36
Перспективы изменения законодательства в области защиты информации в НПС Лукацкий Алексей, консультант по безопасности

Ключевые изменения законодательства по защите информации в НПС

Embed Size (px)

DESCRIPTION

 

Citation preview

Page 1: Ключевые изменения законодательства по защите информации в НПС

Перспективы изменения законодательства в области защиты

информации в НПС

Лукацкий Алексей, консультант по безопасности

Page 2: Ключевые изменения законодательства по защите информации в НПС

Почему Cisco говорит о законодательстве?

ТК22 ТК122 ТК362 РГ ЦБ

«Безопасность ИТ» (ISO SC27 в

России)

«Защита информации в кредитных

учреждениях»

«Защита информации» при ФСТЭК

Разработка рекомендаций по ПДн, СТО БР ИББС v4 и 382-П/2831-У

ФСБ МКС ФСТЭК РАЭК РКН

Экспертиза документов Предложения Экспертиза и

разработка документов

Экспертиза и разработка документов

Консультативный совет

Page 3: Ключевые изменения законодательства по защите информации в НПС

РЕГУЛЯТОРЫ И ИХ ТРЕБОВАНИЯ

Page 4: Ключевые изменения законодательства по защите информации в НПС

Регуляторы в области ИБ

ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI Council

РКН

СовБез

МВД

МинЭнерго

Page 5: Ключевые изменения законодательства по защите информации в НПС

В среднем появляется 4 нормативных акта в месяц

0

1

2

3

4

5

6

7

8

Page 6: Ключевые изменения законодательства по защите информации в НПС

НПС/банки – в приоритете последних дней

59  

17  

10  

8  10  

2  1  1  1  1  1  Все  

НПС  

Банки  

Госорганы  

Операторы  связи  

ТЭК  

УК,  ТСЖ,  ЖК,  ЖСК  

Нотариусы  

Page 7: Ключевые изменения законодательства по защите информации в НПС

НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА

Page 8: Ключевые изменения законодательства по защите информации в НПС

Мы только в начале пути регулирования НПС

Page 9: Ключевые изменения законодательства по защите информации в НПС

Структура основных нормативно-правовых актов по ИБ в НПС

Рекомендации АРБ и НПС по реагированию на инциденты

Page 10: Ключевые изменения законодательства по защите информации в НПС

Положение Банка России 382-П от 09.06.2012

•  Указание Банка России №3007-У от 05.06.2013 года «О внесении изменений в Положение Банка России от 9.06.2012 года №382-П»

Page 11: Ключевые изменения законодательства по защите информации в НПС

Что в новой редакции 382-П?

•  ОПДС, БПА обеспечивают регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения; при этом регистрации подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированной системы, программного обеспечения: –  дата и время осуществления действия клиента; –  идентификатор клиента; –  код, соответствующий выполняемому действию; –  идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, ПО с целью осуществления переводов ДС, которой в зависимости от технической возможности является IP-адрес, МАС-адрес, номер sim-карты, номер телефона и (или) иной идентификатор устройства

Page 12: Ключевые изменения законодательства по защите информации в НПС

Новые требования к оценщикам

•  Установление требований и условий к организациям, осуществляющим оценку соответствия –  Лицензия (если необходима) –  Российское юрлицо –  Не менее 3-х работников –  Профильное образование –  Стаж работы –  Документально подтвержденный опыт проведения работ, связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности

Page 13: Ключевые изменения законодательства по защите информации в НПС

Развитие 203-й формы отчетности

•  Указание Банка России от 21.06.2013 №3024-У «О внесении изменений в Указание Банка России от 09.06.2012 №2831-У» –  Разделение на инциденты отчетного и предыдущих отчетных периодов

–  Запрашиваются инциденты, зарегистрированные ОПДС, его клиентами и БПА

–  Детализация классификации инцидентов –  Введение суммы похищенных и намеченных к хищению средств –  Детализация мест совершения инцидента (до 2-х десятков) –  Подробное описание инцидентов (названия ПО, названия СЗИ, имена операторов связи, названия АБС, названия сетевого оборудования и т.д.)

