Краткий обзор Уральского форума 2018

Изменения в 382-П

По результатам докладов и комментариев сотрудников ЦБ (ГУБиЗИ):

  • Анализ уязвимостей нужно проводить в первую очередь для платежного ПО, которое используется для переводов через Интернет (мобильные и web-приложения).
  • Для проведения анализа уязвимостей платежного ПО планируется разработать профиль защиты на базе РС БР ИББС-2.6-2014 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и с учетом ГОСТ Р ИСО/МЭК 15408-1-2012. По информации от ЦБ, требование по сертификации или анализу уязвимостей ППО вступит в силу с 2020 года.
  • Для проведения анализа уязвимостей инфраструктуры (Pentest) возможно будут выпущены методические рекомендации, но не раньше 2019 года.
  • Формальное требование 382-П - анализ уязвимостей ПО должен проводить лицензиат ФСТЭК на ТЗКИ. Но ЦБ будет рекомендовать банкам для проведения АУ организации, которым доверяет.
  • Хоть клиент и не компетентен в вопросах информационной безопасности, все риски перекладывать на него нельзя. Банк должен предоставлять безопасную услугу. Поэтому введено требование по разделению контуров подготовки и подтверждения электронных сообщений.
  • Самооценка банков не отражала действительное положение дел. Поэтому ввели требование внешней оценки выполнения требований 382-П.
  • В дополнение к ежеквартальной отчетности банков в ЦБ об инцидентах вводится обязанность банков оперативно информировать ЦБ в день обнаружения инцидента (формат обмена – в проекте СТО БР 1.5).
  • В 2019 году планируется еще одна редакция 382-П со ссылкой на новый ГОСТ 57580.1 (Защита информации финансовых организаций, базовый состав мер) и ГОСТ 57580.2 (Методика оценки соответствия).

Обновление от 27.02.2018 насчет профиля защиты платежного ПО (информация из ГУБиЗИ ЦБ):

  • Профиль защиты платежного ПО разработан на базе РС БР 2.6 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и ГОСТ Р ИСО/МЭК 15408 (критерии оценки безопасности ИТ).
  • Профиль будет передан на согласование во ФСТЭК (согласование ожидается ориентировочно в конце 2018 года).
  • На заседаниях ТК122 обсуждения профиля не будет.
  • Требование о сертификации платежного ПО на отсутствие недекларированных возможностей или проведении анализа уязвимостей по уровню доверия не ниже ОУД4 вступает в силу с 01.01.2020, а не с 01.07.2019 (как указано в текущей редакции изменений Положения 382-П на regulation.gov.ru).
  • Некоторые требования по разделению контуров создания и подписания (подтверждения) электронных сообщений также вступят в силу с 01.01.2020, а не с 01.07.2018.

Кстати, вот отчет о проведении пилотного проекта в банке по аудиту требований 382-П.

Новый ГОСТ 57580.1

По результатам докладов и комментариев сотрудников ЦБ (ГУБиЗИ, департамент банковского регулирования), совместного доклада НТЦ "Вулкан" и Сбербанка:

