Сегодня утром проходило заседании ПК1 ТК122 Банка России, посвященное стандартизации ИБ в финансовых организациях, на котором решалось 3 вопроса:
Помимо этого я бы отметил несколько интересных тезисов, прозвучавших на мероприятии:
Вот такой набор новостей по тому, что ЦБ готовит финансовым организациям с точки зрения нормативных требований. Обратите внимание, что на организации возрастет нагрузка по выполнению требований и, самое главное, оценке соответствия им. Запланирована разработка 5 стандартов по оценке соответствия и это помимо оценки, предусмотренной 382-П, а также иными требованиями, распространяющимися на финансовые организации (PCI DSS, SWIFT и т.д.). Вот такие дела...
- обсуждение и голосование за ГОСТа 57580.2 по оценке соответствия защитных мер, описываемых ГОСТом 57580.1 (единогласно при одном воздержавшемся)
- обсуждение и голосование за СТО по безопасности аутсорсинга (единогласно)
- обсуждение планов подкомитета по разработке новых стандартов по ИБ.
В качестве резюме хочется тезисно отметить следующее:
- ЦБ выделяет для себя на ближайшие годы (до 2021 года) 5 направлений развития - управление киберрисками, взаимодействие с поставщиками услуг, управление инцидентами, киберустойчивость и мониторинг киберрисков и ситуационная осведомленность.
- Стандарт по киберрискам - это реинкарнация СТО 1.0, который был посвящен преимущественно вопросам управления ИБ и управления рисками. В недавно принятом ГОСТ 57580.1 описаны защитные меры (то есть вопросы уровнем ниже). Отсюда логичное желание регулятора трансформировать СТО 1.0 в ГОСТ, что постепенно и будет происходить. Пока же СТО 1.0 (как и СТО 1.2) остаются и отменять их никто не будет. В паре с этим ГОСТом будет и стандарт по оценке соответствия (также в статусе ГОСТа).
- Сам комплекс стандартов по ИБ (СТОБР) продолжит существовать и будет выполнять методологическую функцию. По сути на нем будут апробировать различные направления, которые затем будут входить в состав ГОСТов или нормативных актов Банка России.
- СТО 1.3 по сбору данных для расследования инцидентов и РС 2.5 по менеджменту инцидентов трансформируются в соответствующие ГОСТы, к которым добавится третий стандарт по обмену информацией об ИБ между финансовыми организациями и ФинЦЕРТом.
- Появится ГОСТ по аудиту, приходящий на смену СТО 1.1.
- Планируемый сейчас СТО по ИБ аутсорсинга трансформируется со временем в ГОСТ. А в пару к нему появится стандарт по ИБ при использовании информационных сервисов.
- Ранее неоднократно упоминаемая тема по киберустойчивости трансформировалась в ГОСТ по обеспечению непрерывности выполнения бизнес и технологических процессов (и тут АСУ ТП :-) и ГОСТ по оценке соответствия этим требованиям.
- Наконец, пятым направлением станет разработка ГОСТа по мониторингу киберрисков (модная тема) и ситуационной осведомленности и ГОСТа по оценке соответствия в данной сфере.
Визуально, план работы ПК1 ТК122 Банка России я бы отразил примерно так (серым показано то, что уже разработано и практически принято):
Помимо этого я бы отметил несколько интересных тезисов, прозвучавших на мероприятии:
- Планируемый в свое время СТО по некредитным финансовым организациям (а точнее два СТО) плавно перетечет в ГОСТ 57580.1. Ну тут никаких сюрпризов - это было логично; зачем городить СТО, если новый ГОСТ и так покрывает НКФО. Ну и остальные ГОСТы, упомянутые выше, будут учитывать специфику НКФО.
- Во исполнении пунктов ГОСТа и новой редакции 382-П, требующих оценки соответствия платежных и финансовых приложений (в виде сертификации или оценки уязвимостей), ЦБ подготовил профиль защиты, направленный в ФСТЭК России на согласование. Соответственно разработчикам банковского и финансового ПО стоит подготовиться к данной процедуре.
- Аккредитации поставщиков услуг аутсорсинга ИБ не планируется, а вот тема некой "аккредитации" (хотя скорее это некоторая форма оценки качества работ) аудиторов поднималась и в каком-то виде будет реализована. Либо это будет добровольная сертификация, либо саморегулируемая организация. Вопрос пока в стадии обсуждения.
- ЦБ активно копает тему страхования киберрисков, но каких-то конкретных действий и стандартов не озвучено. Какая-то ясность будет на Магнитогорском форуме , регистрация на который уже началась .
- Применительно к теме КИИ ЦБ никаких документов не планирует выпускать. Регулятором является ФСТЭК и именно она пишет требования к безопасности значимых объектов КИИ. ФСБ в свою очередь устанавливает требования по присоединению финансовых организаций к ГосСОПКЕ. По оценка ЦБ, и я с ними согласен, не очень много финансовых организаций будет иметь значимые объекты. А вот отправлять данные по инцидентам в ГосСОПКУ придется. Правда тут мы с ЦБ не сходимся во мнении. Они считают, что ФинЦЕРТ является ведомственным центром ГосСОПКИ и финансовые организации смогут без проблем направлять данные об инцидентах только в одну сторону, в ФинЦЕРТ, который уже сам все направит в ГосСОПКУ. Я по формальным признакам с этим не согласен , но буду рад ошибиться.
- Новая редакция 382-П (я о ней писал ) находится на согласовании в ФСБ и скоро должна быть отправлена в Минюст на утверждение. Предположу, что это произойдет достаточно скоро и она вступит в действие (как и новая редакция 2831-У) с 1-го июля 2018-го года. Самое главное, что в ней не будет ссылок на новый ГОСТ 57580.1. Это произойдет в следующей версии 382-П, работа над которой начнется сразу после принятия текущего проекта. В принципе это было известно давно , но многие почему-то считали, что принятие в августе нового ГОСТа означает, что теперь на него ЦБ вставит ссылки во все свои нормативные акты. Это не так. Процесс небыстрый и требует, как минимум, разработки всей номенклатуры основных ГОСТов по защите информации и управлению киберрисками, что также займет определенное время.
Вот такой набор новостей по тому, что ЦБ готовит финансовым организациям с точки зрения нормативных требований. Обратите внимание, что на организации возрастет нагрузка по выполнению требований и, самое главное, оценке соответствия им. Запланирована разработка 5 стандартов по оценке соответствия и это помимо оценки, предусмотренной 382-П, а также иными требованиями, распространяющимися на финансовые организации (PCI DSS, SWIFT и т.д.). Вот такие дела...