Перспективы изменения законодательства в области защиты
информации в НПС
Лукацкий Алексей, консультант по безопасности
Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность ИТ» (ISO SC27 в
России)
«Защита информации в кредитных
учреждениях»
«Защита информации» при ФСТЭК
Разработка рекомендаций по ПДн, СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза документов Предложения Экспертиза и
разработка документов
Экспертиза и разработка документов
Консультативный совет
РЕГУЛЯТОРЫ И ИХ ТРЕБОВАНИЯ
Регуляторы в области ИБ
ИБ
ФСТЭК
ФСБ
Минком-связь
МО
СВР
ФСО
ЦБ
PCI Council
РКН
СовБез
МВД
МинЭнерго
В среднем появляется 4 нормативных акта в месяц
0
1
2
3
4
5
6
7
8
НПС/банки – в приоритете последних дней
59
17
10
8 10
2 1 1 1 1 1 Все
НПС
Банки
Госорганы
Операторы связи
ТЭК
УК, ТСЖ, ЖК, ЖСК
Нотариусы
НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
Мы только в начале пути регулирования НПС
Структура основных нормативно-правовых актов по ИБ в НПС
Рекомендации АРБ и НПС по реагированию на инциденты
Положение Банка России 382-П от 09.06.2012
• Указание Банка России №3007-У от 05.06.2013 года «О внесении изменений в Положение Банка России от 9.06.2012 года №382-П»
Развитие 203-й формы отчетности
• Указание Банка России от 21.06.2013 №3024-У «О внесении изменений в Указание Банка России от 09.06.2012 №2831-У» – Разделение на инциденты отчетного и предыдущих отчетных периодов
– Запрашиваются инциденты, зарегистрированные ОПДС, его клиентами и БПА
– Детализация классификации инцидентов – Введение суммы похищенных и намеченных к хищению средств – Детализация мест совершения инцидента (до 2-х десятков) – Подробное описание инцидентов (названия ПО, названия СЗИ, имена операторов связи, названия АБС, названия сетевого оборудования и т.д.)
– Указание причин возникновения инцидентов – Уточнение вопросов взаимодействия с правоохранительными органами
Письмо 34-Т от 01.03.2013
• О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов
• Оснащение специальным ПО для выявления и предотвращения атак
• Обнаружение, фиксация атак и их попыток
• Регулярный контроль действия обслуживающих организаций
• Анализ и выявление уязвимостей после атак или попыток их совершения
• …
Что думает Банк России о защищенности банкоматов?
• В настоящее время Департамент регулирования расчетов Банка России прорабатывает вопрос о выпуске документа, содержащего рекомендации по повышению уровня безопасного использования банкоматов и платежных терминалов
• В перспективе указанный проект может быть взят за основу при разработке документа в статусе рекомендаций в области стандартизации в рамках соответствующих подкомитетов ТК122 по стандартизации «Стандарты финансовых операций»
Письмо 146-Т от 05.08.2013
• О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет»
• Рекомендации предназначены для использования кредитными организациями, являющимися операторами по переводу денежных средств, и привлекаемыми ими банковскими платежными агентами в целях повышения уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет»
Что планирует Банк России в части ПДн?
• Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»
• Актуализация РС 2.3 – После выпуска документов ФСТЭК и ФСБ
• Переподписание «письма шести» – После актуализации СТО БР
Планы по развитию СТО БР ИББС
• Новая редакция СТО БР ИББС 1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» – Уже разработана и оценивается экспертами ТК122
• Новая редакция СТО БР ИББС 1.2 "Методика оценка соответствия СТО БР ИББС 1.0» – Уже разработана и оценивается экспертами ТК122 – Синхронизация с методикой оценки по 382-П
16
Новые РС в рамках СТО БР ИББС
• Готовится новая РС «Ресурсное обеспечение информационной безопасности» – Как объяснить руководству/акционерам, зачем нужна ИБ и сколько тратить?
• Готовится новая РС «Требования по к обеспечению информационной безопасности на стадиях жизненного цикла банковских приложений» – Минимальный набор требований к приложениям
• Готовится новая РС «Менеджмент инцидентов информационной безопасности» – Не просто реагирование, а весь жизненный цикл инцидента – Дополнит методичку АРБ и НПС
Какие стандарты готовятся в 2013-м году в ТК122
• Стандарт «Руководство по хорошим практикам обеспечения защиты информации при оказании услуг дистанционного банковского облуживания»
• Стандарт «Разработка электронных средств платежа. Безопасность программного обеспечения электронных средств платежа»
• Стандарт «Обеспечение безопасности при использовании электронных средств платежа и дистанционного банковского обслуживания»
• Проект РС «Разработка системы документационного обеспечения сертификации систем дистанционного банковского обслуживания, включая электронные средства платежа»
• Стандарт «Требования по безопасности для технологий мобильного банкинга»
Единое пространство доверия с операторами связи
• Инфраструктура многих операторов связи используется при оказании услуг по переводу денежных средств (как минимум, ДБО)
• Минкомсвязь совместно с Банком России решило вернуться к теме «Базового уровня информационной безопасности операторов связи» (он же рекомендации ITU-T X.sbno) и сделать именно эти требования (с некоторыми доработками) условием подключения (выбора) банков к инфраструктуре оператора связи
• При этом Банком России будут разработаны рекомендации по выбору именно тех операторов, которые прошли процедуру добровольной сертификации на соответствие «базовому уровню»
19
Банк России и PCI DSS?
