Основным направлением работы Уральского форума в 2018 году были требования ЦБ в сфере информационной безопасности.
Ниже перечислены основные тезисы по теме.
Изменения в 382-П
По результатам докладов и комментариев сотрудников ЦБ
(ГУБиЗИ):
- Анализ уязвимостей нужно проводить в первую очередь для платежного ПО, которое используется для переводов через Интернет (мобильные и web-приложения).
- Для проведения анализа уязвимостей платежного ПО планируется разработать профиль защиты на базе РС БР ИББС-2.6-2014 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и с учетом ГОСТ Р ИСО/МЭК 15408-1-2012. По информации от ЦБ, требование по сертификации или анализу уязвимостей ППО вступит в силу с 2020 года.
- Для проведения анализа уязвимостей инфраструктуры (Pentest) возможно будут выпущены методические рекомендации, но не раньше 2019 года.
- Формальное требование 382-П - анализ уязвимостей ПО должен проводить лицензиат ФСТЭК на ТЗКИ. Но ЦБ будет рекомендовать банкам для проведения АУ организации, которым доверяет.
- Хоть клиент и не компетентен в вопросах информационной безопасности, все риски перекладывать на него нельзя. Банк должен предоставлять безопасную услугу. Поэтому введено требование по разделению контуров подготовки и подтверждения электронных сообщений.
- Самооценка банков не отражала действительное положение дел. Поэтому ввели требование внешней оценки выполнения требований 382-П.
- В дополнение к ежеквартальной отчетности банков в ЦБ об инцидентах вводится обязанность банков оперативно информировать ЦБ в день обнаружения инцидента (формат обмена – в проекте СТО БР 1.5).
- В 2019 году планируется еще одна редакция 382-П со ссылкой на новый ГОСТ 57580.1 (Защита информации финансовых организаций, базовый состав мер) и ГОСТ 57580.2 (Методика оценки соответствия).
- Профиль защиты платежного ПО разработан на базе РС БР 2.6 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и ГОСТ Р ИСО/МЭК 15408 (критерии оценки безопасности ИТ).
- Профиль будет передан на согласование во ФСТЭК (согласование ожидается ориентировочно в конце 2018 года).
- На заседаниях ТК122 обсуждения профиля не будет.
- Требование о сертификации платежного ПО на отсутствие недекларированных возможностей или проведении анализа уязвимостей по уровню доверия не ниже ОУД4 вступает в силу с 01.01.2020, а не с 01.07.2019 (как указано в текущей редакции изменений Положения 382-П на regulation.gov.ru).
- Некоторые требования по разделению контуров создания и подписания (подтверждения) электронных сообщений также вступят в силу с 01.01.2020, а не с 01.07.2018.
Новый ГОСТ 57580.1
По результатам докладов и комментариев сотрудников ЦБ
(ГУБиЗИ, департамент банковского регулирования), совместного доклада НТЦ "Вулкан" и Сбербанка:
- ГОСТ вступил в силу с 01.01.2018, но нормативных документов, устанавливающих обязательность выполнения его требований, пока нет.
- В соответствии с ГОСТ устанавливаются 3 уровня защиты информации.
- ЦБ еще не утвердил критерии, по которым будет относить банки к той или иной категории, но скорее всего требования обеспечения защиты по 1 уровню будут предъявляться к национально значимым банкам, по 2-му уровню – к рядовым банкам. В будущем, когда у ЦБ будет больше полномочий (см. Закон об Antifraud), ЦБ установит требования к защите информации в иных финансовых организациях – организаторах торгов, ломбардах и т.п.
- ЦБ планирует в будущем создать реестр рекомендованных аудиторов, для начала будет около 50 компаний.
- В дальнейшем предлагается создать систему добровольной сертификации аудиторов или СРО для них.
- Размер необходимых резервов капитала банка будет зависеть и от оценки выполнения требований ГОСТ 57580.1 (планируется внедрить с 2020 года). Таким образом, ЦБ хочет привлечь к решению задач ИБ высшее руководство банков.
