разработать проекты национальных стандартов информационной безопасности - 2-е полугодие 2017-го года
  • провести консультации с ФСТЭК России о создании системы сертификации и аттестации для цели контроля исполнения финансовыми организациями требований национальных стандартов информационной безопасности и технических требований к защите информации, установленных в правилах платежной системы Банка России для участников платежной системы - 2-е полугодие 2017-го года
  • подготовить необходимые материалы и проекты документов для создания системы сертификации и аттестации для контроля исполнения финансовыми организациями требований национальных стандартов информационной безопасности и технических требований к защите информации, установленных в правилах платежной системы Банка России для участников платежной системы - 2-е полугодие 2017-го года
  • провести консультации с представителями финансовых организаций для определения состава и содержания дополнительных организационных и технических механизмов защиты автоматизированного рабочего места «Клиент Банка России», применяемого для взаимодействия финансовых организаций – участников платежной системы с платежной системой Банка России - 2-е полугодие 2017-го года
  • разработать регламенты взаимодействия по вопросам противодействия киберпреступности между Банком России и не являющимися поднадзорными и под- контрольными Банку России организациями и заинтересованными в повышении уровня информационной безопасности финансовой системы и национальной платежной системы Российской Федерации - 2-е полугодие 2017-го года
  • разработать функционально-технические требования на автоматизированную систему противодействия мошенническим платежам в платежной системе Банка России - 2-е полугодие 2017-го года
  • подготовить предложения по созданию и совершенствованию направлений подготовки специалистов внутреннего аудита, стратегического планирования, управления активами и финансового консультирования, обеспечения кибербезопасности и корпоративного управления - 4 квартал 2018 года. Я про это уже писал в июне прошлого года.
  • разработать Указание Банка России «О внесении изменений в Положение Банка России от 9 июня 2012 года No 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» - 2 квартал 2017-го года
  • разработать Положение Банка России о правилах обеспечения безопасности и требованиях к защите информации в платеж- ной системе Банка России (для участников платежной системы Банка России). И это не 552-П - этот документ нужен для перспективной платежной системы ЦБ.
Вот такая картина вырисовывается. Этот год будет насыщенным, да и последующие тоже не дадут почивать на лаврах и спокойно заниматься борьбой с киберпреступниками. Регулятор не дремлет и будет радовать (а кого-то и огорчать) своими нормативными документами.

ЗЫ. У кого данный план регулятора вызывает вопросы, рекомендую посетить Магнитогорский форум - в этом году там будет высажен целый десант от Банка России - около 30 человек, причем самого высокого уровня. Кто, как не они, знают, что скрывается за краткими формулировками дорожной карты?..

ЗЗЫ. Хочу заметить, что утвержденные планы подготовки в России принято соблюдать, так как в противном случае чиновников не поглалят по головке. Поэтому все, что написано выше будет сделано в указанные сроки, но... хочу обратить внимание, что обычно в планах наших ведомств указывают не срок окончания работ по задаче, а срок ее начала. Например, написано, что во втором полугодии будут ГОСТы. Это не значит, что их до июля примут. Это значит, что их до июля разработают и прелставят общественности или утвердят. Потом начнется процедура согласований (если надо), общественных обсуждений, регистрации в Минюсте или в Ростехрегулировании. Поэтому не стоит питать иллюзий относительно скорого выхода указанных выше документов; обычно к этим срокам надо добавлять от 3 до 12 месяцев (а для законопроектов и того больше).

8 коммент.:

Dmitry Osipov комментирует...

Ехать на магнитогорский форум это пустая трата денег и времени. Слова с форума к документам ЦБ не подошьёшь, лучше получить письменный ответ от ЦБ с подписями.

А вот по поводу качества документов ЦБ, согласен с вашим предыдущим постом. Качество ужасное. Самое отвратительное, что из ЦБ-шных формулировок невозможно понять, что же они имели ввиду. Возьмем к примеру п. 5.1 из 552-П:

"5.1. В целях обеспечения идентификации, аутентификации и авторизации клиента в системе Интернет-банкинга, а также определения перечня устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР, функции формирования, обработки, контроля и передачи ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы (далее – АБС) участников."

