Краткий обзор Уральского форума 2018 #ibbank

Основным направлением работы Уральского форума в 2018 году были требования ЦБ в сфере информационной безопасности.

Ниже перечислены основные тезисы по теме.

Изменения в 382-П

По результатам докладов и комментариев сотрудников ЦБ (ГУБиЗИ):

• Анализ уязвимостей нужно проводить в первую очередь для платежного ПО, которое используется для переводов через Интернет (мобильные и web-приложения).
• Для проведения анализа уязвимостей платежного ПО планируется разработать профиль защиты на базе РС БР ИББС-2.6-2014 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и с учетом ГОСТ Р ИСО/МЭК 15408-1-2012. По информации от ЦБ, требование по сертификации или анализу уязвимостей ППО вступит в силу с 2020 года.
• Для проведения анализа уязвимостей инфраструктуры (Pentest) возможно будут выпущены методические рекомендации, но не раньше 2019 года.
• Формальное требование 382-П - анализ уязвимостей ПО должен проводить лицензиат ФСТЭК на ТЗКИ. Но ЦБ будет рекомендовать банкам для проведения АУ организации, которым доверяет.
• Хоть клиент и не компетентен в вопросах информационной безопасности, все риски перекладывать на него нельзя. Банк должен предоставлять безопасную услугу. Поэтому введено требование по разделению контуров подготовки и подтверждения электронных сообщений.
• Самооценка банков не отражала действительное положение дел. Поэтому ввели требование внешней оценки выполнения требований 382-П.
• В дополнение к ежеквартальной отчетности банков в ЦБ об инцидентах вводится обязанность банков оперативно информировать ЦБ в день обнаружения инцидента (формат обмена – в проекте СТО БР 1.5).
• В 2019 году планируется еще одна редакция 382-П со ссылкой на новый ГОСТ 57580.1 (Защита информации финансовых организаций, базовый состав мер) и ГОСТ 57580.2 (Методика оценки соответствия).

Обновление от 27.02.2018 насчет профиля защиты платежного ПО (информация из ГУБиЗИ ЦБ):

• Профиль защиты платежного ПО разработан на базе РС БР 2.6 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и ГОСТ Р ИСО/МЭК 15408 (критерии оценки безопасности ИТ).
• Профиль будет передан на согласование во ФСТЭК (согласование ожидается ориентировочно в конце 2018 года).
• На заседаниях ТК122 обсуждения профиля не будет.
• Требование о сертификации платежного ПО на отсутствие недекларированных возможностей или проведении анализа уязвимостей по уровню доверия не ниже ОУД4 вступает в силу с 01.01.2020, а не с 01.07.2019 (как указано в текущей редакции изменений Положения 382-П на regulation.gov.ru).
• Некоторые требования по разделению контуров создания и подписания (подтверждения) электронных сообщений также вступят в силу с 01.01.2020, а не с 01.07.2018.

Кстати, вот отчет о проведении БИФИТом пилотного проекта в банке по аудиту требований 382-П.

Новый ГОСТ 57580.1

По результатам докладов и комментариев сотрудников ЦБ (ГУБиЗИ, департамент банковского регулирования), совместного доклада НТЦ "Вулкан" и Сбербанка:

