Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Итоги VII Магнитогорского форума ИБ банков. Часть 3. ЦБ РФ

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Опубликовано в:
Пожалуй самыми ожидаемыми докладами на VII Уральском форуме "Информационная безопасность банков" были презентации сотрудников Банка России (и близких им). Я говорю вот про эти презентации:
  • Перспективные направления обеспечения ИБ в финансовой сфере. Сычев Артем Михайлович, заместитель начальника ГУБиЗИ Банка России (презентация)
  • Актуальные и перспективные направления работы комитета по банковской безопасности АРБ. Велигура Александр Николаевич, председатель комитета по банковской безопасности АРБ (презентация)
  • О вопросах соблюдения требований информационной безопасности при передаче уполномоченным представителям Банка России в ходе проверок кредитных организаций (их филиалов) учетно-операционной и иной информации. Ярулин Ринат Зинатулович, начальник Управления информационного обеспечения Главной инспекции Банка России (презентация)
  • Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг. Батырев Тимур Кабирович, заместитель директора Департамента национальной платежной системы (презентация)
  • Расширение электронного взаимодействия на финансовых рынках. Новые возможности и сопутствующие риски. Короп Станислав Вячеславович, советник Департамента сбора и обработки отчетности некредитных финансовых организаций Банка России (презентация)
  • Трансформация ИТ: Основные принципы и направления развития ИТ. Тищенко Максим Владимирович, и.о. директора Департамента информационных технологий Банка России (презентация)
  • Совершенствование нормативно-методической базы обеспечения информационной безопасности в организациях финансового сектора. Выборнов Андрей Олегович, начальник отдела методологии обеспечения безопасности информационных ресурсов ГУБЗИ Банка России (презентация)
Итак, попробуем обобщить основные моменты.
 