–  Указание причин возникновения инцидентов –  Уточнение вопросов взаимодействия с правоохранительными органами

Page 14: Ключевые изменения законодательства по защите информации в НПС

Текущий и предыдущий отчетные периоды

Page 15: Ключевые изменения законодательства по защите информации в НПС

Письмо 34-Т от 01.03.2013

•  О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов

•  Оснащение специальным ПО для выявления и предотвращения атак

•  Обнаружение, фиксация атак и их попыток

•  Регулярный контроль действия обслуживающих организаций

•  Анализ и выявление уязвимостей после атак или попыток их совершения

•  …

Page 16: Ключевые изменения законодательства по защите информации в НПС

Что думает Банк России о защищенности банкоматов?

•  В настоящее время Департамент регулирования расчетов Банка России прорабатывает вопрос о выпуске документа, содержащего рекомендации по повышению уровня безопасного использования банкоматов и платежных терминалов

•  В перспективе указанный проект может быть взят за основу при разработке документа в статусе рекомендаций в области стандартизации в рамках соответствующих подкомитетов ТК122 по стандартизации «Стандарты финансовых операций»

Page 17: Ключевые изменения законодательства по защите информации в НПС

Письмо 146-Т от 05.08.2013

•  О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет»

•  Рекомендации предназначены для использования кредитными организациями, являющимися операторами по переводу денежных средств, и привлекаемыми ими банковскими платежными агентами в целях повышения уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет»

Page 18: Ключевые изменения законодательства по защите информации в НПС

Что планирует Банк России в части ПДн?

•  Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»

•  Актуализация РС 2.3 –  После выпуска и изучения документов ФСТЭК и ФСБ

•  Переподписание «письма шести» –  После актуализации СТО БР

Page 19: Ключевые изменения законодательства по защите информации в НПС

Планы по развитию СТО БР ИББС

•  Новая редакция СТО БР ИББС 1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» –  Уже разработана и оценивается экспертами ТК122

•  Новая редакция СТО БР ИББС 1.2 "Методика оценка соответствия СТО БР ИББС 1.0» –  Уже разработана и оценивается экспертами ТК122 –  Синхронизация с методикой оценки по 382-П

19

Page 20: Ключевые изменения законодательства по защите информации в НПС

Новые РС в рамках СТО БР ИББС

•  Готовится новая РС «Ресурсное обеспечение информационной безопасности» –  Как объяснить руководству/акционерам, зачем нужна ИБ и сколько тратить?

•  Готовится новая РС «Требования по к обеспечению информационной безопасности на стадиях жизненного цикла банковских приложений» –  Минимальный набор требований к приложениям

•  Готовится новая РС «Менеджмент инцидентов информационной безопасности» –  Не просто реагирование, а весь жизненный цикл инцидента –  Дополнит методичку АРБ и НПС

Page 21: Ключевые изменения законодательства по защите информации в НПС

Что у нас с управлением инцидентами?

Page 22: Ключевые изменения законодательства по защите информации в НПС

Анализ кода АБС станет обязательным?

•  Детальные рекомендации по организации работ по созданию АБС, их модернизации и выводу из эксплуатации, формированию требований ИБ, предъявляемых к создаваемым системам, контролю исполнения требований ИБ и оценке их защищенности в ходе эксплуатации

•  Рекомендации по составу типовых функциональных требований ИБ, предъявляемых к различным составным частям АБС, а также рекомендации по составу, содержанию и порядку проведения работ по оценке защищенности АБС

Page 23: Ключевые изменения законодательства по защите информации в НПС

Какие стандарты готовятся в 2013-м году в ТК122

•  Стандарт «Руководство по хорошим практикам обеспечения защиты информации при оказании услуг дистанционного банковского облуживания»

•  Стандарт «Разработка электронных средств платежа. Безопасность программного обеспечения электронных средств платежа»

•  Стандарт «Обеспечение безопасности при использовании электронных средств платежа и дистанционного банковского обслуживания»