Объясните мне, что это значит. Как указанные цели соотносятся с функциями АРМ КБР? Нам что в результате предлагают? Распространять АРМ КБР среди клиентов банка в качестве софта для интернет-банкинга, такая попытка продвинуть АРМ КБР на рынок систем интернет-банка, то-то клиенты будут счастливы работать с этим уродцем АРМ КБР. А если это не так, то в чем смысл пункта 5.1, банки и сейчас используют специализированные системы интернет-банка, вполне себе компонент АБС.

Алексей Лукацкий комментирует...

1. По поводу поездки не соглашусь. Очень многие моменты разъясняются устно, а потом уже можно, если нужно, получить и письменное разъяснение.

2. По вопросу 5.1 Валерий отписался - https://estekhin.blogspot.ru/2017/01/blog-post.html

Dmitry Osipov комментирует...

Когда в банк приходит проверка, какие-либо устные разъяснения и посты в блогах не рассматриваются и во внимание не принимаются. Замечания попадают в Акт проверки и идут в Департамент Банковского Надзора, который и принимает решение.

Валерий является должностным лицом Банка России? Где основания полагать, что его мнение совпадает с мнением ГУБЗИ и ДБН?

И потом, то что он написал касается последней части п. 5.1, про функции. Так об этом Сычев рассказывал ещё полгода назад и в ноябре в НПС было совещание с ЦБ на эту тему (все кто в теме уже знают). Объясните, как соотносятся цели и функции, при том, что АРМ КБР не имеет функций, предназначенных для заявленных целей?

З.Ы. Кстати, в проекте 552-П, которое было выложено для обсуждения, фразы про цели не было, кто-то их добавил позже. Кто и зачем?
FYI формулировка п.5.1 из проекта положения от июля 2016: "5.1. Формирование, обработка, контроль ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы (далее – АБС) Участника. Передача (прием) ЭС должны проводиться с использованием АРМ обмена ЭС с ПС БР."

Dmitry Osipov комментирует...

текст проекта портале regulation.gov.ru
"Положения о требованиях к защите информации в платежной системе Банка России"
http://regulation.gov.ru/Files/GetFile?fileid=1d7a7d0d-a260-462e-a3f5-3ffcdb711cac
стадия обсуждения: независимая антикоррупционная экспертиза с 21 июля 2016 г. до 28 июля 2016 г.

Алексей Лукацкий комментирует...

Вот поэтому я и написал, что иногда в кулуарах Магнитогорского форума можно получить разъяснения того, что непонятно

Евгений III комментирует...

Алексей, есть ли прикидка до какого срока нужно подтянуть оценку до 0.85?
И что будет если этого не сделать?

Valery Estekhin комментирует...

По пункту 5.1 Положения Банка России от 24.08.2016 № 552-П мною были заданы следующие вопросы:
-какая связь между идентификацией, аутентификацией и авторизацией клиента в системе интернет-банкинга и банковским Платёжным сегментом Банка России?;
- в чём необходимость определения перечня устройств, с использованием которых может осуществляться доступ к системе интернет-банкинга, в данном контексте?;
- что в данном контексте подразумевается под связью интернет-банкинга и ПС БР?

Получен ответ от представителя Банке России:
"С точки зрения Банка России АРМ КБР является частью системы интернет-банкинга (по отношению к БР). Таким образом, регулирующее воздействие данного пункта направлена на однозначную идентификацию конкретного экземпляра АРМ КБР".

Valery Estekhin комментирует...

По поводу Уральского форума:
Уральский форум даёт возможность человеку с вопросами встретиться с человеком со знаниями (например, регулятором).При этом человек с вопросами приезжает с Форума со знаниями, а человек со знаниями (регулятор) приезжает с вопросами ;)