• 7 ноября 2013 года будет опубликован PCI/PA DSS 3.0 – Вступление в силу с 01.01.2014
• Банк России (через НП АБИСС) осуществил перевод 10 документов PCI DSS 2.0: – аутентичный перевод на русский язык PCI DSS и сопутствующих документов, официально признаваемый PCI Council
– размещение перевода и поддержка его в актуальном состоянии при изменений версий стандарта PCI DSS на сайте PCI Council
– использование перевода для более эффективного внедрения PCI DSS в РФ для участников международных платежных систем
– использование перевода как основы для разработки Банком России национальных требований и рекомендаций к индустрии платежных карт
• Вопрос разработки нормативного акта Банка России по безопасности платежных карт остается открытым
Изменения на уровне федерального законодательства
• ФЗ-251 от 23.07.2013 «О внесении изменении в некоторые законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков» – Изменения в части доступа Банка России к ПДн, банковской тайне и на территорию подведомственных организаций
• Планы по изменению ст.9 ФЗ-161 «О национальной платежной системы»
• Поправки в ФЗ о банках и банковской деятельности и «О центральном банке» – Право Банка России устанавливать нормативы по управлению и оценке операционных рисков
– Указание от 25.06.2012 №2840-У по операционным рискам
Национальный операционный клиринговый центр
• 23.04.2013 в НП НПС состоялась встреча, в рамках которой Банк России рассказал членам НП НПС о работе по созданию в России национального операционного клирингового центра (НОКЦ)
• Национальный операционный клиринговый центр создается Банком России в рамках реализации Стратегии развития НПС в целях исполнения требования ФЗ-161 об обязательном осуществлении платежными системами клиринга на территории России
• Создание НОКЦ позволит снизить затраты на услуги эквайринга, обеспечит защиту НПС от возможных глобальных угроз, а также обезопасит клиентов от рисков утраты конфиденциальной информации и персональных данных – Возвращаемся к идее НСПК
Национальная система фрод-мониторинга
• «Функциональность национального операционного клирингового центра, по мнению разработчиков, не будет уступать сервисам международных платежных систем. В перспективе национальный операционный клиринговый центр может также стать интегратором информации о платежах, которую можно будет использовать в формируемой НП «НПС» при поддержке Банка России национальной системе фрод-мониторинга. Национальный платежный совет намерен принять активное участие в обсуждении проекта создания НОКЦ, что позволит построить максимально прозрачный и эффективный механизм обработки платежей в России», – выразил мнение Президент НП «НПС» Андрей Емелин
Стратегия развития НПС
• Проект Плана мероприятий Банка России по реализации Стратегии развития национальной платежной системы
• Предложения – Разработка Банком России совместно с профессиональными объединениями участников рынка платежных услуг проекта федерального закона, предусматривающего в целях противодействия хищению денежных средств возможность оперативно реагировать на выявленные факты совершения незаконных операций, определяющих порядок и условия приостановления перевода денежных средств, упрощенный порядок возврата средств законным владельцам, а также устанавливающих специальные составы уголовно наказуемых деяний, связанных с незаконным распоряжением чужими денежными средствами, находящимися на счетах, и определяющих место совершения таких преступлений
Стратегия развития НПС
• Предложения – Создание системы, в рамках которой пользователи системы могут осуществлять регулярный обмен информацией, содержащей идентификационные сведения о лицах, в отношении которых имеются подозрения в причастности к совершению несанкционированных операций (единая негосударственная информационная система о фактах мошеннических действий в национальной платежной системе)
– Разработка требований и рекомендаций к программно-аппаратным средствам, осуществляющим сбор информации о платежных переводах, совершенных в безналичном порядке, от субъектов НПС, а также хранение, обработку, консолидацию и передачу данной информации в уполномоченные правоохранительные органы
Стратегия развития НПС
• Предложения – Разработка рекомендаций по противодействию и предотвращению хищений денежных средств (указанные цели могут быть достигнуты через установление требований к самим субъектам платежных услуг и их отчетам, проведение аттестации и переаттестации (данные подходы аналогичны действующим в системе сертификации QSA PCI SSC))
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 27
Благодарю вас за внимание