Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой отрасли

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Тенденции законодательства по ИБ для финансовой отрасли

Алексей Лукацкий

Бизнес-консультант по безопасности

30/04/15


Активность законодателей только возрастает

В среднем 4 нормативных акта (проекта) в месяц

2012 – 5, 2013 – 4, 2014 – 6

Активность будет только возрастать

В октябре почему-то всегда минимальная активность


Приоритеты давно определены

Национальная платежная система

Банки

Госорганы

КВО и ТЭК

Операторы связи


ИБ в финансовых организациях – это не только НПС

ФОНПС

БТ

ПДн

ФСТЭК

ФСБ

PCI DSS

КИИ


5© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.

Национальная платежная система и банки


Изменения по направлению НПС/банковской тайны

Что было?

• 382-П (3361-У)

• 42-Т

• 49-Т

• 242-П (3241-У)

• 437-П

• СТО БР ИББС 1.0 и 1.2

• Отмена РС 2.3 и 2.4

• Принятие новых РС 2.5, 2.6, 2.7 и 2.8

Что будет?

• Новые РС

• Требования для организаций финансового рынка

• FinCERT

• Отраслевая модель угроз ПДн

• НСПК

• Поправки в УК, УПК…

• Оценка соответствия приложений

• Смена «владельца» 382-П (?)


Новые РС – 2.7 и 2.8

Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологий виртуализации» (РС БР ИББС-2.7-2014)

Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.8-2014)


Новости стандартизации

ЦБ готовит в 2015-2016 гг. РС по предотвращению утечек, по антифроду, по распределению ролей, по облакам и аутсорсингу, по расследованию инцидентов

РС по классификации информации частично вошла в РС по предотвращению утечек

ЦБ планирует пересмотреть СТО БР ИББС-1.1, РС БР ИББС-2.0, РС БР ИББС-2.1, РС БР ИББС-2.2

ЦБ планирует расширить действие СТО 1.0 и 1.2 на все отрасли, которые попали под ЦБ после слияния с ФСФР


Что с отраслевой моделью угроз ПДн?

Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»

Полностью переиграли документ в условиях текущей геополитической ситуации

Угрозы 1-го и 2-го типа уже не считаются неактуальными изначально – решение отдается на откуп банкам

Заново отправлен на согласование в ФСТЭК и ФСБ

Переподписание «письма шести»

После актуализации СТО БР


Информационная безопасность НСПК

НСПК – часть НПС и подчиняется требованиям 382-П

Отдельных документов по безопасности НСПК пока не планируется

1 этап

• Реализация отечественного HSM, повторяющего функционал импортных аналогов с использованием отечественных криптоалгоритмов только в автономных режимах

2 этап

• Реализация в отечественном HSM набора дополнительных команд с использованием отечественных криптоалгоритмов

• Реализация с использованием отечественного HSM трёхуровневой PKI инфраструктуры с использованием импортных и отечественных крипто алгоритмов

• Реализация корневого УЦ НПС (аналога УЦ МПС Visa или MasterCard)

3 этап

• Разработка отечественной чиповой карты

• Разработка спецификаций и приложений с поддержкой отечественных криптоалгоритмовдля всех устройств, участвующих в поддержке платежных транзакций.

• Разработка программы подготовки к эмиссии карт НПС и поэтапного перевода всех устройств на работу с двумя криптографическими алгоритмами


Противодействие преступлениям в финансовой сфере

Подготовлены изменения в законодательство направленное на противодействие преступлениям в финансовой сфере с применением современных технологий

ФЗ-395-1, ФЗ-86, ФЗ-161

В статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ

Изменения в АПК

Подготовлены предложения по проекту ФЗ «О внесении изменений в некоторые законодательные акты РФ (в части противодействия хищению денежных средств)»


Российский PA DSS? Когда?

Вновь поднимается идея об оценке качества ПО АБС и платежных приложений

Распоряжение Совета Безопасности

Не до конца проработан механизм оценки – через СРО или сертификацию?

Кто будет входить в СРО?