• ГОСТ вступил в силу с 01.01.2018, но нормативных документов, устанавливающих обязательность выполнения его требований, пока нет.
• В соответствии с ГОСТ устанавливаются 3 уровня защиты информации.
• ЦБ еще не утвердил критерии, по которым будет относить банки к той или иной категории, но скорее всего требования обеспечения защиты по 1 уровню будут предъявляться к национально значимым банкам, по 2-му уровню – к рядовым банкам. В будущем, когда у ЦБ будет больше полномочий (см. Закон об Antifraud), ЦБ установит требования к защите информации в иных финансовых организациях – организаторах торгов, ломбардах и т.п.
• ЦБ планирует в будущем создать реестр рекомендованных аудиторов, для начала будет около 50 компаний.
• В дальнейшем предлагается создать систему добровольной сертификации аудиторов или СРО для них.
• Размер необходимых резервов капитала банка будет зависеть и от оценки выполнения требований ГОСТ 57580.1 (планируется внедрить с 2020 года). Таким образом, ЦБ хочет привлечь к решению задач ИБ высшее руководство банков.
• Аутсорсинговую компанию или поставщика услуг ЦБ не может заставить проводить оценку себя на предмет выполнения требований ГОСТ. Только добровольно или по требованию их заказчиков-банков.
• Практика: Сбербанк уже оценил себя по требованиям нового ГОСТ у внешнего аудитора – НТЦ "Вулкан". В область оценки попали ДБО, процессинг, управление ATM, АРМ КБР, 3D Secure, другие системы (всего 12 систем).
• Практика: для оценки выполнения требований ГОСТ 57580.1 нужны значительные человеческие ресурсы на стороне банка.
• Практика: для выполнения требований ГОСТ 57580.1 требуется составление модели угроз (составляет банк или аудитор). При этом независимая оценка правильности разработанной модели угроз на практике не проводилась.
• В целом, банковское (и интеграторское) сообщество было обеспокоено тем, что небольшие интеграторы с лицензиями ФСТЭК на техническую защиту конфиденциальной информации проведут в банках оценку выполнения требований ЦБ на низком уровне. Неоднократно поднимались вопросы об ограничении "круга доверенных аудиторов".

Закон об Antifraud

По результатам доклада сотрудника ЦБ (ГУБиЗИ):

• Законопроект прошел первое чтение.
• В нем будет легализована борьба с мошенничеством и право банков приостанавливать платежи.
• ЦБ будет формировать критерии подозрительности платежа.
• Легализация передачи банковской тайны и персональных данных банками в FinCERT.
• Расширение полномочий ЦБ в сфере регулирования защиты информации на финансовом рынке. ЦБ будет регулировать ИБ не только в банках, но и в страховых компаниях, микрофинансовых организациях, НПФ и т.п.

Анализ законопроекта я проводил ранее.

Банки, как субъекты критической информационной инфраструктуры

По результатам докладов сотрудников ЦБ (ГУБиЗИ), аппарата Правительства, Positive Technologies:

• Банки являются субъектами КИИ.
• Информационные системы банков являются объектами КИИ, но не все их них значимые.
• Банки должны определить, являются ли они значимыми по установленным критериям (3 показателя в категории «экономическая значимость»). В соответствии с анализом Алексея Лукацкого, к значимым может быть отнесено около 50 банков.
• Значимые банки должны оценить свои информационные системы на предмет, являются ли они значимыми объектами. Значимые объекты нужно защищать по требованиям ФСТЭК (в большой части перекрываются требованиями 382-П и ГОСТ 57580.1).
• Банки должны подключиться к ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
• В перспективе FinCERT будет для банковской сферы «единым окном» для взаимодействия с ГосСОПКА.

Подход ЦБ к регулированию ИБ в банках, деятельность FinCERT

По результатам секции «Диалог с регулятором» и докладов сотрудников ЦБ (ГУБиЗИ):

• В перспективе, помимо ГОСТ по защите информации в банках, будут разработаны стандарты по аутсорсингу, управлению инцидентами, обеспечению непрерывности и мониторингу.
• Регулирование ЦБ в сфере информационной безопасности тестируется на банках, в случае успешности будет применяться к остальным участникам фин. рынка.
• Комплекс СТО БР остается в качестве методологической основы обеспечения ИБ в банках.
• За невыполнение требований ГОСТ, СТО БР и 382-П пока нет жестких санкций. Банки будут принуждаться к выполнению требований по ИБ через требования к резервам капитала по итогам оценки выполнения банком требований ГОСТ 57580.1.
• В 2017 году ЦБ примерно в половине проверок банков оценивал выполнение требований по ИБ.
• Планируется создание личных кабинетов для присоединившихся к обмену с FinCERT.
• Планируется автоматизация обмена с FinCERT (рассылок).

В целом, форум полезный. Особенно для получения информации о тенденциях регулирования информационной безопасности в финансовой сфере "из первых уст".

Все презентации форума доступны здесь.

Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!