Upload
expolink
View
268
Download
7
Embed Size (px)
Citation preview
Перспективы изменения законодательства в области защиты
информации в НПС
Лукацкий Алексей, консультант по безопасности
Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность ИТ» (ISO SC27 в
России)
«Защита информации в
кредитных учреждениях»
«Защита информации»
при ФСТЭК
Разработка рекомендаций по ПДн, СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза документов
ПредложенияЭкспертиза и разработка документов
Экспертиза и разработка документов
Консультативныйсовет
РЕГУЛЯТОРЫ И ИХ ТРЕБОВАНИЯ
Регуляторы в области ИБ
ИБ
ФСТЭК
ФСБ
Минком-связь
МО
СВР
ФСО
ЦБPCI
Council
РКН
СовБез
МВД
МинЭнерго
В среднем появляется 4 нормативных акта в месяц
июнь
'2011
июль'2
011
авгу
ст'20
11
сент
ябрь
'2011
октя
брь'2
011
нояб
рь'20
11
декаб
рь'20
11
янва
рь'20
12
фев
раль'2
012
март'2
012
апре
ль'201
2
май'20
12
июнь
'2012
июль'2
012
авгу
ст'20
12
сент
ябрь
'2012
октя
брь'2
012
нояб
рь'20
12
декаб
рь'20
12
янва
рь'20
13
фев
раль'2
013
март'2
013
апре
ль'201
3
май'20
130
1
2
3
4
5
6
7
8
НПС/банки – в приоритете последних дней
59
17
10
8
10 2 1 1 1 1 1Все
НПС
Банки
Госорганы
Операторы связи
ТЭК
УК, ТСЖ, ЖК, ЖСК
Нотариусы
Организации, занимающиеся производством и реализацией защищенной от подделок полиграфической продукции
Судебные приставы
Органы исполнительной власти, осуществляющее управление в сфере образования
НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
Мы только в начале пути регулирования НПС
Структура основных нормативно-правовых актов по ИБ в НПС
Рекомендации АРБ и НПС по реагированию на инциденты
Положение Банка России 382-П от 09.06.2012
• Указание Банка России №3007-У от 05.06.2013 года «О внесении изменений в Положение Банка России от 9.06.2012 года №382-П»
Что в новой редакции 382-П?
• ОПДС, БПА обеспечивают регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения; при этом регистрации подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированной системы, программного обеспечения:– дата и время осуществления действия клиента;– идентификатор клиента;– код, соответствующий выполняемому действию; – идентификационная информация, используемая для адресации
устройства, с использованием которого осуществлен доступ к автоматизированной системе, ПО с целью осуществления переводов ДС, которой в зависимости от технической возможности является IP-адрес, МАС-адрес, номер sim-карты, номер телефона и (или) иной идентификатор устройства
Новые требования к оценщикам
• Установление требований и условий к организациям, осуществляющим оценку соответствия– Лицензия (если необходима)– Российское юрлицо– Не менее 3-х работников– Профильное образование– Стаж работы– Документально подтвержденный опыт проведения работ,
связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности
Развитие 203-й формы отчетности
• Указание Банка России от 21.06.2013 №3024-У «О внесении изменений в Указание Банка России от 09.06.2012 №2831-У»– Разделение на инциденты отчетного и предыдущих отчетных
периодов– Запрашиваются инциденты, зарегистрированные ОПДС, его
клиентами и БПА– Детализация классификации инцидентов– Введение суммы похищенных и намеченных к хищению средств– Детализация мест совершения инцидента (до 2-х десятков)– Подробное описание инцидентов (названия ПО, названия СЗИ,
имена операторов связи, названия АБС, названия сетевого оборудования и т.д.)
– Указание причин возникновения инцидентов– Уточнение вопросов взаимодействия с правоохранительными
органами
Текущий и предыдущий отчетные периоды
Письмо 34-Т от 01.03.2013
• О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов
• Оснащение специальным ПО для выявления и предотвращения атак
• Обнаружение, фиксация атак и их попыток
• Регулярный контроль действия обслуживающих организаций
• Анализ и выявление уязвимостей после атак или попыток их совершения
• …
Что думает Банк России о защищенности банкоматов?
• В настоящее время Департамент регулирования расчетов Банка России прорабатывает вопрос о выпуске документа, содержащего рекомендации по повышению уровня безопасного использования банкоматов и платежных терминалов
• В перспективе указанный проект может быть взят за основу при разработке документа в статусе рекомендаций в области стандартизации в рамках соответствующих подкомитетов ТК122 по стандартизации «Стандарты финансовых операций»
Письмо 146-Т от 05.08.2013
• О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет»
• Рекомендации предназначены для использования кредитными организациями, являющимися операторами по переводу денежных средств, и привлекаемыми ими банковскими платежными агентами в целях повышения уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет»
Что планирует Банк России в части ПДн?
• Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»
• Актуализация РС 2.3– После выпуска и изучения
документов ФСТЭК и ФСБ• Переподписание «письма шести»
– После актуализации СТО БР
Планы по развитию СТО БР ИББС
• Новая редакция СТО БР ИББС 1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»– Уже разработана и оценивается экспертами ТК122
• Новая редакция СТО БР ИББС 1.2 "Методика оценка соответствия СТО БР ИББС 1.0»– Уже разработана и оценивается экспертами ТК122– Синхронизация с методикой оценки по 382-П
19
Новые РС в рамках СТО БР ИББС
• Готовится новая РС «Ресурсное обеспечение информационной безопасности»– Как объяснить руководству/акционерам, зачем нужна ИБ и
сколько тратить?• Готовится новая РС «Требования по к обеспечению
информационной безопасности на стадиях жизненного цикла банковских приложений»– Минимальный набор требований к приложениям
• Готовится новая РС «Менеджмент инцидентов информационной безопасности»– Не просто реагирование, а весь жизненный цикл инцидента– Дополнит методичку АРБ и НПС
Что у нас с управлением инцидентами?
Анализ кода АБС станет обязательным?
• Детальные рекомендации по организации работ по созданию АБС, их модернизации и выводу из эксплуатации, формированию требований ИБ, предъявляемых к создаваемым системам, контролю исполнения требований ИБ и оценке их защищенности в ходе эксплуатации
• Рекомендации по составу типовых функциональных требований ИБ, предъявляемых к различным составным частям АБС, а также рекомендации по составу, содержанию и порядку проведения работ по оценке защищенности АБС
Какие стандарты готовятся в 2013-м году в ТК122
• Стандарт «Руководство по хорошим практикам обеспечения защиты информации при оказании услуг дистанционного банковского облуживания»
• Стандарт «Разработка электронных средств платежа. Безопасность программного обеспечения электронных средств платежа»
• Стандарт «Обеспечение безопасности при использовании электронных средств платежа и дистанционного банковского обслуживания»
• Проект РС «Разработка системы документационного обеспечения сертификации систем дистанционного банковского обслуживания, включая электронные средства платежа»
• Стандарт «Требования по безопасности для технологий мобильного банкинга»
Единое пространство доверия с операторами связи
• Инфраструктура многих операторов связи используется при оказании услуг по переводу денежных средств (как минимум, ДБО)
• Минкомсвязь совместно с Банком России решило вернуться к теме «Базового уровня информационной безопасности операторов связи» (он же рекомендации ITU-T X.sbno) и сделать именно эти требования (с некоторыми доработками) условием подключения (выбора) банков к инфраструктуре оператора связи
• При этом Банком России будут разработаны рекомендации по выбору именно тех операторов, которые прошли процедуру добровольной сертификации на соответствие «базовому уровню»
24
Банк России и PCI DSS?
• 7 ноября 2013 года будет опубликован PCI/PA DSS 3.0– Вступление в силу с 01.01.2014
• Банк России (через НП АБИСС) осуществил перевод 10 документов PCI DSS 2.0:– аутентичный перевод на русский язык PCI DSS и сопутствующих
документов, официально признаваемый PCI Council– размещение перевода и поддержка его в актуальном состоянии
при изменений версий стандарта PCI DSS на сайте PCI Council– использование перевода для более эффективного внедрения PCI
DSS в РФ для участников международных платежных систем– использование перевода как основы для разработки Банком
России национальных требований и рекомендаций к индустрии платежных карт
• Вопрос разработки нормативного акта Банка России по безопасности платежных карт остается открытым
Изменения на уровне федерального законодательства
• ФЗ-251 от 23.07.2013 «О внесении изменении в некоторые законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков»– Изменения в части доступа Банка России к ПДн, банковской
тайне и на территорию подведомственных организаций• Планы по изменению ст.9 ФЗ-161 «О национальной платежной
системы»• Поправки в ФЗ о банках и банковской деятельности и «О
центральном банке»– Право Банка России устанавливать нормативы по управлению и
оценке операционных рисков– Указание от 25.06.2012 №2840-У по операционным рискам
Новости регулирования управления рисками
• Законопроекты «О внесении изменений в федеральные законы «О банках и банковской деятельности» и «О Центральном банке Российской Федерации (Банке России)»– Кредитная организация, банковская группа и банковский холдинг
обязаны будут ежеквартально публиковать информацию о принимаемых рисках, процедурах их оценки, управления рисками
– На Совет директоров кредитной организации возлагается обязанность по применению банковских методик управления рисками и моделей количественной оценки рисков, включая оценку активов
– Кредитная организация (головная кредитная организация банковской группы) обязана соблюдать установленные Банком России требования к системам управления рисками и капиталом, внутреннего контроля кредитных организаций, в банковских группах (это новая статья 111-2)