Про совершенствование законодательства
  • Банк России готовит предложения по совершенствованию законодательства РФ, направленные на противодействие осуществлению несанкционированных операций, связанных с переводом денежных средств с использованием электронных средств платежа, в том числе путем незаконного вмешательства в электронные платежные и информационные системы. В марте предложения должны уйти к ответственному исполнителю (МВД России).
  • По 161-ФЗ предлагают следующие изменения:
    • Предполагается законодательно закрепить термин "несанкционированная операция" (по сути, финансовая операция, проведенная без согласия клиента, но с использованием его аутентификационных данных).
    • Собираются предусмотреть обязанность клиента незамедлительно уведомлять оператора по переводу денежных средств (банк) о компрометации аутентификационной информации (о ставших известными фактах несанкционированного доступа).
    • Устанавливается порядок действия оператора в случае выявления несанкционированных операций с целью возврата денежных средств владельцу (по сути, легализация действий при использовании антифрод систем).
    • Определяется порядок возврата денежных средств при доказанности факта, что перевод был осуществлен без согласия клиента. 
    • Закрепляется право банка обращаться в Арбитражный суд для целей установления юридического факта осуществления перевода или списания денежных средств без согласия клиента.
    • Устанавливаются полномочия Банка России по определению порядка раскрытия кредитными организациями и операторами платежных систем информации об операциях и счетах клиентов с целью предотвращения совершения и выявления несанкционированных операций. Это делается, в том числе, чтобы придать юридическую основу деятельности FinCERT по сбору необходимой информации.
  • Аналогично в ФЗ №395-1 предполагается прописать положения про передачу необходимой информации, в том числе и составляющей банковскую тайну, в FinCERT.
  • В УК РФ предлагается усилить наказание за мошенничество при использовании электронных средств платежа, а также изготовление или сбыт поддельных средств платежа или платежных документов. Помимо этого собираются ввести новые составы преступлений, позволяющие криминализировать такие деяния как: незаконное завладение средством доступа к банковскому счету, а также приобретение, распространение, и установка устройств, позволяющих получать незаконный доступ к электронным средствам платежа или банковскому счету.
  • В УПК РФ планируют внести уточнения про место совершения преступлений, а в АПК РФ добавить положения про порядок рассмотрения дел про несанкционированные операции.
  • Отдельно упомянули, что депутатом Климовым был внесен законопроект на противодействие скиммингу, но он получил отрицательное заключение в аппарате Правительства. 
Про стандарты и нормативные акты ЦБ РФ
  • По сути, основные новости и планы отражены на вот этом слайде:
  • Так, нам напомнили, что в 2014 году были обновлены 2 стандарта (СТО БР ИББС-1.0-2014 "Общие положения" и СТО БР ИББС-1.2-2014 "Методика оценки соответствия...") и утверждены 2 новые РСки: РС БР ИББС-2.5-2014 "Менеджмент инцидентов ИБ" и РС БР ИББС-2.6-2014 "Обеспечение ИБ на стадиях жизненного цикла АБС".
  • Буквально на днях были приняты следующие новые РСки: РС БР ИББС-2.7-2015 "Ресурсное обеспечение ИБ" и РС БР ИББС-2.8-2015 "Требования к обеспечению информационной безопасности при использовании технологий виртуализации" (точное название не знаю, но вроде бы такое). Документы скоро будут доступны на сайте ЦБ РФ.
  • Рекомендации по ресурсному обеспечению - довольно интересный, но противоречивый документ, о положениях которого можно долго спорить. В нем заложены революционные идеи, которые еще ни разу не были озвучены российскими регуляторами. В частности, документ определяет перечень процессов, необходимых для обеспечения информационной безопасности, а также модель зрелости этих процессов (аналогичную модели CMMI и COBIT4.1). Помимо этого модель зрелость процессов накладывается на модель оценки рисков ИБ, и влияет на итоговую актуальность угроз нарушения информационной безопасности. Но и это не главное. В документе зафиксированы основные задачи службы информационной безопасности и определяется подход к расчету необходимых ресурсов для их выполнения (а точнее на повышение уровня зрелости процессов), в том числе и по количеству человеко-часов в год. После опубликования документа я планирую написать большой пост про него.
  • Подготовлен проект рекомендаций РС БР ИББС-2.9 "Предотвращение утечек информации". В ближайшее время документ вынесут на рассмотрение подкомитета в рамках ТК122 и планируют в течение полугода закончить работу и утвердить его. Документ достаточно интересный, он рассматривает основные каналы утечки и определяет перечень мер по обеспечению предотвращения инцидентов информационной безопасности, связанных с действиями внутренних нарушителей.
  • В планах разработать еще несколько РСок:
    • Противодействие мошенничеству при осуществлении платежных операций
    • Распределения ролей ИБ (по сути, реинкарнация старых наработок по теме)
    • Обеспечения ИБ при использовании облачных технологий и аутсорсинга
    • Установления правил выявления и расследования инцидентов ИБ, связанных с функционированием автоматизированных банковских систем и приложений, применяемых в национальной платежной системе
  • Также думают о том, распространить область действия СТО БР ИББС 1.0 и 1.2 на все организации финансового рынка. Для обсуждения этой инициативы собираются расширить подкомитет №1 в рамках ТК 122 новыми членами.
  • Ожидается пересмотр документов (стандартов и рекомендаций) 2007 и 2009 года. Ждут и собирают предложения. Сейчас уже получили про аудит.
  • А вот про развитие нормативных актов Банка России рассказали очень мало и только общие слова, все есть на этом слайде:
 
Про FinCERT
  • FinCERTу быть. Решение о нем принято давно, но пока не успели внести необходимые изменения в нормативно-правовые акты РФ. Ожидаем запуск центра реагирования в полном объеме в конце мая. Но так как конкретной информации о нем пока мало (хм, концепция до конца не сформирована?), то, полагаю, что с этим могут быть задержки.
  • При построении FinCERT ведется плотное взаимодействие со ФСТЭК России, ФСБ России и МВД России. FinCERT будет взаимодействовать с ГосСОПКА.
Про надзор, отчетность и инциденты
  • Основные процессы предоставления отчетности:
 