- Аутсорсинговую компанию или поставщика услуг ЦБ не может заставить проводить оценку себя на предмет выполнения требований ГОСТ. Только добровольно или по требованию их заказчиков-банков.
- Практика: Сбербанк уже оценил себя по требованиям нового ГОСТ у внешнего аудитора – НТЦ "Вулкан". В область оценки попали ДБО, процессинг, управление ATM, АРМ КБР, 3D Secure, другие системы (всего 12 систем).
- Практика: для оценки выполнения требований ГОСТ 57580.1 нужны значительные человеческие ресурсы на стороне банка.
- Практика: для выполнения требований ГОСТ 57580.1 требуется составление модели угроз (составляет банк или аудитор). При этом независимая оценка правильности разработанной модели угроз на практике не проводилась.
- В целом, банковское (и интеграторское) сообщество было обеспокоено тем, что небольшие интеграторы с лицензиями ФСТЭК на техническую защиту конфиденциальной информации проведут в банках оценку выполнения требований ЦБ на низком уровне. Неоднократно поднимались вопросы об ограничении "круга доверенных аудиторов".
Закон об Antifraud
По результатам доклада сотрудника ЦБ (ГУБиЗИ):
- Законопроект прошел первое чтение.
- В нем будет легализована борьба с мошенничеством и право банков приостанавливать платежи.
- ЦБ будет формировать критерии подозрительности платежа.
- Легализация передачи банковской тайны и персональных данных банками в FinCERT.
- Расширение полномочий ЦБ в сфере регулирования защиты информации на финансовом рынке. ЦБ будет регулировать ИБ не только в банках, но и в страховых компаниях, микрофинансовых организациях, НПФ и т.п.
Банки, как субъекты критической информационной
инфраструктуры
По результатам докладов сотрудников ЦБ (ГУБиЗИ), аппарата
Правительства, Positive Technologies:
- Банки являются субъектами КИИ.
- Информационные системы банков являются объектами КИИ, но не все их них значимые.
- Банки должны определить, являются ли они значимыми по установленным критериям (3 показателя в категории «экономическая значимость»). В соответствии с анализом Алексея Лукацкого, к значимым может быть отнесено около 50 банков.
- Значимые банки должны оценить свои информационные системы на предмет, являются ли они значимыми объектами. Значимые объекты нужно защищать по требованиям ФСТЭК (в большой части перекрываются требованиями 382-П и ГОСТ 57580.1).
- Банки должны подключиться к ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
- В перспективе FinCERT будет для банковской сферы «единым окном» для взаимодействия с ГосСОПКА.
Подход ЦБ к регулированию ИБ в банках, деятельность
FinCERT
По результатам секции «Диалог с регулятором» и докладов
сотрудников ЦБ (ГУБиЗИ):
- В перспективе, помимо ГОСТ по защите информации в банках, будут разработаны стандарты по аутсорсингу, управлению инцидентами, обеспечению непрерывности и мониторингу.
- Регулирование ЦБ в сфере информационной безопасности тестируется на банках, в случае успешности будет применяться к остальным участникам фин. рынка.
- Комплекс СТО БР остается в качестве методологической основы обеспечения ИБ в банках.
- За невыполнение требований ГОСТ, СТО БР и 382-П пока нет жестких санкций. Банки будут принуждаться к выполнению требований по ИБ через требования к резервам капитала по итогам оценки выполнения банком требований ГОСТ 57580.1.
- В 2017 году ЦБ примерно в половине проверок банков оценивал выполнение требований по ИБ.
- Планируется создание личных кабинетов для присоединившихся к обмену с FinCERT.
- Планируется автоматизация обмена с FinCERT (рассылок).
В целом, форум полезный. Особенно для получения информации о тенденциях регулирования информационной безопасности в финансовой сфере "из первых уст".
Все презентации форума доступны здесь.
Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!
Комментариев нет:
Отправить комментарий