Итоги VI Уральского форума по ИБ банков

VI Уральский форум по информационной безопасности банков  дал очень много новой информации. В этом посте я попробую рассказать про основные новости и мысли, озвученные участниками конференции.

• Актуализация перечня иностранных государств, обеспечивающих  адекватную защиту прав субъектов ПДн, ( Приказ №274 ) происходит ежегодно. В этом году тоже будет.
• Готовятся законопроекты по обязательству уведомления уполномоченного органа (РКН) о случившихся инцидентах с ПДн (особенно утечках ПДн), а также штрафах при отсутствии такого уведомления. Ждем итоговый документ...
• Ожидаем много правок в 152-ФЗ (передача третьим лицам, трансграничная передача, меры защиты и пр.).
• Ожидаем увеличение штрафов за обработку ПДн без согласия субъектов. Также высокая вероятность появления штрафов за утечку ПДн и увеличение штрафов за невыполнение требований по обработке и защите ПДн.
• На данный момент более 80% кредитных организаций подали уведомление в РКН о начале обработки ПДн, многие из них, однако, уже требуют актуализации.
• РКН считает, что не требуется согласие на обработку ПДн родственников сотрудников если объем собираемых данных не превышает форму Т2.
• РКН считает, что при заключении договоров с субъектами ПДн, в которых есть необходимые поля про обработку ПДн, отдельно заключать согласие не нужно.
• РКН при проверках кроме положений 152-ФЗ обращает особое внимание на требования ПП687. Многие организации не выполняют именно их...

• Опубликована итоговая версия методического документа ФСТЭК России " Меры защиты информации в государственных информационных системах " (от 11.02.2014). Принято 2/3 замечаний и предложений.
• Официально отменяется "приказ трех" по классификации ИСПДн. Приказ " О признании утратившим силу приказа ФСТЭК России, ФСБ России и Минкомсвязи России от 13 февраля 2008 года №55/86/20 "Об утверждении Порядка проведения классификации ИСПДн" " зарегистрирован в Минюсте. Как вы помните, с выходом ПП1119 у нас изменился подход к классификации ИСПДн (вместо "классов ИСПДн" стали "уровни защищенности ПДн"), однако многие продолжали определять класс ИСПДн "по старому стилю", теперь этого делать не надо. Видимо в ближайшее время будет изменена и форма уведомления РКН.
• Подготовлены проекты Требований по защите АСУ ТП и  Рекомендаций по обновлению сертифицированных СЗИ . Сейчас ФСТЭК принимает замечания и предложения. Итоговые версии документов ожидаем в марте-апреле 2014 года.
• Готовятся документы по защите среды виртуализации и облачных вычислений. Подробнее можно посмотреть в презентации Лютикова .
• Готовится методика определения актуальных угроз. Документ может быть использован для анализа и оценки угроз безопасности любых категорий информации (ПДн, информации в ГосИС и пр., но, полагаю, кроме ГТ). Кстати, ФСТЭК России периодически согласовывает присланные в установленном порядке модели угроз операторов ПДн и ГосИС.
• А вот про разрабатываемый документ с требованиями к DLP системам ни чего не говорили. Но, насколько я знаю, первый проект документа уже готов и проходит начальное согласование.

• Заканчивается пересмотр проекта приказа по защите ПДн (про использование СКЗИ),  Итоговую версию ожидаем в конце февраля. Экспертное сообщество подготовило много замечаний и предложений, из них принято менее 15%...
• ФСБ России считает обязательным использование сертифицированных СКЗИ для защиты ПДн, менять подход не собираются.
• ФСБ России не собирается разрабатывать рекомендации по разработке модели угроз, рекомендуют обращаться к лицензиатам.
• Планируется изменение подхода по сертификации СКЗИ. Уходят от сертификации криптобиблиотек, собираются сертифицировать СКЗИ целиком.