•  Проект РС «Разработка системы документационного обеспечения сертификации систем дистанционного банковского обслуживания, включая электронные средства платежа»

•  Стандарт «Требования по безопасности для технологий мобильного банкинга»

Page 24: Ключевые изменения законодательства по защите информации в НПС

Единое пространство доверия с операторами связи

•  Инфраструктура многих операторов связи используется при оказании услуг по переводу денежных средств (как минимум, ДБО)

•  Минкомсвязь совместно с Банком России решило вернуться к теме «Базового уровня информационной безопасности операторов связи» (он же рекомендации ITU-T X.sbno) и сделать именно эти требования (с некоторыми доработками) условием подключения (выбора) банков к инфраструктуре оператора связи

•  При этом Банком России будут разработаны рекомендации по выбору именно тех операторов, которые прошли процедуру добровольной сертификации на соответствие «базовому уровню»

24

Page 25: Ключевые изменения законодательства по защите информации в НПС

Банк России и PCI DSS?

•  7 ноября 2013 года будет опубликован PCI/PA DSS 3.0 –  Вступление в силу с 01.01.2014

•  Банк России (через НП АБИСС) осуществил перевод 10 документов PCI DSS 2.0: –  аутентичный перевод на русский язык PCI DSS и сопутствующих документов, официально признаваемый PCI Council

–  размещение перевода и поддержка его в актуальном состоянии при изменений версий стандарта PCI DSS на сайте PCI Council

–  использование перевода для более эффективного внедрения PCI DSS в РФ для участников международных платежных систем

–  использование перевода как основы для разработки Банком России национальных требований и рекомендаций к индустрии платежных карт

•  Вопрос разработки нормативного акта Банка России по безопасности платежных карт остается открытым

Page 26: Ключевые изменения законодательства по защите информации в НПС

Изменения на уровне федерального законодательства

•  ФЗ-251 от 23.07.2013 «О внесении изменении в некоторые законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков» –  Изменения в части доступа Банка России к ПДн, банковской тайне и на территорию подведомственных организаций

•  Планы по изменению ст.9 ФЗ-161 «О национальной платежной системы»

•  Поправки в ФЗ о банках и банковской деятельности и «О центральном банке» –  Право Банка России устанавливать нормативы по управлению и оценке операционных рисков

–  Указание от 25.06.2012 №2840-У по операционным рискам

Page 27: Ключевые изменения законодательства по защите информации в НПС

Новости регулирования управления рисками

•  Законопроекты «О внесении изменений в федеральные законы «О банках и банковской деятельности» и «О Центральном банке Российской Федерации (Банке России)» –  Кредитная организация, банковская группа и банковский холдинг обязаны будут ежеквартально публиковать информацию о принимаемых рисках, процедурах их оценки, управления рисками

–  На Совет директоров кредитной организации возлагается обязанность по применению банковских методик управления рисками и моделей количественной оценки рисков, включая оценку активов

–  Кредитная организация (головная кредитная организация банковской группы) обязана соблюдать установленные Банком России требования к системам управления рисками и капиталом, внутреннего контроля кредитных организаций, в банковских группах (это новая статья 111-2)

Page 28: Ключевые изменения законодательства по защите информации в НПС

Новости регулирования управления рисками

•  Законопроекты «О внесении изменений в федеральные законы «О банках и банковской деятельности» и «О Центральном банке Российской Федерации (Банке России)» –  Кредитная организация обязана создавать резервы на покрытие различных рисков

–  Полномочия на установление требований к системе управления рисками и оценку ее качества возлагаются на Банк России. Он же «устанавливает требования к банковским методикам управления рисками и моделям количественной оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями, в банковских группах для целей оценки активов, расчёта норматива достаточности собственных средств (капитала) и иных обязательных нормативов»

Page 29: Ключевые изменения законодательства по защите информации в НПС

Законопроект Аксакова – ПДн и банковская тайна

•  Законопроектом предлагается внести в пункт 2 статьи 857 ГК РФ, статью 26 ФЗ «О банках и банковской деятельности» и статьи 3 и 6 ФЗ «О персональных данных» изменения, расширяющие круг субъектов, которым могут быть предоставлены сведения, составляющие банковскую тайну