  • Существует вероятность, что после введения в действие FinCERT будет пересмотрен процесс подачи отчетности по 203 форме (а может и по 258).
Про отраслевую модель угроз ПДн
  • Проект отраслевой модель угроз, которую уже давно разработали и согласовали со ФСТЭК России, но не смогли с ФСБ России, снова пересмотрели (с учетом выхода Приказа ФСБ России №378 и мнений банковского сообщества). Сейчас опять запустили на согласование с регуляторами и, в очередной раз, надеемся, что в этом году мы получим финальную версию.
  • Документ рассчитан на его использование не только банками, но и некредитными финансовыми организациям.
  • Обратите внимание, что позиция ЦБ РФ немного изменилась. Ранее банкам рекомендовалось определять, что для них актуальны угрозы 3 типа. Сейчас же банкам необходимо самостоятельно принимать такое решение и обосновывать его. По сути, угрозы НДВ сейчас рассматриваются в качестве "чуть более актуальных", чем ранее...
Прочее
 
  • Большинство банков формально попадают под термин КВО (критически важный объект), а значит и под соответствующие требования (например, обязательство по подключению к ГосСОПКА).
  • По оценкам ЦБ РФ в отрасли сейчас используется порядка 40% прикладного ПО зарубежного производства. А зарубежных баз данных, ОС, аппаратно-программного обеспечения используется порядка 95%.
  • ЦБ РФ видит следующие основные риски ИБ:
    • Риск правонарушений, связанных с неправомерным распоряжением финансовыми средствами. 
    • Риск воздействия криминального элемента на автоматизированные системы и препятствие устойчивому функционированию не только платежных систем, но и систем, обслуживающих банки. Вспоминали про DDoS сайтов банков (Сбербанк России, Уралсиб, Россельхозбанк, АльфаБанк).
    • Риск социальных сетей и массовое распространение негативной информации в Интернете. Вспоминали про попытки сформировать панические настроения у клиентов некоторых коммерческих банков. 
    • Риск усиления политического давления на экономику РФ через отключение финансовых сервисов.
    • Риск преднамеренного воздействия на автоматизированные системы с целью политического и экономического давления. Проблема "дырявого" программного обеспечения с большим количеством ошибок, использование иностранного программного обеспечения и аппаратного обеспечения в массовом порядке.
  • Упоминалась возможность создания СРО (саморегулируемая организация), в которую будут входить банки и разработчики ПО. Основной задачей СРО будет контроль качества разработки банковского ПО.
  • Рассказали, что было проведено совещание Совета безопасности по тематике обеспечения ИБ в НПС. Проблема доведена до первого лица государства. Но конкретно про выработанные решения не рассказали...
  • Кратко упомянули про проблему аккредитации УЦ банков. Позиция Минкомсвязь России была простая, хотели чтобы в уставах кредитных организаций деятельность УЦ была выделена как отдельная задача. Было сформирована позиция ЦБ РФ по данному вопросу и согласована с регулятором. К сожалению, я подробностей не знаю (а есть ли документ?), а то дал бы ссылку.
  • Еще мельком упомянули про создание национальной системы платежных карт (НСПК) и системы передачи финансовых сообщений (СПФС). Для делается для снижения риска зависимости от иностранных платежных сервисов. Требования к обеспечению безопасности НСПК будут гораздо серьезнее, чем даже к платежной системе Банка России. В частности, необходима будет сертификация СЗИ по 3му уровню контроля НДВ.
  • Пару слайдов про ИТ Банка России (может кому пригодится):






Еще по теме рекомендую посмотреть заметку Алексея Лукацкого "Новости Банка России из Магнитогорска" и мои другие посты:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.