• В мае ожидаем новую редакцию СТО БР ИББС 1.0 (и 1.2), она гармонизирована с 382-П и обновленными требованиями по защите ПДн (ПП1119 и Приказ 21). Подробнее см.презентацию Выборнова .
• В новой редакции СТО БР ИББС 1.0 угрозы 1 и 2 типа для ПДн признаны не актуальными: "п. 7.11.4.С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать не актуальными для организаций БС РФ".
• ЦБ РФ подготовил методику составления модели угроз и согласовал ее со ФСТЭК России, сейчас идет согласование с ФСБ России.
• Планируется пересмотр 382-П, об этом в своей презентации рассказал  Прохоров .Будут добавлены положения про безопасность банкоматов и платежных терминалов, микропроцессорных платежных карт, системы интернет-банкинга и системы мобильного банкинга. Кстати, еще рекомендую посмотреть презентацию Грициенко про практику проведения аудита по 382-П.
• Сычев: СТО БР ИББС и 382-П по сути разные документы, направленные на разные вещи. 382-П - обязателен, СТО БР ИББС - свод "лучших практик", которые ЦБ РФ готовили "для себя", банки их используют на свой "страх и риск".
• Подготовлены проекты РС БР ИББС (подробнее в презентации Велигуры ):
• "Менеджмент инцидентов ИБ". Помимо общих рекомендаций по построению процесса в документе приводится примеры событий ИБ и набора классификаторов инцидентов. Документ планируют скоро утвердить.
• "Предотвращение утечек информации". Документ содержит описание элементов модели угроз и рекомендации по защите и реагированию, а также моменты, связанные с анализом социальных сетей (выявление негативной для банков информации и утечек данных). Документ планируют утвердить до конца года.
• Подготовлен проект РС по информационной безопасности на всех этапах жизненного цикла приложений. Документ ожидаем в мае. На тему безопасности информационных систем довольно интересные презентации подготовили Окулесский и Егоркин .
• Подготовлены и находятся на рассмотрении 2 РС: по защите виртуализации и ресурсному обеспечению.
• 258 форму по инцидентам с платежными картами планируют отменить / интегрировать с 203 формой.
• Планируется создание банковского CERT (центра прогнозирования и реагирования на инциденты). При этом его видение у ЦБ РФ пока не достаточно конкретно. Банки самостоятельно объединились в "клуб антидроперов" (уже более 500 банков) и довольно эффективно обмениваются информацией о мошеннических действиях. Однако ЦБ РФ считает такую деятельность незаконной.

• Вышел перевод  PCI DSS 3.0 и PA-DSS 3.0
• Планируется реализация надзорных функций ФСТЭК России и ФСБ России в рамках ПП-584 (защита платежных систем). Об этом многие забыли / не думали, но похоже, что проверки начнутся.
• Банки могут случайно "попасть" под новую редакцию законопроекта по КВО (критически важные объекты). Надо внимательно будет посмотреть итоговую версию документа. подробнее в презентации  Грицая .
• Банки считают, что в рамках информационной безопасности у них слишком много требований и "бумажной" работы. Многие из обязательных документов можно было бы не делать без ущерба для информационной безопасности. Вообще, было бы хорошо создать методические рекомендации о том, как разрабатывать и пересматривать внутренние документы по ИБ банков, а также иметь шаблоны таких документов, но регуляторы не планируют их разрабатывать... Вот, кстати, все требования:

Итого, новостей и идей мы получили много. Основные регуляторы (ФСТЭК России, РКН и ЦБ РФ) в целом активно взаимодействуют с профессиональным сообществом и стараются решать проблемы и задачи компаний. ФСБ России пока что придерживается "запретительной политики" и практически не готовит рекомендации. А жаль...
Система требований и рекомендации по информационной безопасности банков развивается, а это не может не радовать.


Еще рекомендую посмотреть:

• все презентации с конференции
• видеозапись итоговой презентации Лукацкого
• посты в блоге Алексея Лукацкого ( 1 , 2 , 3 , 4 ...)
• фотографии в ФБ