•  В соответствии с законопроектом сведения, составляющие банковскую тайну, могут предоставляться по поручению клиента абсолютно всем третьим лицам

•  Отзыв Правительства – негативный •  Первое чтение в Госдуме – в ноябре 2013 года

Page 30: Ключевые изменения законодательства по защите информации в НПС

Национальный операционный клиринговый центр

•  23.04.2013 в НП НПС состоялась встреча, в рамках которой Банк России рассказал членам НП НПС о работе по созданию в России национального операционного клирингового центра (НОКЦ)

•  Национальный операционный клиринговый центр создается Банком России в рамках реализации Стратегии развития НПС в целях исполнения требования ФЗ-161 об обязательном осуществлении платежными системами клиринга на территории России

•  Создание НОКЦ позволит снизить затраты на услуги эквайринга, обеспечит защиту НПС от возможных глобальных угроз, а также обезопасит клиентов от рисков утраты конфиденциальной информации и персональных данных –  Возвращаемся к идее НСПК

Page 31: Ключевые изменения законодательства по защите информации в НПС

Национальная система фрод-мониторинга

•  «Функциональность национального операционного клирингового центра, по мнению разработчиков, не будет уступать сервисам международных платежных систем. В перспективе национальный операционный клиринговый центр может также стать интегратором информации о платежах, которую можно будет использовать в формируемой НП «НПС» при поддержке Банка России национальной системе фрод-мониторинга. Национальный платежный совет намерен принять активное участие в обсуждении проекта создания НОКЦ, что позволит построить максимально прозрачный и эффективный механизм обработки платежей в России», – выразил мнение Президент НП «НПС» Андрей Емелин

Page 32: Ключевые изменения законодательства по защите информации в НПС

Стратегия развития НПС

•  Проект Плана мероприятий Банка России по реализации Стратегии развития национальной платежной системы

•  Предложения –  Разработка Банком России совместно с профессиональными объединениями участников рынка платежных услуг проекта федерального закона, предусматривающего в целях противодействия хищению денежных средств возможность оперативно реагировать на выявленные факты совершения незаконных операций, определяющих порядок и условия приостановления перевода денежных средств, упрощенный порядок возврата средств законным владельцам, а также устанавливающих специальные составы уголовно наказуемых деяний, связанных с незаконным распоряжением чужими денежными средствами, находящимися на счетах, и определяющих место совершения таких преступлений

Page 33: Ключевые изменения законодательства по защите информации в НПС

Стратегия развития НПС

•  Предложения –  Создание системы, в рамках которой пользователи системы могут осуществлять регулярный обмен информацией, содержащей идентификационные сведения о лицах, в отношении которых имеются подозрения в причастности к совершению несанкционированных операций (единая негосударственная информационная система о фактах мошеннических действий в национальной платежной системе)

–  Разработка требований и рекомендаций к программно-аппаратным средствам, осуществляющим сбор информации о платежных переводах, совершенных в безналичном порядке, от субъектов НПС, а также хранение, обработку, консолидацию и передачу данной информации в уполномоченные правоохранительные органы

Page 34: Ключевые изменения законодательства по защите информации в НПС

Стратегия развития НПС

•  Предложения –  Разработка рекомендаций по противодействию и предотвращению хищений денежных средств (указанные цели могут быть достигнуты через установление требований к самим субъектам платежных услуг и их отчетам, проведение аттестации и переаттестации (данные подходы аналогичны действующим в системе сертификации QSA PCI SSC))

Page 35: Ключевые изменения законодательства по защите информации в НПС

Когда?!

•  Изменения Председателя Правления Банка России •  Изменение состава зампредов •  Слияния отдельных департаментов Банка России •  Изменение в руководстве департаментов Банка России •  Слияние с ФСФР •  Непростая экономическая ситуация в России и необходимость обеспечения стабильности финансовой системы

Page 36: Ключевые изменения законодательства по защите информации в НПС

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 36

Благодарю вас за внимание

[email protected]