Уффф, закончилась неделя VII Уральского форума "Информационная безопасность банков" , пора подводить его итоги. Те, кто подписан на мой твиттер , уже могли прочитать основные тезисы и увидеть некоторые слайды презентаций ( хеш-тэг #ibbank ).
Как и в прошлом году , было очень много полезного и интересного контента, за что надо сказать спасибо организаторам и отдельно Артему Сычеву и Алексею Лукацкому. Я посетил большую часть докладов и отметил для себя некоторые озвученные новости и идеи.
В этом посте я расскажу про основные тезисы из доклада Совета Федерации, РКН и ФСТЭК России.
Совет Федерации
- В основном говорили про общие какие-то моменты, например, что "количество кибератак возрастает" (кстати, термины "кибератака", "киберугрозы", "кибербезопасность" в российских нормативных документах не используются, концепция стратегии кибербезопасности, которую обсуждали в прошлом году, забыта, новые документы не разрабатываются), вспоминали про низкую компетентность и компьютерную грамотность пользователей, безопасность детей в сети Интернет. Ни чего конкретного и полезного.
- Наиболее значимым событием уходящего года считают реализацию совместного проекта с РАЭК и Министерством образования и науки Российской Федерации и партнерами (например, Яндекс) по проведению урока по кибербезопасности. В нем приняли участие 11 000 000 детей. Для этого, кстати, подготовили довольно толковые методические рекомендации (их можно посмотреть тут ), особо полезным в них является Приложение 2 с перечнем информационных Интернет-ресурсы образовательного назначения.
РКН
- Более 90% организаций из реестра ЦБ РФ зарегистрированы в реестре РКН (по ПДн). При этом менее 60% операторов правильно подали сведения про трансграничную передачу ПДн.
- РКН получил более 20 000 обращений граждан в 2014, в 2013 чуть более 10 000. Из них жалобы на банковскую сферу составили 30%.
- 9% жалоб субъектов ПДн на организации банковской сферы соответствуют действительности, доводы заявителей подтверждены. Этот показатель ниже среднего от общего количества жалоб.
- 2 основных причины обращений граждан:
- взаимоотношение банковских учреждений и коллекторских агентств по взысканию задолженностей;
- неактуальность информации о заемщиках, которая имеется у кредитных организаций, первую очередь, контактной информации (по сути, звонят не тем).
- РКН отходит от плановых проверок, их количество сокращено в 2 раза по отношению к 2013 году. Делают упор напроведение мероприятий систематического наблюдения.
- Вспомнили про законопроект про штрафы по ПДн. Опять ждем...
- Напомнили, что были внесены изменения в перечень стран, обеспечивающих адекватную защиту ПДн. Из него были исключены Швейцарская Конфедерация и Специальный административный район Гонконг Китайской Народной Республики (см.Приказ Роскомнадзора от 15.03.2013 N 274 (ред. от 29.10.2014) "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных"). Кстати, что-то на сайте РКН не смог найти актуальный перечень, странно...
- Напомнили, что были внесены изменения в приказ Минкомсвязи России (Министерство связи и массовых коммуникаций РФ) от 14 ноября 2011 г. №312 "Об утверждении административного регламента..." (актуальная редакция от 08.10.2014). В частности, были ИСКЛЮЧЕНЫ 2 основания для проведения внеплановых проверок, а именно:
- 38.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.
- 38.5. Нарушение Операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.
- Кратко упомянули 242-ФЗ и объявили, что будет проведен ряд совещаний с представителями различных отраслей по поводу его применения. С банковской отраслью такое совещание будет в марте.
- Также напомнили, что с 1 сентября 2015 года 242-ФЗ вступает в силу, и что он дополнил Федеральный закон от 26 декабря 2008 года N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" в части ИСКЛЮЧЕНИЙ. Так положения 294 закона НЕ БУДУТ применяться при осуществлении следующего контроля (надзора): "19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети "Интернет"; 20) контроль и надзор за обработкой персональных данных.". Соответственно, планируют утвердить документ, определяющий порядок такого контроля. Работа над ним уже идет, скоро будет общественное обсуждение. Помимо этого планируют разработать реестр нарушителей (упоминают о нем как о документе, хотя это странно).
ФСТЭК России
- Я очень удивился, когда Лютиков В.С. показал новую презентацию, а не те, что были на конференции ФСТЭК России, про которую я писал тут и тут . Очень неожиданно и приятно. Презентация была про один из "актуальных вопросов - обеспечение безопасности ПО". Лютиков В.С. рассказал про деятельность, которую осуществляет ФСТЭК России по данному направлению.
- В своих рекомендациях ФСТЭК России ориентируется в первую очередь на государственный сектор, но они будут полезны и для других отраслей.
- Представили сводную из разных источников аналитику по уязвимостям:
- Упоминали про типовые ошибки в ПО:
- ФСТЭК России ориентируется на международные стандарты и "лучшие практики": ГОСТ 15408, ГОСТ 18045, ГОСТ 27001; Microsoft SDL, CISCO SDL, CWA SP, CLA SP ; OpenSAMM; ISO 27034.
- Много говорили про безопасную разработку ПО (SDL). "Только отдельные производители/разработчики программного обеспечения в России начинают делать первые шаги по внедрению процедуры безопасной обработки."
- ФСТЭК России определила следующие направления работ по данной теме.
- Проводят работы по повышению качества проведения оценки соответствия программного обеспечения (в рамках сертификации). В новых требованиях по сертификации включены компоненты доверия, связанные с анализом уязвимостей на этапах разработки и производства. Это про 15408...
- Разработаны ГОСТы по выявлению уязвимостей:
- "Защита информации. Уязвимости информационных систем. Калассификация уязвимостей информационных систем." - документ готов и направлен в Росстандарт.
- "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей." - скоро будет направлен в Росстандарт.
- "Защита информации. Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем." - скоро будет направлен в Росстандарт.
- Подготовлены рекомендации по проведению обновления ПО (проект документа тут , а итоговый вроде пока не утвердили, поправьте меня если ошибаюсь).
- Разработан проект ГОСТа "Защита информации. Безопасная разработка программного обеспечения. Общие положения." Окончательная редакция будет готова в апреле 2015 года, а передача в Росстандарт запланирована на конец 2015.
- Как и в прошлый раз , упомянули про базу угроз и уязвимостей, которую подготовили и планируют предоставить доступ к которой в марте этого года. Что интересно, в конце своей презентации Лютиков В.С. сказал следующую фразу, которую многие могли пропустить: "Разработчикам программного обеспечения и производителям программного обеспечения мы будем сначала рекомендовать использовать этот ресурс, но, а в последующем, будем подходить к тому, что бы его учет был обязательным, по крайней мере, в части обязательной системы сертификации СЗИ.". Хм, будут выстраивать новые процессы взаимодействия с вендорами при сертификации?
- Кстати, несколько раз упоминалось, что многие (или даже большинство) финансовых организаций попадают под КВО/КИИ, а это значит, что придется ориентироваться на соответствующие требования ФСТЭК России и других регуляторов.
На этом пока все, ждите новые посты про итоги #ibbank. Пока, для затравки, можете посмотреть запись итоговой обобщающей презентации Алексея Лукацкого .