Новости регулирования управления рисками
• Законопроекты «О внесении изменений в федеральные законы «О банках и банковской деятельности» и «О Центральном банке Российской Федерации (Банке России)»– Кредитная организация обязана создавать резервы на покрытие
различных рисков– Полномочия на установление требований к системе управления
рисками и оценку ее качества возлагаются на Банк России. Он же «устанавливает требования к банковским методикам управления рисками и моделям количественной оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями, в банковских группах для целей оценки активов, расчёта норматива достаточности собственных средств (капитала) и иных обязательных нормативов»
Законопроект Аксакова – ПДн и банковская тайна
• Законопроектом предлагается внести в пункт 2 статьи 857 ГК РФ, статью 26 ФЗ «О банках и банковской деятельности» и статьи 3 и 6 ФЗ «О персональных данных» изменения, расширяющие круг субъектов, которым могут быть предоставлены сведения, составляющие банковскую тайну
• В соответствии с законопроектом сведения, составляющие банковскую тайну, могут предоставляться по поручению клиента абсолютно всем третьим лицам
• Отзыв Правительства – негативный• Первое чтение в Госдуме – в ноябре 2013 года
Национальный операционный клиринговый центр
• 23.04.2013 в НП НПС состоялась встреча, в рамках которой Банк России рассказал членам НП НПС о работе по созданию в России национального операционного клирингового центра (НОКЦ)
• Национальный операционный клиринговый центр создается Банком России в рамках реализации Стратегии развития НПС в целях исполнения требования ФЗ-161 об обязательном осуществлении платежными системами клиринга на территории России
• Создание НОКЦ позволит снизить затраты на услуги эквайринга, обеспечит защиту НПС от возможных глобальных угроз, а также обезопасит клиентов от рисков утраты конфиденциальной информации и персональных данных– Возвращаемся к идее НСПК
Национальная система фрод-мониторинга
• «Функциональность национального операционного клирингового центра, по мнению разработчиков, не будет уступать сервисам международных платежных систем. В перспективе национальный операционный клиринговый центр может также стать интегратором информации о платежах, которую можно будет использовать в формируемой НП «НПС» при поддержке Банка России национальной системе фрод-мониторинга. Национальный платежный совет намерен принять активное участие в обсуждении проекта создания НОКЦ, что позволит построить максимально прозрачный и эффективный механизм обработки платежей в России», – выразил мнение Президент НП «НПС» Андрей Емелин
Стратегия развития НПС
• Проект Плана мероприятий Банка России по реализации Стратегии развития национальной платежной системы
• Предложения– Разработка Банком России совместно с профессиональными
объединениями участников рынка платежных услуг проекта федерального закона, предусматривающего в целях противодействия хищению денежных средств возможность оперативно реагировать на выявленные факты совершения незаконных операций, определяющих порядок и условия приостановления перевода денежных средств, упрощенный порядок возврата средств законным владельцам, а также устанавливающих специальные составы уголовно наказуемых деяний, связанных с незаконным распоряжением чужими денежными средствами, находящимися на счетах, и определяющих место совершения таких преступлений
Стратегия развития НПС
• Предложения– Создание системы, в рамках которой пользователи системы могут
осуществлять регулярный обмен информацией, содержащей идентификационные сведения о лицах, в отношении которых имеются подозрения в причастности к совершению несанкционированных операций (единая негосударственная информационная система о фактах мошеннических действий в национальной платежной системе)
– Разработка требований и рекомендаций к программно-аппаратным средствам, осуществляющим сбор информации о платежных переводах, совершенных в безналичном порядке, от субъектов НПС, а также хранение, обработку, консолидацию и передачу данной информации в уполномоченные правоохранительные органы
Стратегия развития НПС
• Предложения– Разработка рекомендаций по противодействию и предотвращению
хищений денежных средств (указанные цели могут быть достигнуты через установление требований к самим субъектам платежных услуг и их отчетам, проведение аттестации и переаттестации (данные подходы аналогичны действующим в системе сертификации QSA PCI SSC))
Когда?!
• Изменения Председателя Правления Банка России• Изменение состава зампредов• Слияния отдельных департаментов Банка России• Изменение в руководстве департаментов Банка России• Слияние с ФСФР• Непростая экономическая ситуация в России и необходимость
обеспечения стабильности финансовой системы
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 36
Благодарю вас за внимание