Разработчики ПО

Интеграторы

Аудиторы

Много открытых вопросов про СРО или оценке соответствия

Как минимум, требуется изменение законодательства


Контроль качества данных и ПО

Проект Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов» – первый нормативный документ Банка России, в котором планируется реализовать требования абз. 1 ст. 72.1 Федерального закона РФ от 10.07.2002 №86-ФЗ

Банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер инф. безопасности (ИБ):

мер по обеспечению ИБ на всех стадиях жизненного цикла ИС,

мер по управлению доступом к данным и его регистрацией,

мер по применению средств защиты от воздей-я вредоносного кода,

мер по обеспечению ИБ при использовании сети Интернет,

мер по обеспечению ИБ путем экспл-и ср-в крипт. защиты инф-и,

мер по обнаружению и реагированию на инциденты ИБ,

мер по мониторингу обеспечения ИБ


Новости по отчетности

Вопрос о слиянии 258-й и 203-й форм так и не решен

Т.к. они разработаны для разных целей – развития и надзора в НПС

Результаты 202-й и 203-й отчетности должны были быть опубликованы в марте 2015 года

Но видимо уже и не будут

Передавать (отменять) 203-ю отчетность под FinCERT пока не планируется

И цели у 203-й отчетности иные, и FinCERT пока не заработал


Готовится методика проверки по вопросам безопасности


FinCERT должен быть запущен 1-го мая 2015-го года

Задержка с созданием FinCERT связана с Крымом и текущей экономической ситуацией

Не только НСПК

Большое количество вопросов, связанных с функционированием FinCERT, порядок предоставления в него информации, ответственности/обязанности, предоставляемой из FinCERT информации

Только техническая информация (черные списки, домены, IP, анализ malware, Threat Intelligence и т.п.) или правила антифрода?

Интеграция с ГосСОПКА


ФСТЭК и Банк России: схожесть подходов

Банк России

• РС по виртуализации

• РС по утечкам

• РС по облакам

• РС по жизненному циклу

• РС по менеджменту инцидентов

• РС по ресурсному обеспечению

ФСТЭК

• ГОСТ по виртуализации

• РД по утечкам

• ГОСТ по облакам

• ГОСТы по SDLC и управлению уязвимостями

• Методичка по управлению инцидентами

• ГОСТ по показателям качества



Планы ФСТЭКВ контексте финансовой отрасли


Новые требования к средствам защиты

Совершенствование сертификации средств защиты информации

Планируется разработка большого количества РД с требованиями к средствам защиты

Изменение подходов к сертификации

Совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий

Совершенствование порядка сертификации

Уточнение порядка обновления сертифицированных средств защиты информации

А также

• Требования к средствам защиты виртуализации,

BIOS, ОС и СУБД

• Требования к средствам защиты информации от

утечки по техническим каналам


Планируемые методические документы ФСТЭК

Порядок аттестации информационных систем

Порядок обновления программного обеспечения и информационных систем

Порядок выявления и устранения уязвимостей в информационных системах

Защита информации в информационной системе при использовании мобильных устройств

Порядок реагирования на инциденты, связанных с нарушением функционирования информационной системы

Защита информации в информационных системах при применении устройств беспроводного доступа

Разработка

запланирована

на второй квартал

этого года


Усиление внимания к безопасности ПО

Новые требования к СрЗИ

3 ГОСТа по уязвимостям

Проект ГОСТа по SDLC – планируется принятие в конце года

Банк данных уязвимостей и угроз

Методика обновления ПО, включая сертифицированное


Методика моделирования угроз

Методика определения угроз безопасности информации в информационных системах

Распространяется на

ГИС / МИС

ИСПДн

Не распространяется на угрозы СКЗИ и ПЭМИН

Отменяет «методику определения актуальных угроз…» 2008-го года

Применяется совместно с банком данных угроз ФСТЭК


Новые ГОСТы по защите информации

Готовящиеся ГОСТы

Безопасность суперкомпьютерных и грид-технологий

ИБ виртуализации

ИБ «облачных вычислений»

Документация по технической защите информации на объекте информатизации

Угрозы безопасности информации

Номенклатура показателей качества

Основные термины и определения

Гармонизация 72-х стандартов ISO



Критические инфраструктуры


Изменения по направлению КИИ / КСИИ / КВО / АСУ ТП

Что было?

