Итоги VII Магнитогорского форума ИБ банков. Часть 3. ЦБ РФ

Пожалуй самыми ожидаемыми докладами на VII Уральском форуме "Информационная безопасность банков" были презентации сотрудников Банка России (и близких им). Я говорю вот про эти презентации:

Перспективные направления обеспечения ИБ в финансовой сфере. Сычев Артем Михайлович, заместитель начальника ГУБиЗИ Банка России ( презентация )
Актуальные и перспективные направления работы комитета по банковской безопасности АРБ. Велигура Александр Николаевич, председатель комитета по банковской безопасности АРБ ( презентация )
О вопросах соблюдения требований информационной безопасности при передаче уполномоченным представителям Банка России в ходе проверок кредитных организаций (их филиалов) учетно-операционной и иной информации. Ярулин Ринат Зинатулович, начальник Управления информационного обеспечения Главной инспекции Банка России ( презентация )
Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг. Батырев Тимур Кабирович, заместитель директора Департамента национальной платежной системы ( презентация )
Расширение электронного взаимодействия на финансовых рынках. Новые возможности и сопутствующие риски. Короп Станислав Вячеславович, советник Департамента сбора и обработки отчетности некредитных финансовых организаций Банка России (презентация)
Трансформация ИТ: Основные принципы и направления развития ИТ. Тищенко Максим Владимирович, и.о. директора Департамента информационных технологий Банка России ( презентация )
Совершенствование нормативно-методической базы обеспечения информационной безопасности в организациях финансового сектора. Выборнов Андрей Олегович, начальник отдела методологии обеспечения безопасности информационных ресурсов ГУБЗИ Банка России ( презентация )

Итак, попробуем обобщить основные моменты.

Про совершенствование законодательства

Банк России готовит предложения по совершенствованию законодательства РФ, направленные на противодействие осуществлению несанкционированных операций, связанных с переводом денежных средств с использованием электронных средств платежа, в том числе путем незаконного вмешательства в электронные платежные и информационные системы. В марте предложения должны уйти к ответственному исполнителю (МВД России).

По 161-ФЗ предлагают следующие изменения:

Предполагается законодательно закрепить термин "несанкционированная операция" (по сути, финансовая операция, проведенная без согласия клиента, но с использованием его аутентификационных данных).
Собираются предусмотреть обязанность клиента незамедлительно уведомлять оператора по переводу денежных средств (банк) о компрометации аутентификационной информации (о ставших известными фактах несанкционированного доступа).
Устанавливается порядок действия оператора в случае выявления несанкционированных операций с целью возврата денежных средств владельцу (по сути, легализация действий при использовании антифрод систем).
Определяется порядок возврата денежных средств при доказанности факта, что перевод был осуществлен без согласия клиента.
Закрепляется право банка обращаться в Арбитражный суд для целей установления юридического факта осуществления перевода или списания денежных средств без согласия клиента.
Устанавливаются полномочия Банка России по определению порядка раскрытия кредитными организациями и операторами платежных систем информации об операциях и счетах клиентов с целью предотвращения совершения и выявления несанкционированных операций. Это делается, в том числе, чтобы придать юридическую основу деятельности FinCERT по сбору необходимой информации.

Аналогично в ФЗ №395-1 предполагается прописать положения про передачу необходимой информации, в том числе и составляющей банковскую тайну, в FinCERT.
В УК РФ предлагается усилить наказание за мошенничество при использовании электронных средств платежа, а также изготовление или сбыт поддельных средств платежа или платежных документов. Помимо этого собираются ввести новые составы преступлений, позволяющие криминализировать такие деяния как: незаконное завладение средством доступа к банковскому счету, а также приобретение, распространение, и установка устройств, позволяющих получать незаконный доступ к электронным средствам платежа или банковскому счету.
В УПК РФ планируют внести уточнения про место совершения преступлений, а в АПК РФ добавить положения про порядок рассмотрения дел про несанкционированные операции.
Отдельно упомянули, что депутатом Климовым был внесен законопроект на противодействие скиммингу, но он получил отрицательное заключение в аппарате Правительства.

Про стандарты и нормативные акты ЦБ РФ

По сути, основные новости и планы отражены на вот этом слайде:

Так, нам напомнили, что в 2014 году были обновлены 2 стандарта (СТО БР ИББС-1.0-2014 "Общие положения" и СТО БР ИББС-1.2-2014 "Методика оценки соответствия...") и утверждены 2 новые РСки: РС БР ИББС-2.5-2014 "Менеджмент инцидентов ИБ" и РС БР ИББС-2.6-2014 "Обеспечение ИБ на стадиях жизненного цикла АБС".

Буквально на днях были приняты следующие новые РСки: РС БР ИББС-2.7-2015 "Ресурсное обеспечение ИБ" и РС БР ИББС-2.8-2015 "Требования к обеспечению информационной безопасности при использовании технологий виртуализации" (точное название не знаю, но вроде бы такое). Документы скоро будут доступны на сайте ЦБ РФ .
Рекомендации по ресурсному обеспечению - довольно интересный, но противоречивый документ, о положениях которого можно долго спорить. В нем заложены революционные идеи, которые еще ни разу не были озвучены российскими регуляторами. В частности, документ определяет перечень процессов, необходимых для обеспечения информационной безопасности, а также модель зрелости этих процессов (аналогичную модели CMMI и COBIT4.1). Помимо этого модель зрелость процессов накладывается на модель оценки рисков ИБ, и влияет на итоговую актуальность угроз нарушения информационной безопасности. Но и это не главное. В документе зафиксированы основные задачи службы информационной безопасности и определяется подход к расчету необходимых ресурсов для их выполнения (а точнее на повышение уровня зрелости процессов), в том числе и по количеству человеко-часов в год. После опубликования документа я планирую написать большой пост про него.