  • ГОСТ вступил в силу с 01.01.2018, но нормативных документов, устанавливающих обязательность выполнения его требований, пока нет.
  • В соответствии с ГОСТ устанавливаются 3 уровня защиты информации.
  • ЦБ еще не утвердил критерии, по которым будет относить банки к той или иной категории, но скорее всего требования обеспечения защиты по 1 уровню будут предъявляться к национально значимым банкам, по 2-му уровню – к рядовым банкам. В будущем, когда у ЦБ будет больше полномочий (см. Закон об Antifraud), ЦБ установит требования к защите информации в иных финансовых организациях – организаторах торгов, ломбардах и т.п.
  • ЦБ планирует в будущем создать реестр рекомендованных аудиторов, для начала будет около 50 компаний.
  • В дальнейшем предлагается создать систему добровольной сертификации аудиторов или СРО для них.
  • Размер необходимых резервов капитала банка будет зависеть и от оценки выполнения требований ГОСТ 57580.1 (планируется внедрить с 2020 года). Таким образом, ЦБ хочет привлечь к решению задач ИБ высшее руководство банков.
  • Аутсорсинговую компанию или поставщика услуг ЦБ не может заставить проводить оценку себя на предмет выполнения требований ГОСТ. Только добровольно или по требованию их заказчиков-банков.
  • Практика: Сбербанк уже оценил себя по требованиям нового ГОСТ у внешнего аудитора – НТЦ "Вулкан". В область оценки попали ДБО, процессинг, управление ATM, АРМ КБР, 3D Secure, другие системы (всего 12 систем).
  • Практика: для оценки выполнения требований ГОСТ 57580.1 нужны значительные человеческие ресурсы на стороне банка.
  • Практика: для выполнения требований ГОСТ 57580.1 требуется составление модели угроз (составляет банк или аудитор). При этом независимая оценка правильности разработанной модели угроз на практике не проводилась.
  • В целом, банковское (и интеграторское) сообщество было обеспокоено тем, что небольшие интеграторы с лицензиями ФСТЭК на техническую защиту конфиденциальной информации проведут в банках оценку выполнения требований ЦБ на низком уровне. Неоднократно поднимались вопросы об ограничении "круга доверенных аудиторов".

Закон об Antifraud

По результатам доклада сотрудника ЦБ (ГУБиЗИ):

  • Законопроект прошел первое чтение.
  • В нем будет легализована борьба с мошенничеством и право банков приостанавливать платежи.
  • ЦБ будет формировать критерии подозрительности платежа.
  • Легализация передачи банковской тайны и персональных данных банками в FinCERT.
  • Расширение полномочий ЦБ в сфере регулирования защиты информации на финансовом рынке. ЦБ будет регулировать ИБ не только в банках, но и в страховых компаниях, микрофинансовых организациях, НПФ и т.п.

Анализ законопроекта проводился ранее.

Банки, как субъекты критической информационной инфраструктуры

По результатам докладов сотрудников ЦБ (ГУБиЗИ), аппарата Правительства, Positive Technologies:

  • Банки являются субъектами КИИ.
  • Информационные системы банков являются объектами КИИ, но не все их них значимые.
  • Банки должны определить, являются ли они значимыми по установленным критериям (3 показателя в категории «экономическая значимость»). В соответствии с анализом Алексея Лукацкого, к значимым может быть отнесено около 50 банков.
  • Значимые банки должны оценить свои информационные системы на предмет, являются ли они значимыми объектами. Значимые объекты нужно защищать по требованиям ФСТЭК (в большой части перекрываются требованиями 382-П и ГОСТ 57580.1).
  • Банки должны подключиться к ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
  • В перспективе FinCERT будет для банковской сферы «единым окном» для взаимодействия с ГосСОПКА.

Подход ЦБ к регулированию ИБ в банках, деятельность FinCERT

По результатам секции «Диалог с регулятором» и докладов сотрудников ЦБ (ГУБиЗИ):

  • В перспективе, помимо ГОСТ по защите информации в банках, будут разработаны стандарты по аутсорсингу, управлению инцидентами, обеспечению непрерывности и мониторингу.
  • Регулирование ЦБ в сфере информационной безопасности тестируется на банках, в случае успешности будет применяться к остальным участникам фин. рынка.
  • Комплекс СТО БР остается в качестве методологической основы обеспечения ИБ в банках.
  • За невыполнение требований ГОСТ, СТО БР и 382-П пока нет жестких санкций. Банки будут принуждаться к выполнению требований по ИБ через требования к резервам капитала по итогам оценки выполнения банком требований ГОСТ 57580.1.
  • В 2017 году ЦБ примерно в половине проверок банков оценивал выполнение требований по ИБ.
  • Планируется создание личных кабинетов для присоединившихся к обмену с FinCERT.
  • Планируется автоматизация обмена с FinCERT (рассылок).

В целом, форум полезный. Особенно для получения информации о тенденциях регулирования информационной безопасности в финансовой сфере "из первых уст".

Все презентации форума доступны здесь.