• Приказ ФСТЭК №31 по защите АСУ ТП

• Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ

Что будет?

• Законопроект по безопасности критических информационных инфраструктур

• Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ

• Подзаконные акты

• Приказы и методички ФСБ

• Методические документы ФСТЭК


Поправки в связи с принятием закона о безопасности КИИ

Поправки в УК РФ и УПК РФ

Внесение изменений в статьи 272, 274, 151 (УПК)

Поправки в закон «О государственной тайне»

Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности

Поправки в 294-ФЗ

Выведение из под порядка проведения проверок КИИ

Поправки в 184-ФЗ

Исключение двойного регулирования


Что еще готовится в связи с законопроектом о безопасности КИИ?

Определение ФОИВ, уполномоченного в области безопасности КИИ

Через 6 месяцев после принятия закона

Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры»

Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ

Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ»

Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи


Планируемые приказы уполномоченного ФОИВа

Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ

Это не 31-й приказ!!!

Приказ уполномоченного ФОИВ об аккредитации организаций, уполномоченных проводить оценку защищенности КИИ

Приказ уполномоченного ФОИВ о представлении сведений для категорирования

Приказ уполномоченного ФОИВ о контроле/надзоре

Приказ уполномоченного ФОИВ о реестре объектов КИИ


Планируемые приказы ФСБ (8-й Центр)

Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ

Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА

Приказ ФСБ о порядке доступа к информации в СОПКА

Приказ ФСБ об утверждении требований к техсредствам СОПКА

Приказ ФСБ об установке и эксплуатации техсредств СОПКА

Приказ ФСБ о национальном CERT

Приказ о порядке и периодичности проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры


Планируемые методические документы ФСБ (8-й Центр)

Методика обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети

Порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах

Порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах

Методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак


Планируемые методические документы ФСТЭК

Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических

«Рекомендации…» и «Методика определения актуальных угроз…»

Порядок выявления и устранения уязвимостей в АСУ ТП

Методика определения угроз безопасности информации в АСУ ТП

Порядок реагирования на инциденты, связанные с нарушением безопасности информации

Меры защиты информации в АСУ ТП

По аналогии с «Мерами защиты в ГИС»

2016 год



Персональные данные


Изменения по направлению ПДн

Что было?

• Приказ ФСТЭК №21 по защите ПДн в ИСПДн

• Приказ об отмене «приказа трех» по классификации ИСПДн

• Приказ и методичка РКН по обезличиванию

• Закон 242-ФЗ о запрете хранения ПДн россиян за границей

• Письмо Банка России 42-Т

• Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн

• ПП-911 по отмене обязательного обезличивания

Что могло быть?

• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн

• Отраслевые модели угроз

• Ратификация дополнительного протокола Евроконвенции (181)

• Законопроект по ответственности за неуведомление о утечке ПДн

• Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн

Что будет?

• Законопроект Совета Федерации по внесению изменений в ФЗ-152

• Законопроект по внесению изменений в КоАП

• Поправки в ФЗ-242 (?)

• Новые обязанности РКН

• Выход РКН из под действия 294-ФЗ

• Изменения в приказ №21

• Совет Европы примет новый вариант ЕвроКонвенции


ПравонарушениеНарушаемая статья

законодательства

Наказание для

должностных лиц

Наказание для

юридических лиц

Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей

Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей

Незаконная обработка

спецкатегорий ПДн

Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей

Неопубликование политики в

области ПДн

Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей

Отказ в предоставлении

информации субъекту

Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей

Отказ в уничтожении или

блокировании ПДн

Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей

Нарушение правил хранения

материальных носителей ПДн

ПП-687 4-10 тысяч рублей 25-50 тысяч рублей

Нарушение правил обезличивания

(для госов)

ПП-211 и приказ РКН

№996

3-6 тысяч рублей Не предусмотрено

Законопроект по штрафам прошел первое чтение


Благодарюза внимание

Business

Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой отрасли