Подготовлен проект рекомендаций РС БР ИББС-2.9 "Предотвращение утечек информации". В ближайшее время документ вынесут на рассмотрение подкомитета в рамках ТК122 и планируют в течение полугода закончить работу и утвердить его. Документ достаточно интересный, он рассматривает основные каналы утечки и определяет перечень мер по обеспечению предотвращения инцидентов информационной безопасности, связанных с действиями внутренних нарушителей.
В планах разработать еще несколько РСок:

Противодействие мошенничеству при осуществлении платежных операций
Распределения ролей ИБ (по сути, реинкарнация старых наработок по теме)
Обеспечения ИБ при использовании облачных технологий и аутсорсинга
Установления правил выявления и расследования инцидентов ИБ, связанных с функционированием автоматизированных банковских систем и приложений, применяемых в национальной платежной системе

Также думают о том, распространить область действия СТО БР ИББС 1.0 и 1.2 на все организации финансового рынка. Для обсуждения этой инициативы собираются расширить подкомитет №1 в рамках ТК 122 новыми членами.
Ожидается пересмотр документов (стандартов и рекомендаций) 2007 и 2009 года. Ждут и собирают предложения. Сейчас уже получили про аудит.

А вот про развитие нормативных актов Банка России рассказали очень мало и только общие слова, все есть на этом слайде:

Про FinCERT

FinCERTу быть. Решение о нем принято давно, но пока не успели внести необходимые изменения в нормативно-правовые акты РФ. Ожидаем запуск центра реагирования в полном объеме в конце мая. Но так как конкретной информации о нем пока мало (хм, концепция до конца не сформирована?), то, полагаю, что с этим могут быть задержки.
При построении FinCERT ведется плотное взаимодействие со ФСТЭК России, ФСБ России и МВД России. FinCERT будет взаимодействовать с ГосСОПКА.

Про надзор, отчетность и инциденты

Основные процессы предоставления отчетности:

Предварительные результаты анализа отчетности по 202 и 203 формам (итоговые отчеты скоро появятся на сайте ЦБ РФ, на данный момент самый актуальный из доступных отчетов за 1е полугодие 2013 года ):

Существует вероятность, что после введения в действие FinCERT будет пересмотрен процесс подачи отчетности по 203 форме (а может и по 258).

Про отраслевую модель угроз ПДн

Проект отраслевой модель угроз, которую уже давно разработали и согласовали со ФСТЭК России, но не смогли с ФСБ России, снова пересмотрели (с учетом выхода Приказа ФСБ России №378 и мнений банковского сообщества). Сейчас опять запустили на согласование с регуляторами и, в очередной раз, надеемся, что в этом году мы получим финальную версию.
Документ рассчитан на его использование не только банками, но и некредитными финансовыми организациям.
Обратите внимание, что позиция ЦБ РФ немного изменилась. Ранее банкам рекомендовалось определять, что для них актуальны угрозы 3 типа. Сейчас же банкам необходимо самостоятельно принимать такое решение и обосновывать его. По сути, угрозы НДВ сейчас рассматриваются в качестве "чуть более актуальных", чем ранее...

Прочее

Большинство банков формально попадают под термин КВО (критически важный объект), а значит и под соответствующие требования (например, обязательство по подключению к ГосСОПКА).
По оценкам ЦБ РФ в отрасли сейчас используется порядка 40% прикладного ПО зарубежного производства. А зарубежных баз данных, ОС, аппаратно-программного обеспечения используется порядка 95%.
ЦБ РФ видит следующие основные риски ИБ:

Риск правонарушений, связанных с неправомерным распоряжением финансовыми средствами.
Риск воздействия криминального элемента на автоматизированные системы и препятствие устойчивому функционированию не только платежных систем, но и систем, обслуживающих банки. Вспоминали про DDoS сайтов банков (Сбербанк России, Уралсиб, Россельхозбанк, АльфаБанк).
Риск социальных сетей и массовое распространение негативной информации в Интернете. Вспоминали про попытки сформировать панические настроения у клиентов некоторых коммерческих банков.
Риск усиления политического давления на экономику РФ через отключение финансовых сервисов.
Риск преднамеренного воздействия на автоматизированные системы с целью политического и экономического давления. Проблема "дырявого" программного обеспечения с большим количеством ошибок, использование иностранного программного обеспечения и аппаратного обеспечения в массовом порядке.

Упоминалась возможность создания СРО (саморегулируемая организация), в которую будут входить банки и разработчики ПО. Основной задачей СРО будет контроль качества разработки банковского ПО.
Рассказали, что было проведено совещание Совета безопасности по тематике обеспечения ИБ в НПС. Проблема доведена до первого лица государства. Но конкретно про выработанные решения не рассказали...
Кратко упомянули про проблему аккредитации УЦ банков. Позиция Минкомсвязь России была простая, хотели чтобы в уставах кредитных организаций деятельность УЦ была выделена как отдельная задача. Было сформирована позиция ЦБ РФ по данному вопросу и согласована с регулятором. К сожалению, я подробностей не знаю (а есть ли документ?), а то дал бы ссылку.
Еще мельком упомянули про создание национальной системы платежных карт (НСПК) и системы передачи финансовых сообщений (СПФС). Для делается для снижения риска зависимости от иностранных платежных сервисов. Требования к обеспечению безопасности НСПК будут гораздо серьезнее, чем даже к платежной системе Банка России. В частности, необходима будет сертификация СЗИ по 3му уровню контроля НДВ.
Пару слайдов про ИТ Банка России (может кому пригодится):